Frequently Asked Questions
目前VED支援防禦多少條內核漏洞,支援的內核版本範圍?
每年Linux內核大概會有CVE編號的漏洞大約為120個左右,統計週期從2017年開始, 從公開PoC和部分業界關注的漏洞評估和測試VED的防護率在95%左右,,公開數據部分基於MITRE的CVE+Ubuntu security tracker + 公開PoC,我司評估比例是大於公開PoC,但未必總數評估會有Ubuntu security tracker統計數量多。 VED目前的主線開發和測試基於Linux內核v4.19和v5.15,使用者使用最老的內核支援CentOS 7.x(v3.10)。
出現新的漏洞利用方法怎麼辦?
我們會持續開發防護特性以對抗新的攻擊方法。
VED能否防護容器逃逸?
可以,如果攻擊者嘗試利用某個容器作為跳板進而攻擊主機內核比如CVE-2021-22555。
VED對操作系統的性能的影響是否有相關測評數據?
兩個場景,計算集中型smallpt測試VED性能損耗為小於1%,極端IO情況下性能損耗超過30-40%。
VED是以內核模組載入,是否每一個內核版本都需要編譯一個ko檔?
是的。
VED使用的是哪種hook機制? 和LSM有相容性問題嗎?
VED使用kprobe/ftrace實現hook機制,Debian預設開啟AppArmor以及CentOS默認開啟SELinux並未影響VED正常工作。 VED提供完整功能的LKM版本和雲原生審計用途的eBPF版本,後者不需要通過hook實現。
VED支援哪些硬件架構?
x86_64和arm64,僅在AWS Gratiton2(armv8.2)和樹莓4(armv8.0)上進行使用。
“VED適合什麼樣的應用場景?"
“從風險評估的角度,1)雲原生的場景中所有容器都共用Linux內核,這種情況下出現容器逃逸會導致集群被一鍋端的風險。 2)基於AUTOSAR AP的車端系統中的娛樂系統和T-Box所運行的Linux內核面臨WiFi和藍牙固件的巨大風險。 從保護重要資產的角度,1)使用SSO(Single Sign-On)的零信任伺服器。 2)雲環境中的控制節點比如Kubernetes master node,OpenStack Nova調度器等。 3)密鑰管理伺服器,比如生成和分發AK (Access Key)的節點,OpenStack集群的身份認證服務節點Keystone。 "
VED使用了第三方的開原始程式碼框架,而Linux內核本身是遵循GPL許可證,當前開源訂閱模式是否會違反GPL合規?
VED採用SuSE,RedHat以及PaX/GRsecurity完全一樣的開源訂閱模式,即賽博堡壘會跟客戶簽訂開源訂閱協定,其中部分內容包括:1)賽博堡壘分享VED代碼給客戶 2)客戶不能洩漏代碼給第三方,如果違反賽博堡壘會終止開源訂閱協定,但客戶已經拿到源代碼的部分依然遵循GPL許可證。
是否賽博堡壘所有的產品和方案都是和VED一樣的條款?
開源訂閱條款類似,但不同產品並非都是基於GPL,比如VaultFuzzer是基於Apache許可證 2.0。