Корпорация Microsoft продолжает развивать функции «Защиты ОС» (OS Guard) для своей операционной системы Azure Linux. Данная платформа, предназначенная для хостинга контейнеров, обеспечивает неизменяемость, целостность кода, обязательный контроль доступа и другие функции безопасности.
В последнем обновлении Azure Linux 3.0.20250822 была добавлена поддержка целостности кода OS Guard под названием «osguard-ci». Это обновление также включает в себя ряд других изменений, связанных с OS Guard «osguard». Подробная информация о версии 3.0.20250822 доступна на странице релизов.
Инженеры Microsoft опубликовали запрос на включение функции OS Guard Code Integrity, которая обеспечивает повышенную целостность кода. Для активации проверки целостности кода в контейнерах используется containerd erofs-snapshotter с обновленной конфигурацией /etc/containerd/config.toml и cni для работы с сетью pod.
В дополнение к этому, изображение включает SELinux в принудительном режиме для обеспечения дополнительного уровня безопасности.
Обновленный скрипт генерации OS Guard позволяет генерировать конфигурации образов OS Guard с использованием различных дельта-файлов, что упрощает добавление новых дельта-конфигураций.
OS Guard предоставляет ряд функций:
- Обеспечение целостности кода
- Неизменяемость с помощью dm-verity
- Обязательный контроль доступа с помощью SELinux
- Надежный запуск с помощью интеграции с TPM
Microsoft позиционирует OS Guard как систему с открытым исходным кодом.
Более подробную информацию о функциях Microsoft OS Guard можно найти в блоге Microsoft.