Frequently Asked Questions
HardenedVault在AWS上线的安全增强版Linux主要特点是什么?
HardenedVault安全增强版Linux有很多特点,其中两个主要的是:1)默认内置安全基线,这些基线大多基于CIS和STIG,并且用户可以根据自己的安全合规需求进行改造。2)集成了VED-LTS,这是一款可以防御0-day和N-day漏洞利用攻击以及rootkits的防护方案,最近三年的容器逃逸漏洞大多都能够防御。
贵司使用的Ubuntu作为基础发行版进行安全增强,是否与商业发行版厂商如RedHat或SuSE存在竞争关系?
HardenedVault的方案可以基于任何GNU/Linux发行版进行开发和适配,与商业发行版厂商如RedHat或SuSE并没有竞争关系。我们一个客户在arm64边缘计算设备上运行Debian的派生系统我们也完成了同样的安全增强。我们使用Ubuntu LTS版本进行适配是基于市场调研和用户反馈作出的决定。那些已经购买了商业开源订阅服务的RedHat/SuSE/Canonical用户,如果觉得安全需要加强,都可以与HardenedVault合作。
你们的介绍中提到了更容易实现合规,用户没有采购HardenedVault方案的情况也能实现合规需求,那你们的优势是什么?
虽然更轻松地实现安全合规是HardenedVault方案的一项特点,但我们还提供其他便利。例如,每年大约有120个Linux内核公开漏洞(有CVE编号),且大量漏洞可以实施容器逃逸。VED完整版可以抵御大部分的漏洞利用方法,即使是VED-LTS,也可以大大降低因未及时打补丁而引发的安全风险。
使用VED是否会影响OS稳定性和业务连续性?
使用VED技术不会对OS稳定性和业务连续性产生任何影响,反而可以提高系统的安全性和业务的连续性。首先,VED的部署和升级都非常方便;其次,根据当前的漏洞披露情况,每2.5天就会出现一个CVE漏洞,需要客户升级修复。而使用VED技术,可以将漏洞修复的时间延长到平均90天甚至更长。
从中国亚马逊转区到AWS,修改了支付通道后有一些区无法使用,怎么解决?
我们很抱歉您的遭遇。HardenedVault并没有限制在AWS上的使用区域。我们已经接到一些用户的反馈,建议使用美国或欧洲的Region可以提高成功率。或者,您需要一张中国内地以外的商业银行信用卡。
HIDS/EDR类产品已经提供了基线合规检测,为什么还需要使用HardenedVault方案
虽然大多数主机防御类产品HIDS/EDR/XDR具备基线扫描功能,但根据扫描结果的整改需要耗费不少的工作量。HardenedVault的安全增强版Linux已经部署了必要的基线和审计规则等。更重要的是,VED可以把SOC/SIEM/XDR的监控范围扩大到内核层级,即使对于没有运行云原生/容器的场景也会有很大帮助。此外,目前的HIDS/EDR不具备Linux内核运行时的防护能力,而Vault Labs测试过已经公开15个月的PoC/Exploit,依然能够击穿部署HIDS/EDR的节点。总的来说,EDR/HIDS和HardenedVault方案是可以互补的,比如SIEM/XDR威胁平台服务器本身也需要安全防护,虽然业界不愿意公开谈论安全产品也需要自防护的问题,但Tetragon事件并不是孤立个案。
VED适合什么样的应用场景?
从风险评估的角度,1)云原生的场景中所有容器都共用Linux内核,这种情况下出现容器逃逸会导致集群被一锅端的风险。2)基于AUTOSAR AP的车端系统中的娱乐系统和T-Box所运行的Linux内核面临WiFi和蓝牙固件的巨大风险。从保护重要资产的角度,1)使用SSO(Single Sign-On)的零信任服务器。2)云环境中的控制节点比如Kubernetes master node,OpenStack Nova调度器等。3)密钥管理服务器,比如生成和分发AK (Access Key)的节点,OpenStack集群的身份认证服务节点Keystone。
目前VED支持防御多少条内核漏洞,支持的内核版本范围?
每年Linux内核大概会有CVE编号的漏洞大约为120个左右,统计周期从2017年开始, 从公开PoC和部分业界关注的漏洞评估和测试VED的防护率在95%左右,,公开数据部分基于MITRE的CVE+Ubuntu security tracker + 公开PoC,我司评估比例是大于公开PoC,但未必总数评估会有Ubuntu security tracker统计数量多。VED目前的主线开发和测试基于Linux内核v5.15和v5.19,用户使用最老的内核支持CentOS 7.x(v3.10)。
出现新的漏洞利用方法怎么办?
我们会持续开发防护特性以对抗新的攻击方法。
VED能否防护容器逃逸?
可以,如果攻击者尝试利用某个容器作为跳板进而攻击主机内核比如CVE-2021-22555。
VED对操作系统的性能的影响是否有相关测评数据?
两个场景,计算集中型smallpt测试VED性能损耗为小于1%,极端IO情况下性能损耗超过30-40%。
VED是以内核模块加载,是否每一个内核版本都需要编译一个ko文件?
是的。
VED使用的是哪种hook机制? 和LSM有兼容性问题吗?
VED使用kprobe/ftrace实现hook机制,Debian默认开启AppArmor以及CentOS默认开启SELinux并未影响VED正常工作。VED提供完整功能的LKM版本和云原生审计用途的eBPF版本,后者不需要通过hook实现。
VED支持哪些硬件架构?
x86_64和arm64,仅在AWS Gratiton2(armv8.2)和树莓4(armv8.0)上进行使用。
VED适合什么样的应用场景?
从风险评估的角度,1)云原生的场景中所有容器都共用Linux内核,这种情况下出现容器逃逸会导致集群被一锅端的风险。2)基于AUTOSAR AP的车端系统中的娱乐系统和T-Box所运行的Linux内核面临WiFi和蓝牙固件的巨大风险。从保护重要资产的角度,1)使用SSO(Single Sign-On)的零信任服务器。2)云环境中的控制节点比如Kubernetes master node,OpenStack Nova调度器等。3)密钥管理服务器,比如生成和分发AK (Access Key)的节点,OpenStack集群的身份认证服务节点Keystone。
VED使用了第三方的开源代码框架,而Linux内核本身是遵循GPL许可证,当前开源订阅模式是否会违反GPL合规?
VED采用SuSE,RedHat以及PaX/GRsecurity完全一样的开源订阅模式,即赛博堡垒会跟客户签订开源订阅协议,其中部分内容包括:1)赛博堡垒分享VED代码给客户 2)客户不能泄漏代码给第三方,如果违反赛博堡垒会终止开源订阅协议,但客户已经拿到源代码的部分依然遵循GPL许可证。
是否赛博堡垒所有的产品和方案都是和VED一样的条款?
开源订阅条款类似,但不同产品并非都是基于GPL,比如VaultFuzzer是基于Apache许可证 2.0。