0 |
Компания Amazon Web Services в понедельник выложила на GitHub открытый дистрибутив Linux, Bottlerocket, разработанный ею специально для работы с программными контейнерами.
Популярные дистрибутивы Linux предназначены для запуска не только контейнеров, но и других рабочих нагрузок. Они рассчитаны на многочисленные сценарии использования и, как результат, имеют большое количество компонентов, которыми может быть сложно управлять.
Создавая Bottlerocket, AWS отказалась от многих стандартных компонентов Linux и оставило только те, что необходимы для выполнения контейнерных рабочих нагрузок. Такой подход позволил получить удобную в администрировании и более безопасную ОС.
Редуцированная кодовая основа Bottlerocket содержит меньше потенциальных уязвимостей, которые могли бы использовать хакеры. Вдобавок к этому, AWS ввел ряд дополнительных мер безопасности, помогающих блокировать угрозы. Значительная часть Bottlerocket написана на языке Rust, который менее подвержен эксплойтам переполнения буфера, чем C — основной язык ядра Linux.
AWS также укрепила Bottlerocket против постоянного или устойчивого (persistent) вредоносного ПО, которое получает доступ к ключевым компонентам ОС, чтобы скрыть следы своего присутствия. Bottlerocket использует функцию ядра Linux, dm-verity. Она обнаруживает части ОС, которые изменены без разрешения, что является надежным способом выявления скрытых устойчивых вредоносных программ.
Bottlerocket применяет операционную модель, которая дополнительно повышает безопасность за счет минимизации административных подключений к рабочим серверам. «Вход в отдельный экземпляр Bottlerocket должен стать нечастым действием, предназначенным для расширенной отладки и устранения неполадок», — пишет в блоге Самарта Чандрасекар (Samartha Chandrashekar), продукт-менеджер AWS.
Установка обновлений ОС в контейнерной среде с работающими ответственными приложениями это рискованное занятие, потому что любые проблемы с развёртыванием могут вызвать простои. AWS встроила в свой дистрибутив так называемые атомные апдейты, которые, как утверждает Чандрасекар, позволяют администраторам делать безопасный откат ОС при возникновении проблем с обновлениями.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |