Механизмы безопасности
Аврора
ОС Аврора обеспечивает прикладную эшелонированную защиту
Прикладная – все механизмы сконфигурированы и работают изначально, не требуют настройки администратором
Эшелонированная – используется комплекс различных мер и методов, которые пересекаются и дополняют друг друга
Прикладная – все механизмы сконфигурированы и работают изначально, не требуют настройки администратором
Эшелонированная – используется комплекс различных мер и методов, которые пересекаются и дополняют друг друга
Защита от попадания/запуска недоверенного кода на устройстве
Меры защиты при выполнении недоверенного кода на устройстве
Обнаружение и реагирование на последствия исполнения недоверенного кода на устройстве
- Подпись пакетов
- Динамический контроль целостности исполняемых файлов (IMA)
- Валидация используемого API
Меры защиты при выполнении недоверенного кода на устройстве
- Изоляция-песочница для приложений и их данных
- Разрешения приложений
- Запрет небезопасных системных вызовов (seccomp)
- Запрет выполнения записи и сразу же исполнения (JIT)кода от имени привилегированного пользователя
- Запрет механизмов отладки приложений
- Защищенное хранилище ключей (при Аврора TEE)
- Включение доступных механизмов защиты на уровне компилятора
Обнаружение и реагирование на последствия исполнения недоверенного кода на устройстве
- Сервисы контроля целостности данных и системы (securityd/integrityd)
- Доверенная загрузка (Secure boot)
- Динамический контроль целостности ядра - ATIC (Aurora Trusted Integrity Checker)
- Механизмы самозащиты ядра
Защита от исполнения недоверенного кода
На пакете для установки в ОС Аврора присутствуют
2 подписи:
Подпись разработчика
Обязательная подпись, которая позволяет идентифицировать автора пакета, используется для подписи пакета и исполняемых файлов внутри него.
Без подписи разработчика невозможно установить приложение на устройство с ОС Аврора.
Подпись источника
Дополнительная защита и контроль устанавливаемого ПО на устройства компании. Все приложения, которые будут использоваться в инфраструктуре компании, рекомендуется подписывать клиентской подписью.
Также подпись источника добавляется магазинами приложений.
Администраторы ОС Аврора имеют возможность обеспечить установку пользователями на МУ только приложений, подписанных источниками, которым они (администраторы) доверяют.
2 подписи:
Подпись разработчика
Обязательная подпись, которая позволяет идентифицировать автора пакета, используется для подписи пакета и исполняемых файлов внутри него.
Без подписи разработчика невозможно установить приложение на устройство с ОС Аврора.
Подпись источника
Дополнительная защита и контроль устанавливаемого ПО на устройства компании. Все приложения, которые будут использоваться в инфраструктуре компании, рекомендуется подписывать клиентской подписью.
Также подпись источника добавляется магазинами приложений.
Администраторы ОС Аврора имеют возможность обеспечить установку пользователями на МУ только приложений, подписанных источниками, которым они (администраторы) доверяют.
Подпись пакета для установки приложения
IMA (Integrity Measurement Architecture) – подсистема ядра Linux для обеспечения динамического контроля целостности
- Подписи интегрированы в RPM пакет: расширенные атрибуты восстанавливаются при установке пакета
- В ОС Аврора добавлена поддержка алгоритмов ГОСТ
- IMA запрещает выполнение неподписанных или некорректно подписанных исполняемых файлов и динамических библиотек
Динамический контроль целостности (IMA)
Изоляция приложений в ОС Аврора
Приложения в ОС Аврора запускаются в «песочнице»
Используются следующие механизмы:
- Обеспечивается изоляция данных приложений.
- Приложения не могут влиять друг на друга.
Используются следующие механизмы:
- Ограничения доступа к файловой системе
- Запрета некоторых системных вызовов, например: mount/umount, ptrace, kexec и др.
- Фильтрующий прокси для D-Bus