近日，被称为国际顶级的信息安全会议 BlackHat USA 2024 在美国拉斯维加斯召开。来自字节跳动云安全团队的开源系统 vArmor 入选 Blackhat Arsenal，并在会议现场进行了名为《BlackHat USA 24 Arsenal – vArmor A Sandbox System for Hardening Cloud-Native Containers》议题分享。

众所周知，作为安全行业的全球顶级峰会，BlackHat 对于来自全球各地提交的安全技术议题和 Arsenal 军械库展示的筛选评估一向苛刻。其中，BlackHat Arsenal 军械库展示是发源自 BlackHat 的一大特色，该展示邀请演讲者向听众现场演示其前沿研究和攻防工具，并与其进行面对面交流，从而丰富安全社区的安全工具集。

vArmor 是什么？

针对 Linux 容器隔离性弱、漏洞修复前缺乏缓解措施、已有加固手段门槛高、加固能力缺少云原生视角等问题和痛点，字节跳动云安全团队自研并开源了云原生容器沙箱——vArmor。它借助 Linux 内核的 LSM（AppArmor & BPF）和 Seccomp 技术对容器进行沙箱加固，从而增强容器隔离性、减少内核攻击面、增加容器逃逸和横向移动的难度与成本。

vArmor 遵循 Kubernetes Operator 设计模式，使用户可以通过声明式 API 来操作沙箱系统对工作负载进行加固。从而以更贴近业务的视角，实现对容器化微服务的沙箱加固。。（扩展阅读：正式开源！字节安全团队自研云原生容器沙箱 vArmor）
随着云原生技术的广泛应用，企业对容器化微服务的加固需求将持续增长。vArmor 的设计初衷和目标是最大程度缩小“安全防护”与“研发运维”之间的鸿沟，为云原生环境的 Linux 容器加固提供低门槛、高易用、轻量级的解决方案。

这次有什么新特性？

开源以来，vArmor 在功能、稳定性、安全性等方面均有较大提升，例如：

· 引入了全局策略 VarmorClusterPolicy API，可对所有命名空间中的工作负载应用安全策略。
· 为 BPF enforcer 增加了新的策略原语、新增了 Seccomp enforcer 支持，并增加更多内置规则；目前 vArmor 支持单独或组合使用多个 enforcer（AppArmor/BPF/Seccomp），使得可以借助不同 enforcer 的优势，对容器的文件访问、进程执行、网络外联、系统调用等进行细粒度强制访问控制。
· 为 AppArmor & Seccomp enforcer 增加了行为建模支持，可以对多副本应用的行为（capability、文件访问、进程运行、系统调用等）进行建模。可将建模结果用于辅助策略制定、深度防御、权限最小化等用途。
· 引入了 Policy Advisor，可基于目标应用的上下文信息、行为模型来选择内置规则，并生成策略模版。进一步降低了定制加固策略的门槛。

更多新特性和变化请见项目release 记录。