3min

Tags in dit artikel

, , ,

AWS heeft zijn voor containers ontwikkelde besturingssysteem AWS Bottlerocket algemeen beschikbaar gemaakt. Het speciale open-source besturingssysteem moet het beheer van containers veiliger en eenvoudiger maken.

AWS Bottlerocket moet zich van de traditionele op Linux gebaseerde besturingssystemen onderscheiden. Deze laatste besturingssystemen zijn ontworpen om applicaties en een heleboel andere workloads in (meerdere) cloudomgevingen te draaien. Dit betekent dat deze besturingssystemen over een heleboel functionaliteit beschikken die het beheer van deze besturingssystemen vaak complex maakt.

Verschil traditionele Linux-besturingssystemen

AWS Bottlerocket richt zich exclusief op het draaien van software containers. Hierdoor is een heleboel van de functionaliteit waarover de traditionele Linux-besturingssystemen beschikken overbodig.

In de ontwikkeling van AWS Bottlerocket zijn daarom een hoop standaard Linux-componenten weggelaten en alleen die componenten behouden die nodig zijn voor het draaien van op containers gebaseerde workloads. Op deze manier ontstond er, aldus AWS, een op Linux gebaseerd containerbesturingssysteem dat én veiliger is én eenvoudiger te beheren.

Security-mechanismes

Op het gebied van security beschikt AWS Bottlerocket over verschillende onderdelen. Onder meer wordt voorkomen dat hackers misbruik maken van de smallere code base van het containerbesturingssysteem.

Het besturingssysteem voor containers gebruikt ook Security-Enhanced Linux (SELinux) in de ‘enforcing mode’ om de afscheiding of isolatie tussen de containers en het besturingssysteem te vergroten. De enforcing mode wordt ingezet naast de standaard Linux kernel-technologie die de isolatie tussen de afzonderlijke container workloads moet bewerkstelligen, zoals control groups (cgroups), namespaces, and seccomp.

Daarnaast is AWS Bottlerocket geschreven in de programmeertaal Rust geschreven, waardoor het minder gevoelig is voor buffer overflows in het geheugen. Het voorkomt dat hackers geheugenfouten kunnen misbruiken.

Beveiliging tegen persistent malware

Daarnaast is het containerbesturingssysteem beschermd tegen zogenoemde persistent-bedreigingen, die toegang zoeken tot bepaalde belangrijke onderdelen van een besturingssysteem om de aanwezigheid te verhullen.

AWS Bottlerocket vermindert de risico’s van persistent malware met behulp van de Device-mapper’s verity target (dm-verity)-feature van de Linux-kernel. dm-verity ontdekt onderdelen van het Linux-besturingssysteem die zonder toestemming zijn veranderd. Dit kan dan wijzen op persistent malware.

Verder forceert AWS Bottlerocket een operating-model dat de beveiliging van het besturingssysteem verbetert door het afraden van administratieve verbindingen naar productieservers. Uitgebreide toegang tot cloud instances, maakt dit zeer gevoelig voor aanvallen. In AWS Bottlerocket is deze toegang beperkt. Toegang tot individuele Bottlerocket instances is alleen bedoeld voor geavanceerde debugging en troubleshooting.

Operationele functionaliteit

Op operationeel vlak is in AWS Bottlerocket functionaliteit toegevoegd voor het op schaal beheren van nodes en het automatisch updaten van de nodes in clusters. Het goed en eenvoudiger kunnen updaten is belangrijk, omdat veranderingen aan het besturingssysteem mogelijk tot downtime kunnen leiden.

In AWS Bottlerocket wordt dit voorkomen door atomic updates. Hiermee zijn beheerders is staat bij fouten de updates zonder gevolgen veilig terug te draaien. Dit leidt tot minder overhead en kostenbesparingen in het beheer.

Gebruik containerorkestratieplatform belangrijk

De techgigant adviseert om naast AWS Bottlerocket een containerokestratieplatform te gebruiken voor geautomatiserde patching van hosts. Dit verbetert de operationele kosten, het beheer en uptime. Het maakt niet uit welk orkestratieplatform dit is.

AWS Bottlerocket is een open-source project en is nu beschikbaar via GitHub.

Tip: AWS benadrukt belang van fundering en Well Architected Framework