Microsoft ha anunciado un nuevo módulo de seguridad de Linux (LSM) para dispositivos embebidos. El módulo de seguridad, llamado Integrity Policy Enforcement (IPE), tiene como objetivo resolver el problema de integridad en el kernel de Linux al agregar una nueva característica de seguridad.
¿Qué es la aplicación de política de integridad (IPE)?
IPE es un módulo de seguridad de Linux que verifica la integridad del código en todo el sistema y restringe la ejecución de código no autorizado. Los administradores tienen control total sobre la ejecución de procesos autorizados.
Según las notas oficiales , un administrador del sistema también puede crear una lista de binarios con los atributos de verificación correspondientes. Esto ayuda a IPE a ejecutar solo los archivos binarios que tienen atributos verificados y bloquear el código binario malicioso o alterado.
Si no sabe, la plataforma Azure IoT implementa el mismo kernel de Linux. Por lo tanto, el proyecto IPE está especialmente diseñado para sistemas integrados con fines específicos, como dispositivos de firewall de red en un centro de datos. Sin embargo, no puede usar el IPE para computación de propósito general.
💡 Más noticias sobre Linux:
- Llegó la ‘Integración de archivos Linux’ al Explorador de Archivos en Windows 10
- Corea del Sur reemplazará Windows 7 con una Distro Basada en Linux: ‘Open OS’
- CSI Linux: La Distribución Linux dedicada a la Investigación Cibernética y OSINT
¿En qué se diferencia IPE de otros módulos de seguridad de Linux?
Aunque el kernel de Linux ya tiene varios módulos para la verificación de integridad como IMA. IPE ofrece específicamente la verificación en tiempo de ejecución del código binario. Microsoft afirma que IPE difiere de otros LSM en varias formas que proporcionan verificación de integridad.
Por ejemplo, IPE no depende de los metadatos del sistema de archivos y los atributos que IPE verifica. Además, IPE no implementa ningún mecanismo para verificar los archivos de firma IMA. Esto se debe a que el kernel de Linux ya tiene módulos para el mismo, como dm-verity.
Los propietarios del sistema pueden crear sus propias políticas para verificaciones de integridad y utilizar firmas integradas de dm-verity para autenticar códigos.
Para concluir, el nuevo proyecto trae un nuevo módulo de seguridad de Linux que otros módulos no pueden hacer para proteger el sistema de la ejecución de código malicioso.
Fuente: Microsoft
