AWS Bottlerocket容器操作系統(tǒng)全面上市

AWS今天宣布Bottlerocket全面上市，這是一款專(zhuān)門(mén)為了運(yùn)行軟件容器而開(kāi)發(fā)的開(kāi)源Linux發(fā)行版。

主流的Linux發(fā)行版不僅設(shè)計(jì)可以運(yùn)行容器（容器讓?xiě)?yīng)用可以運(yùn)行在多個(gè)計(jì)算環(huán)境中），而且還可以運(yùn)行一系列其他工作負(fù)載，因?yàn)橹С执罅坑美?，所以有大量難以管理的組件。

在開(kāi)發(fā)Bottlerocket時(shí)，AWS去掉了很多標(biāo)準(zhǔn)Linux組件，只保留了運(yùn)行容器工作負(fù)載所需的組件，從而打造了一個(gè)易于管理且更為安全的操作系統(tǒng)，之所以安全性更高，是因?yàn)锽ottlerocket較小的代碼庫(kù)減少了黑客可以利用的潛在漏洞。

此外，AWS采取了許多其他防護(hù)措施來(lái)防止威脅，例如工程師利用Rust語(yǔ)言編寫(xiě)了Bottlerocket的大部分內(nèi)容，這與主要用C語(yǔ)言編寫(xiě)的Linux內(nèi)核相比降低了緩沖區(qū)溢出的可能性。

此外AWS還提高了Bottlerocket的安全性以應(yīng)對(duì)所謂的持久性威脅。持久性威脅（也稱為持久性惡意軟件）是一種惡意程序，可以獲取對(duì)操作系統(tǒng)關(guān)鍵組件的訪問(wèn)權(quán)，并利用這些組件隱藏其蹤跡。

Bottlerocket通過(guò)稱為dm-verity的Linux內(nèi)核功能來(lái)降低此類(lèi)攻擊的風(fēng)險(xiǎn)，該功能會(huì)檢測(cè)未經(jīng)許可被篡改的操作系統(tǒng)，而這也是發(fā)現(xiàn)隱藏持久性惡意軟件的一個(gè)可靠方法。

AWS產(chǎn)品經(jīng)理Samartha Chandrashekar在博客文章中表示：“Bottlerocket還可以通過(guò)阻止與生產(chǎn)服務(wù)器的管理連接來(lái)強(qiáng)制實(shí)施一種操作模型，進(jìn)一步提高安全性。”管理員帳戶通?？梢詮V泛訪問(wèn)云實(shí)例，這使其成為黑客的目標(biāo)?！暗卿浀絾蝹€(gè)Bottlerocket實(shí)例，對(duì)于高級(jí)調(diào)試和故障排除來(lái)說(shuō)是一種不常見(jiàn)的操作行為?！?/span>

Bottlerocket簡(jiǎn)化容器運(yùn)行的另一種方法，是簡(jiǎn)化操作系統(tǒng)更新。將操作系統(tǒng)變更部署到運(yùn)行關(guān)鍵任務(wù)應(yīng)用的容器環(huán)境，這種行為是存在風(fēng)險(xiǎn)的，因?yàn)椴渴饐?wèn)題可能會(huì)導(dǎo)致停機(jī)?？紤]到這一點(diǎn)，AWS在Bottlerocket中開(kāi)發(fā)了一項(xiàng)名為原子更新的功能，讓管理員可以在導(dǎo)致錯(cuò)誤的情況下安全地撤消操作系統(tǒng)變更。

“可以以原子方式應(yīng)用和回滾Bottlerocket的更新，使其更容易實(shí)現(xiàn)自動(dòng)化，減少管理開(kāi)銷(xiāo)，降低運(yùn)營(yíng)成本，”Chandrashekar說(shuō)道。