Linux, Rust et conteneurs : AWS présente Bottlerocket

07/09/2020
logo AWS

AWS annonce un nouveau Linux orienté sécurité pour les conteneurs. Il est composé d’une majorité de composants écrits dans le langage Rust.

Rust, un langage récent, commence à creuser son trou dans le monde de l’open source. Après que Linus Torvalds ait accepté l’ajout de composants Rust à Linux et que la communauté ait intégré une plus grande part de ce langage dans ses développements, c’est au tour d’AWS. L’annonce de Bottlerocket Linux est un jalon dans important dans la visibilité de Rust et son apport à la sécurité des systèmes.

La sécurité au cœur du développement

À l’occasion de l’annonce, de la disponibilité de Bottlerocket Linux Samartha Chandrashekar, chef de produit AWS, a déclaré que le choix du langage Rust contribue à garantir la sécurité des threads et à prévenir les erreurs liées à la mémoire, telles que les dépassements de mémoire tampon qui peuvent conduire à des failles de sécurité ».

Au cœur des développements de Bottlerocket, on trouve aussi Verity de Device-mapper. Cette fonctionnalité du noyau Linux surveille l’activité du noyau et vérifie l’intégrité pour empêcher des attaquants potentiels d’écraser le logiciel système principal ou de lancer des attaques de type rootkit.

Une autre stratégie de sécurisation repose sur l’inutilité de se connecter à une instance de Bottlerocket en production en dehors des activités de débogage et de dépannage avancés. Le conteneur d’administration exécute Amazon Linux 2. Ce dernier contient les utilitaires de dépannage et de débogage et ne peut s’exécuté qu’avec des privilèges élevés.

SELinux pour une meilleure isolation

Les instances Bottlerocket s’exécutent avec Security-Enhanced Linux (SELinux) en mode d’application afin d’augmenter l’isolation entre les conteneurs et le système d’exploitation hôte. AWS assure que Bottlerocket est suffisamment rapide et facile d’entretien pour assurer cette configuration. D’ailleurs, des partenaires d’AWS comme Datadog, Splunk et Puppet utilisent déjà la solution en production.

Un projet communautaire

Bottlerocket est un projet open source disponible sur GitHub avec une documentation complète, des outils de construction et de test. Le code est publié sous licence Apache 2.0 ou MIT.

Source : aws.amazon.com

comments powered by Disqus
top