مایکروسافت ماژول امنیتی IPE را برای لینوکس کرنل معرفی کرد

مایکروسافت با انتشار اطلاعیه‌ای جدید جزئیات پروژه‌ای تازه را شرح داده است که ظاهرا از مدت‌ها پیش، برای هسته‌ی لینوکس (Linux Kernel) روی آن‌ کار می‌کند. پروژه‌ی جدید مایکروسافت که با نام IPE مخفف Integrity Policy Enforcement به‌معنی «اجرای سیاست یکپارچگی» شناخته می‌شود، درواقع، نوعی ماژول امنیتی لینوکس (LSM) است. ماژول‌های امنیتی افزونه‌هایی اختیاری برای لینوکس کرنل هستند که قابلیت‌های امنیتی بیشتری به آن اضافه می‌کنند. 

براساس اطلاعات رسمی مایکروسافت در گیت‌هاب، IPE نتیجه‌ی تلاش این شرکت برای حل مشکل یکپارچگی کدها در لینوکس است. ناگفته نماند مایکروسافت در سرویس‌های ابری آژور (Microsoft Azure) به‌صورت گسترده از سیستم‌عامل لینوکس بهره می‌گیرد. 

در سیستم‌های مبتنی‌بر لینوکس که ماژول امنیتی IPE فعال باشد، ادمین‌های سیستم می‌توانند فهرستی از کدهای باینری را ایجاد کنند که اجازه‌ی اجراشدن آن‌ها صادر شده است. ادمین‌ها سپس می‌توانند پیش‌نیازهای لازم برای تأیید صلاحیت هر کد باینری را دراختیار کرنل بگذارند تا کرنل بتواند پیش از اجرای هر کد باینری، آن‌ را به‌دقت بررسی کند. اگر این کدهای باینری را هکر دگرگون کرده باشد، IPE می‌تواند به‌سرعت روند اجرای آن کد مخرب را متوقف کند. بدین‌ترتیب، IPE در نقش نوعی ماژول امنیتی مؤثر در لینوکس کرنل عمل می‌کند. 

مایکروسافت می‌گوید ماژول امنیتی IPE برای همه‌ی کاربران و به‌منظور انجام اهداف عمومی در نظر گرفته نشده است. آن‌طور که ردموندی‌ها می‌گویند، ماژول IPE برای موارد استفاده‌ی بسیار خاصی طراحی شده است که در آن‌ها مقوله‌ی امنیت اهمیت بسیار زیادی دارد. درضمن، IPE در وضعیتی به‌کار می‌رود که لازم باشد ادمین‌های سیستم روی کدهای اجراشده کنترل کامل داشته باشند. نمونه‌ای از این سیستم‌ها را می‌توان سیستم‌های توکار (Embedded Systems) نظیر دستگاه‌های فایروال شبکه به‌شمار آورد که درون دیتاسنترها فعالیت می‌کنند.

مایکروسافت می‌گوید:

IPE همچون ماژول امنیتی SELinux از دو حالت مختلف عملکرد پشتیبانی می‌کند: Permissive و Enforce. حالت‌های Permissive و Enforce نوعی بررسی‌ روی سیستم انجام می‌دهند و به‌دنبال موارد نقض‌کننده‌ی قوانین می‌گردند؛ با‌این‌حال، تفاوت موجود این است که حالت Permissive پس از یافتن خطا، اقدامی انجام نمی‌دهد. این موضوع باعث می‌شود کاربران بتوانند پیش از اجرای قوانین [به‌منظور رفع خطا]، آن‌ها را آزمایش کنند».

مایکروسافت ضمن معرفی ماژول IPE، مشخصات آن را نیز منتشر کرده است. براساس اعلام رسمی، این ماژول فعلا در وضعیت RFC قرار دارد و اضافه‌شدن آن به لینوکس کرنل، اندکی زمان می‌برد. لینوکس کرنل هم‌اکنون از نوعی ماژول امنیتی برای حل مشکل یکپارچگی کد بهره‌مند است که از آن با نام IMA یاد می‌شود. مایکروسافت می‌گوید IPE تفاوت‌هایی با IMA دارد؛ زیرا ماژول امنیتی این شرکت هیچ‌گونه وابستگی به متادیتای فایل‌سیستم ندارد. همچنین طبق گفته‌های مایکروسافت، IPE برخلاف IMA به کد اضافی نیازی ندارد.

دیدگاه شما کاربران زومیت درباره‌ی ماژول امنیتی IPE برای لینوکس کرنل چیست؟