A Microsoft está desenvolvendo e aprimorando o “OS Guard”, uma nova funcionalidade de segurança para o Azure Linux, seu sistema operacional otimizado para a nuvem. O OS Guard atua como uma plataforma de host de contêineres que impõe uma série de medidas de segurança robustas.
O OS Guard, antigo “Linux Guard”, é um host de contêineres que se baseia no Azure Linux 3.0 para fortalecer a segurança de cargas de trabalho nativas da nuvem. Ele foi projetado para enfrentar ameaças cibernéticas cada vez mais sofisticadas, garantindo que o ambiente de execução seja seguro e resistente a adulterações.
Ele tem várias características adequadas ao cumprimento de sua missão, como a “imutabilidade”, que impede que o sistema de arquivos seja alterado. A pasta /usr é montada como um volume protegido por dm-verity, que verifica a integridade dos dados e rejeita qualquer alteração não autorizada.
A “integridade do código” garante que apenas códigos confiáveis e não adulterados possam ser executados. Essa funcionalidade é reforçada pela IPE (Integrity Policy Enforcement), uma tecnologia que a Microsoft ajudou a desenvolver e que foi incluída no kernel Linux. A IPE assegura que somente binários de volumes protegidos por dm-verity sejam executados, incluindo as camadas de contêiner.
O “controle de Acesso Obrigatório (MAC)” utiliza o SELinux na restrição ao acesso a partes sensíveis do sistema de arquivos, garantindo que apenas usuários e processos confiáveis possam interagir com eles. A “inicialização confiável (Trusted Launch)” assegura a integridade de todos os componentes de inicialização, desde o boot até o espaço de usuário, por meio da integração com o vTPM (Trusted Platform Module).
** Compromisso com o Código Aberto**
Apesar de ser uma iniciativa da Microsoft, o OS Guard é construído com base em tecnologias de código aberto, como dm-verity, SELinux e IPE, mantidas ativamente nas comunidades Linux. A Microsoft afirma que seus engenheiros estão contribuindo com essas comunidades, trabalhando em melhorias para a execução de scripts, políticas do SELinux e a integridade de contêineres no containerd.
O OS Guard também herda todos os benefícios do Azure Linux, incluindo a conformidade com padrões de segurança como FedRAMP e FIPS 140-3, uma cadeia de suprimentos de software verificada e suporte de segurança de nível empresarial.
A Microsoft anunciou que o Azure Linux com OS Guard estará disponível em breve como um SKU oficial (unidade de estoque) no AKS (Azure Kubernetes Service), permitindo que os clientes implementem clusters com essa funcionalidade de segurança aprimorada.