近日,SUSE 发布了自适应 Linux 平台的第三个原型“Piz Bernina”。它以瑞士阿尔卑斯山脉的最 高峰命名,高度关注安全性,在机密计算和零信任方面推出诸多创新理念。
SUSE 的自适应 Linux 平台(Adaptable Linux Platform,ALP)为企业级 Linux 提供了一种在云原生环境中演进用例的新方法,可以应用于从数据中心到云端、再到边缘的任意场景。ALP 是一个以应用程序为中心的安全、灵活的平台,重点关注从硬件和应用运行时层进行抽象时的工作负载。SUSE 每三个月发布一款 ALP 新原型,提供新功能、新方法以及重要变更。
Piz Bernina 包括两个彼此独立的原型,一开始比较接近,但未来随着不同的用例和服务的加入,它们之间将逐步出现差异性。这两个原型分别是:
面向服务器的版本,代码 Bedrock
面向云原生的版本,代码 Micro
Piz Bernina 的重要特性
Piz Bernina 重点关注安全性,相较于SUSE 去年 12 月发布的上一版 ALP 原型,新增了许多增强功能:
机密计算:提供一种受信任的执行环境,通过隔离、加密和执行虚拟机来保护所使用的数据。
硬件和运行时认证:用于验证工作负载的完整性,它与 FDE(全磁盘加密)一起初步实现了端到端的数据安全防护。
为未来的扩展式机密虚拟机 (CVM) 支持奠定基础,包括支持更多的硬件厂商,以及使用最 新的硬件进行机密计算。
与 NeuVector 集成:提供了一个安全的生态系统,让 ALP 用户通过 NeuVector 识别恶意行为,并防止底层主机操作系统或其他容器化工作负载受到影响。
除已支持的 x86_64 和 aarch64 架构外,新增对 s390x 架构的支持。
在安装时可选择带有 TPM(受信任的平台模块)的 FDE,以支持静态数据安全性。
现在,NeuVector 可以在 Piz Bernina 上运行了,这也表明 SUSE 软件供应链的安全性更加强大了。首先是加入了源代码分析功能,接着提供了能够产生发行版以及软件包和容器等构件的经过认证的构建系统环境,现在又推出了用于识别恶意工作负载的运行时扫描工具。
一旦在 ALP 系统上安装并启用后,NeuVector 将立即自动扫描系统上所有正在运行的容器,检测潜在的漏洞及其他威胁。它会学习容器的行为,并允许用户基于它所学的知识实施某些额外的限制。
增强的全磁盘加密和数据安全性
安装 Piz Bernina 时,可选择带有 TPM 的 FDE,以支持静态数据安全性。
与去年 12 月发布的原型不同,Piz Bernina 所有的功能对 LVM(逻辑卷管理程序)和普通分区同样适用。
一个重要变化是,现在首 次启动 ALP 时不再需要输入密码。因为,SUSE 在 Grub2 配置中以硬编码方式植入了临时密码;在首 次启动后,系统会将临时密码从加密装置和 Grub2 配置中完全擦除。此后不久,TPMv2 即完成配置,可用于所有后续启动。
凭借新增加的对带有 TPM 的 FDE 的支持以及机密计算,Piz Bernina 可提供一款适合所有数据类型(包括静态数据、传输中数据和使用中数据)的一体化安全解决方案。
最后,除了已经支持的 x86_64 和 aarch64 架构外,Piz Bernina 还增加了对 s390x 架构的支持。
关于 SUSE
SUSE是全球范围内创新且可靠的企业级开源解决方案领跑者,财富 500 强中有 60% 以上的企业依靠 SUSE 为其关键任务的工作负载赋能。SUSE 专注于企业级 Linux、Kubernetes 管理平台和边缘解决方案,通过与合作伙伴和社区合作,帮助客户随时随地在任意场景进行创新——无论是在数据中心、云端还是边缘环境。SUSE 让“开源”重新“开放”,使客户能够灵活地应对当今的创新挑战,并能够自由地在未来发展其 IT 战略和解决方案。SUSE 在全球拥有近 2000 名员工,2021 年在法兰克福证券交易所的监管市场(Prime Standard)上市。
(推广)