容器化 Linux：物聯網安全性的秘密

September 20, 2018

Brandon Lewis

許多軟體開發團隊傾向於採用常見 Linux 流通版本作為基礎來設計工業系統，甚至是在內部開發自己的 Linux 版本。從安全性的角度來看，並不建議每次都這麼做，因為實施正式安全性開發所需的努力成本高昂且曠日廢時，偏離了提供增值工業產品的目標。

雖然開放原始碼 Linux 社群不斷地修正錯誤和提供安全性修補程式，但隨著時間經過以及內部程式碼庫逐漸偏離社群基準，這道安全網對開發團隊而言可能會減弱。在工業級嵌入式裝置的整個部署週期中，軟體開發團隊將必須承擔資安責任，對象不僅是其核心 Linux 流通版本，還包括數量及複雜度日益增長的應用程式程式碼。

組織必須判斷開放原始碼 Linux 型開發環境的彈性與靈活度，是否值得他們投注隨之而來所需的心力，在整個產品生命週期維護安全程式碼庫。

安全軟體的價值與成本

目前有超過 500 個有效漏洞會影響 Linux 核心，影響範圍從溢位與旁路到記憶體及隱私權錯誤。

支持安全 Linux 流通版本的其中一項主要缺點，是安全性難以轉化為利潤，在客戶眼中沒有增加太多價值。安全性現在被視為理應提供，只有被突破時才會引起注意。

但是從安全軟體開發週期 (SDLC) 的角度來看，其中有著許多備受矚目的考量。這些考量包括在 SDLC 的評估、架構、設計、實施和部署階段採用最佳做法，以及在現場將軟體部署於物聯網裝置很久以後，仍要進行監控和維護的規定。

驅動這些實務的是處理技術、營運和週期需求的策略（圖1）。這些需求包括大量軟體如何與底下的矽元素互動、要使用哪些開發與測試工具及如何使用、整合第三方服務的方式、加密網路連線能力，以及裝置管理與更新程序。

圖1. 安全軟體開發週期 (SDLC) 需有滿足程式碼之技術功能穩定性，以及整個產品生命週期之操作用途的程序。（資料來源：Wind River）

此外，鑒於物聯網裝置的性質，監控 MITRE 安全性資料庫所列常見漏洞與暴露 (CVE) 之威脅的機制必須到位，才能在出現新威脅時保護現場的裝置。這需要開發團隊具備足夠靈活度，才能迅速識別弱點、通知用戶端，以及無線 (OTA) 提供安全性修補程式及錯誤修正，防範損害於未然。

這樣的基礎結構不僅建置並付諸實行的成本所費不貲，而且可能需時數年才能適當精簡。

結合開放原始碼彈性與工業級安全性

有個替代方案是與已具備安全 SDLC 及實務的廠商合作。例如，Wind River Linux 是以 Yocto Project 工具及程序為基礎的容器化 Linux 流通版本，不僅可為軟體工程師提供開放原始碼環境的靈活性，而且還有商務級錯誤與弱點修正的支援（圖2）。

圖2. Wind River Linux 採用容器型架構，可安全地隔離軟體元件、簡化應用程式整合，並可進行目標式應用程式更新。（資料來源：Wind River）

Wind River Linux 的安全性與靈活度源自於其容器架構，可隔離重要軟體元件（例如 Linux 核心及使用者空間程式庫）與要部署於工業裝置的應用程式。此架構也會將這類容器中的應用程式彼此隔離，有效地隔離可能在任何應用程式中產生的弱點，避免影響其他敏感程式碼或資源。

此架構不僅有助於整合來自Red Hat 或 Ubuntu 等其他熱門 Linux 流通版本的應用程式，而且還分隔軟體元件並減少相依性，讓程式碼庫升級和管理更輕鬆。

作業系統提供各種來自傳統 Wind River Linux 的精選套件和中介軟體，包括適用於特定市場之安全性、虛擬化及電信業者級功能的設定檔。作業系統的開發採用了Wind River 的安全性架構，而此架構運用了 Intel^®處理器提供的安全功能，例如 Intel^® 受信任執行技術(Intel^® TXT)、安全開機，以及採用 Intel^® 進階加密標準新增指令 (Intel^® AES-NI) 之加密演算法的硬體加速。

然而，對於工業組織和開發人員來說，Wind River Linux 的主要優勢是當作周全的軟體基礎結構平台。與其建立並維護自己的流通版本，客戶可改為在特定硬體目標上使用認證二進位映像，並交由 Wind River 和 OEM 進行維護。

作為此維護的一部分，Wind River 會監控安全性資料庫（例如 MITRE）是否有可能會影響軟體元件的弱點，並且還會發布修補程式，供使用者直接從線上支援系統存放庫下載。下載後即可將這些修補程式安裝在任何適用的作業系統容器上。