Microsoft представляє LiteBox – новий проект з відкритим кодом

Microsoft розпочала новий проект з відкритим кодом (ліцензія MIT) під назвою LiteBox. Цей проект досліджує новий підхід до ізоляції застосунків, використовуючи бібліотечну операційну систему з фокусом на пісочницю, замість традиційної ОС.

Особливості LiteBox та підходи до ізоляції

LiteBox написаний на Rust, є незалежним від хост-операційної системи та створений для виконання коду на навмисно мінімальному та безпечному шарі операційної системи. Головна ідея полягає в тому, щоб замість того, щоб відкривати застосунки для широкого спектра системних викликів, підсистем ядра та сервісів, він забезпечує вузький інтерфейс, пристосований до навантаження, що виконується.

Мета проекту полягає у зменшенні поверхні атаки та обмеженні наслідків вразливостей як у застосунках, так і в хост-системі.

Модель бібліотечної операційної системи

Проект слідує моделі бібліотечної операційної системи, де основна функціональність операційної системи упакована в бібліотеки, що супроводжують застосунок. У такому дизайні застосунок забезпечує своє власне обмежене середовище ОС, зменшуючи залежність від великого хост-ядра.

Наприклад, на платформі Linux LiteBox може використовуватися для пісочниці навантажень Linux, при цьому відкриваючи значно менше ядра, ніж зазвичай роблять контейнери. На Windows та інших підтримуваних платформах він забезпечує середовище виконання, схоже на Linux, без необхідності мати повне ядро Linux. Це дозволяє запускати незмінені програми Linux на Windows без повної віртуальної машини Linux.

Варіанти використання та переваги LiteBox

LiteBox також може працювати на базі технологій конфіденційних обчислень, таких як AMD SEV-SNP, використовуючи апаратно зашифровану пам’ять та зменшуючи залежність від хосту. Додатково, LiteBox може хостити програми OP-TEE на Linux, забезпечуючи мінімальне середовище ОС для робочих навантажень з довіреним виконанням.

Цільові варіанти використання включають пісочницю ненадійного або частково надійного коду, виконання навантажень, наданих користувачем, в хмарних сервісах, запуск CI-завдань та підтримку впроваджень конфіденційних обчислень, де критично важливо зменшити базу довіреності.

Стан розробки проекту LiteBox

На даний момент LiteBox все ще перебуває на ранній експериментальній стадії. Тому стабільних версій поки що немає. Проте проект виглядає дуже обнадійливо. Ми будемо з великою зацікавленістю стежити за його розвитком.

Для отримання додаткової інформації відвідайте сторінку проекту на GitHub.