Использование WebAssembly может стать обязательным для удовлетворения требований соответствия безопасности при решении других текущих загадков безопасности, поскольку WASM становится более широко принятым.
Согласно документу Национального института стандартов и технологий (NIST), «подход к защите данных для облачных приложений» (авторы: Уэсли Хейлз из утечки; Рамасвами Чандрамули, надзорный компьютерный ученый в NIST), может и должна быть интегрирована и должна быть интегрирована В частной сетке нативной сетки, в частности, для повышения безопасности. Структура, изложенная в документе, может привести к будущим требованиям соответствия для веб -ассемэмбилеров или облачных нативных сред, а также создавать почву для более широкого использования веб -ассемембели для безопасности в целом.
В документе подчеркивается, как модули веб-ассемблера, с их подходом in situ или не в прокси, делают Webassembly сильным кандидатом на категоризацию данных, поскольку данные проходят между услугами. С WASM предоставляются проверки данных по любому типу данных, распределенных по одной или нескольким облачным нативным средам.
«У многих людей есть молоток EBPF, и все для них выглядит как гвоздь, но это не так»,-сказал соавтор отчета Хейлз новому стеку. «EBPF построен для одной вещи».
EBPF был первоначально разработан для защиты от боковых атак, таких как уязвимость сердца, которая ставила под угрозу криптографическую библиотеку OpenSSL-и другие связанные уязвимости уровня ядра. EBPF позволяет вам исправить что -то, как только это обнаружит, и блокировать эту деятельность, объяснил Хейл.
«Люди используют это для всего, потому что это простой момент вставки. Это одно из преимуществ EBPF — его легко установить и обеспечивает определенный уровень видимости. Тем не менее, он не может подключиться к читаемому на человеку тексту, так как он работает в пространстве ядра »,-сказал Хейл.
Привлечение пакетов из EBPF на уровне 4 в пользовательское пространство для анализа требует зеркала пакетов перед анализом в контейнере. «Это создает процесс, похожий на Франкенштейн, который вообще не работает»,-сказал Хейлз. «Васм действительно служит целью того, что мы делаем. Мы на самом деле прототипировали EBPF, и это просто не сработало для нас ».
EBPF против WASM
Сравнивая безопасность EBPF с безопасности WASM, авторы статьи писали:
«Использование WASM для проанализируемого человеческого текста в уровнях 4–7 предлагает несколько преимуществ по сравнению с такими технологиями, как EBPF, особенно в отношении обработки сложных данных, таких как HTTP. В то время как EBPF является мощным для сбора данных и манипуляций непосредственно внутри ядра, его использование для анализа подробного HTTP -трафика может быть сложным и потенциально чрезмерным для некоторых приложений. Эта сложность проистекает из необходимости справляться с тонкостями HTTP в ядре — задача, которая может ограничить производительность и ввести проблемы с безопасностью, если не управлять правильно. Кроме того, EBPF налагает многочисленные ограничения и требует дополнительных усилий для обработки данных и вычислений общего назначения.
«WASM предоставляет безопасную среду с песочницей, подходящую для эффективного выполнения кода на нескольких платформах и протоколах абонента. WASM может использоваться в пользовательских пространствах и средах серверов, позволяет легче интегрировать существующие библиотеки и инструменты, уменьшая сложность и потенциально повышать надежность операций анализа. Его мобильность и способность внедрять различные среды выполнения делают его практическим выбором для задач анализа сетевого трафика, в том числе тех, которые включают протоколы, которые обрабатывают человеческий текст ».
В местном мире Cloud весь трафик данных навязывается через прокси -сервис и WASM с модульной или «песочницей». «У вас может быть 10 000 контейнеров, сидящих за прокси ISTIO, в то время как весь трафик регистрации, весь веб -трафик, даже трафик базы данных должен идти в прокси, а затем везде, где находится пункт назначения», — сказал Хейлз. «Итак, мы сможем посмотреть на это с Wasm».
Большая картина
Один вывод из статьи не в том, что безопасность с Webassembly превосходит безопасность EBPF. Это говорит, и для того, чтобы повторить, так это то, что при выполнении шага назад — будь то в наблюдении, безопасности, комплексном решении или стратегии или передовой практике — один не должен заменять один на другой. Таким образом, для правительства сша, например, было бы крайне маловероятно, чтобы внезапно поручить веб -ассембурию, а не внедрить или не предписывать EBPF для определенных вариантов использования. В коммерческом мире комплексный игрок в безопасность или наблюдение или предложение должны включать EBPF для его сценария использования и веб -ассемэмбиля для других.
«EBPF никогда не предназначалась для того, чтобы быть общей вычислительной платформой, и она имеет как алгоритмические, так и ограничения памяти. С точки зрения безопасности, это также плохая практика, чтобы подтолкнуть функциональность к ядру (где находится EBPF), когда это может быть достигнуто в пространстве пользователя, как Wasm »,-сказал Бен Хиршберг, технический директор и соучредитель Armo. «Таким образом, гораздо больше смысла реализовать сложную логику наблюдения в WASM и оставлять необходимую минимальную функциональность в EBPF».
Действительно, Webassembly была разработана для так называемой безопасности песочницы с самого начала. «Наиболее широко используемая среда приложений с песочницей — это та, которую я гарантирую, вы работаете прямо сейчас: веб -браузер. Браузер представляет собой среду, основанную для запуска ненадежного кода. Наследие Webassembly на основе браузера является причиной ее первоклассной технологии песочницы »,-сказал Мэтт Батчер, соучредитель и генеральный директор Fermyon. В отличие от контейнеров и EBPF, безопасность не была запоздалой мыслью; Это была основная особенность от начала до настоящего времени. Я не удивлен, увидев пролиферацию WASM в чувствительной к безопасности средах ».
Помимо прокси -сервера ISTIO, WASM обеспечивает охват более обширным способом, чем EBPF CAN, охватывая передачи данных через HTTP, GRPC или GraphQL, или везде, где проходит сетевой трафик, объяснил Хейлз. «Это не имеет значения, так как они все еще проходят через эту трубу слоя 7 через слой 4», — сказал Хейлз.
«Полезно думать о WASM как о гибкой основной технологии с четко определенными методами расширения. Он нейтрален на платформе, что означает, что он может работать на многих операционных системах и системных архитектурах. И теперь это поддерживается почти всеми основными языками программирования », — сказал Батчер. «По сути, это делает WASM более адаптируемым, чем EBPF. Чтобы выразить это кратко: WASM был построен, чтобы быть общим назначением, в то время как EBPF не был ».
Алекс Уильямс внес свой вклад в эту статью.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. BC Gain является основателем и главным аналитиком Revecom Media. Его одержимость компьютерами началась, когда он взломал консоль космических захватчиков, чтобы играть весь день за 25 центов в местной видеокаде в начале 1980 -х годов. Затем он … читайте больше от B. Cameron Gain
