Microsoft ออกโมดูล Code Integrity สำหรับ Linux

Microsoft ได้ออก Linux Security Module สำหรับตรวจสอบความถูกต้องของโค้ดใน Linux หรือ Integrity Policy Enforcement (IPE)

Linux Security Module เป็นส่วนเสริมสำหรับ Linux Kernel เพื่อทำเรื่องของ Security โดยเฉพาะ ทั้งนี้ Microsoft ได้พัฒนาโมดูล LSE ของตนขึ้นสำหรับการตรวจจับ Integrity ของโค้ด อย่างไรก็ดีได้ชี้แจงว่าโมดูลดังกล่าวเหมาะสมกับองค์กรหรือการใช้งานที่ต้องเข้มงวดกับเรื่อง Security อย่างมากเท่านั้นเช่น Embedded System, Network Firewall หรือ Linux Server ซึ่งบน Azure เองก็มีการใช้งานกันอยู่มาก

ไอเดียก็คือผู้ดูแลระบบที่ใช้งาน IPE จะสามารถสร้างรายชื่อของ Binary ที่อนุญาตให้รันและเพิ่มคุณสมบบัติบางอย่างให้ Kernel ตรวจสอบก่อนรันจริงว่า Binary เหล่านั้นถูกแก้ไขหรือไม่ โดย IPE ทำงานได้ 2 โหมดคือ 1. Permissive ตรวจการละเมิดสิทธิ์และเก็บ Log แต่ไม่ Enforce เอาไว้ทดสอบ Policy 2. Enforce คือบล็อกเลยเมื่อ Integrity ถูกแก้ไข อย่างไรก็ดี Microsoft ชี้ว่า IPE จะไม่สามารถทำงานได้กับ Dynamic Generated Code (โค้ดที่ถูกสร้างขึ้นอย่างอัตโนมัติ) หรือ Interpreter Language แต่หากเปรียบเทียบกับโมดูล Integrity Measurement Architecture (IMA) ของ Linux คือ IPE ไม่จำเป็นต้องอาศัยส่วนประกอบเพิ่มเหมือน IMA ที่ต้องอาศัย IMA Signature

ผู้สนใจสามารถศึกษาได้เพิ่มเติมจาก GitHub 

ที่มา :  https://www.zdnet.com/article/microsoft-announces-ipe-a-new-code-integrity-feature-for-linux/ และ  https://betanews.com/2020/04/08/microsoft-ipe-lsm-linux-security-module/