마이크로 소프트, 리눅스를위한 새로운 코드 무결성 기능 공개

마이크로 소프트, 리눅스를위한 새로운 코드 무결성 기능 공개

소프트웨어 거인은 리눅스 커널을위한 새로운 LSM에 대한 세부 사항을 발표했다

Microsoft는 Linux 커널 을 위해 작업중인 IPE (Integrity Policy Enforcement)라는 새 프로젝트에 대한 세부 정보를 발표했습니다 .

IPE는 추가 보안 기능을 사용할 수 있도록 설계된 Linux 커널 용 선택적 애드온 인 LSM (Linux Security Module)입니다. 자사에서 문서 페이지 , 마이크로 소프트는 IPE 말, 코드 무결성의 문제를 해결하기 위해 시도하는 방법을 설명했다 :

“IPE는 구성 가능한 정책으로 전체 시스템에 무결성 요구 사항을 적용 할 수있는 Linux 보안 모듈입니다. 코드 무결성 문제를 해결하려고 시도합니다. 실행중인 코드 (또는 읽은 파일)는 신뢰할 수있는 소스에서 빌드 한 버전과 동일합니다. 간단히 말해 IPE는 시스템 소유자가 인증 한 코드 만 실행할 수 있도록합니다.

IPE가 활성화 된 Linux 시스템에서 시스템 관리자는 실행이 허용 된 바이너리 목록을 작성하고 커널이 실행하기 전에 각 바이너리를 확인해야하는 확인 속성을 추가 할 수 있습니다. 침입자가 이진 파일을 변경 한 경우 IPE는 악성 코드의 실행을 차단할 수 있습니다.

무결성 정책 시행
Microsoft 에 따르면 IPE는 보안이 가장 중요하고 관리자가 시스템에서 실행되는 코드를 완전히 제어해야 할 때 매우 구체적인 사용 사례를 위해 설계 되었기 때문에 범용 컴퓨팅에는 적합하지 않습니다.

소프트웨어 거인의 새로운 LSM을 사용하여 이익을 얻을 수있는 시스템의 예로는 데이터 센터에서 실행되는 네트워크 방화벽 장치 및 엄격하고 변경 불가능한 구성 및 응용 프로그램을 실행하는 Linux 서버 와 같은 내장 시스템 이 있습니다.

Microsoft는 새 IPE 모듈에 대한 사양을 발표했지만 현재 RFC 또는 의견 요청 상태입니다. IPE가 실제 Linux 커널과 함께 제공되기까지는 다소 시간이 걸릴 것입니다.

Linux 커널에는 IMA (Integrity Measurement Architecture)라는 코드 무결성을위한 LSM이 이미 포함되어 있습니다. 그러나 마이크로 소프트는“파일 시스템 메타 데이터에 의존하지 않고”IPE 속성이“커널에만 존재하는 결정적인 속성”이기 때문에 IPE가 IMA와 다르다고 말합니다.