Frequently Asked Questions

目前VED支持防御多少条内核漏洞,支持的内核版本范围?

每年Linux内核大概会有CVE编号的漏洞大约为120个左右,统计周期从2017年开始, 从公开PoC和部分业界关注的漏洞评估和测试VED的防护率在95%左右,,公开数据部分基于MITRE的CVE+Ubuntu security tracker + 公开PoC,我司评估比例是大于公开PoC,但未必总数评估会有Ubuntu security tracker统计数量多。VED目前的主线开发和测试基于Linux内核v4.19和v5.15,用户使用最老的内核支持CentOS 7.x(v3.10)。

出现新的漏洞利用方法怎么办?

我们会持续开发防护特性以对抗新的攻击方法。

VED能否防护容器逃逸?

可以,如果攻击者尝试利用某个容器作为跳板进而攻击主机内核比如CVE-2021-22555。

VED对操作系统的性能的影响是否有相关测评数据?

两个场景,计算集中型smallpt测试VED性能损耗为小于1%,极端IO情况下性能损耗超过30-40%。

VED是以内核模块加载,是否每一个内核版本都需要编译一个ko文件?

是的。

VED使用的是哪种hook机制? 和LSM有兼容性问题吗?

VED使用kprobe/ftrace实现hook机制,Debian默认开启AppArmor以及CentOS默认开启SELinux并未影响VED正常工作。VED提供完整功能的LKM版本和云原生审计用途的eBPF版本,后者不需要通过hook实现。

VED支持哪些硬件架构?

x86_64和arm64,仅在AWS Gratiton2(armv8.2)和树莓4(armv8.0)上进行使用。

VED适合什么样的应用场景?

从风险评估的角度,1)云原生的场景中所有容器都共用Linux内核,这种情况下出现容器逃逸会导致集群被一锅端的风险。2)基于AUTOSAR AP的车端系统中的娱乐系统和T-Box所运行的Linux内核面临WiFi和蓝牙固件的巨大风险。从保护重要资产的角度,1)使用SSO(Single Sign-On)的零信任服务器。2)云环境中的控制节点比如Kubernetes master node,OpenStack Nova调度器等。3)密钥管理服务器,比如生成和分发AK (Access Key)的节点,OpenStack集群的身份认证服务节点Keystone。

VED使用了第三方的开源代码框架,而Linux内核本身是遵循GPL许可证,当前开源订阅模式是否会违反GPL合规?

VED采用SuSE,RedHat以及PaX/GRsecurity完全一样的开源订阅模式,即赛博堡垒会跟客户签订开源订阅协议,其中部分内容包括:1)赛博堡垒分享VED代码给客户 2)客户不能泄漏代码给第三方,如果违反赛博堡垒会终止开源订阅协议,但客户已经拿到源代码的部分依然遵循GPL许可证。

是否赛博堡垒所有的产品和方案都是和VED一样的条款?

开源订阅条款类似,但不同产品并非都是基于GPL,比如VaultFuzzer是基于Apache许可证 2.0。