Una de las mayores pesadillas de seguridad en la nube es cuando alguien irrumpe en el tiempo de ejecución de su contenedor en su sistema operativo subyacente. Con ataques como Buques con fugas, un pirata informático puede causar estragos en sus programas, destruir otras aplicaciones en contenedores y otorgar al atacante privilegios de nivel de usuario raíz. En resumen, todo ha terminado por tu seguridad. Para evitar este tipo de ataques, Edera está trasladando un programa antiguo a un nuevo lenguaje para proporcionar un tiempo de ejecución de contenedor seguro para la memoria.
Escrito en óxido, Hiedra está construido sobre la base del clásico código abierto Hipervisor de máquina virtual bare-metal tipo 1, xén. Este hipervisor fue seleccionado, como Director de Innovación de Edera y Linux alpino La mantenedora Ariadne Conill, explicó, porque, a diferencia de KVM, que se ejecuta dentro del kernel de Linux, es un hipervisor tipo 1 dedicado. Estos son inherentemente más seguros que los populares hipervisores tipo 2.
También: Los mejores servicios VPN: probados y revisados por expertos
Si es un experto en tecnología, puede pensar que eso es cierto, pero ¿acaso los hipervisores de ambos tipos no tienen que ver con máquinas virtuales (VM), no con contenedores? Eso es correcto, pero el equipo de Edera tomó el diseño del hipervisor y lo trasladó a contenedores. Como dijo Emily Long, directora ejecutiva de Edera, «los hipervisores no se han reinventado durante casi dos décadas y simplemente no funcionan en el mundo nativo de la nube». Los desarrolladores de Edera están construyendo un verdadero hipervisor del siglo XXI.
La base del nuevo programa es Sacudida. Este es un hipervisor de host único basado en Xen creado para Iniciativa de contenedores abiertos (OCI)-contenedores conformes. Aísla contenedores con un plano de control Rust totalmente seguro para la memoria para llevar las herramientas Xen a una era nueva y segura. Además, Edera utiliza Lukko, una biblioteca de tiempo de ejecución de seguridad de memoria de código abierto. Esta biblioteca detecta violaciones de seguridad de la memoria en tiempo de ejecución y finaliza limpiamente los programas antes de que puedan ser explotados.
Edera es segura por diseño. Es la única solución independiente que ofrece aislamiento a nivel de contenedor, lo que hace imposible la fuga de contenedores, sin importar dónde ejecute su infraestructura: una hipernube, una nube local o sus propios servidores.
Características clave de Edera
Aislamiento
-
El hipervisor tipo 1 se ejecuta sin sistema operativo y sin estado de kernel compartido entre contenedores.
-
Garantías de seguridad reforzadas sin fugas de contenedores.
-
Las cargas de trabajo confiables y no confiables se ejecutan en el mismo clúster sin riesgo.
Seguridad de la memoria
-
Codificado en Rust, garantizando total seguridad de la memoria.
-
El principio de mínima autoridad limita la superficie de ataque.
Cifrado seguro de memoria
Además, el Edera Protect terminado incluirá un conjunto de funciones avanzadas, como un plano de control empresarial, administración de múltiples clústeres y corrección guiada de violaciones de seguridad de la memoria. Estas características se complementarán con compatibilidad con Kubernetes lista para usar y servicios de soporte premium.
Con el tiempo, Edera también permitirá a los clientes implementar una combinación de tipos de cargas de trabajo en sus clústeres en lugar de tener diferentes clústeres para contenedores y virtualización heredados. También admitirá la distribución de imágenes de VM tradicionales de la misma manera que se distribuyen los contenedores, brindando una experiencia de desarrollador más consistente al trabajar tanto con contenedores como con VM tradicionales.
El equipo fundador de Edera, compuesto por Conill, Long y Alex Zenla, CTO, es un equipo exclusivamente femenino. Esta es una desviación de la norma habitual de liderazgo en desarrollo tecnológico de tech bro. Su experiencia combinada abarca liderazgo en ingeniería, seguridad de software, innovación de productos y gestión ejecutiva. Tienen una visión compartida de construir un futuro tecnológico más inclusivo, empoderador y seguro.
Es el momento adecuado para Edera. Dado que las empresas necesitan contenedores más seguros gracias a la creciente complejidad de la orquestación de contenedores y las vulnerabilidades de seguridad de Kubernetes, Edera presenta un enfoque seguro por diseño que aborda estos desafíos. De hecho, el enfoque único de la empresa, que aprovecha las capacidades de seguridad de la memoria de Rust y la moderna tecnología de hipervisor, puede dejar obsoletas muchas herramientas de seguridad existentes al proporcionar un aislamiento sólido a nivel de contenedor.
Cualquiera puede contribuir a Krata hoy, y Lukko se lanzará inicialmente el 1 de mayo de 2024. Los fundadores pronto comenzarán su primera ronda de recaudación de fondos y están entusiasmados de comenzar ese proceso.
Estoy emocionado de ver qué harán en el futuro. Este es realmente un enfoque nuevo e innovador para la seguridad de contenedores, y bien podría ser un punto de inflexión para la computación nativa de la nube.