CBL-Delridge wird getauft und verwendet, um Azure Cloud Shell auszuführen

Microsoft, das Linux Anfang der 2000er Jahre als das Krebsgeschwür der IT-Welt betrachtete, hat in den letzten zehn Jahren eine komplette Kehrtwende vollzogen. Seitdem hat Redmond stark in die Open-Source-Entwicklung investiert, wie die Tools Windows Subsystem for Linux (WSL) und Azure Sphere OS zeigen. Microsoft erwarb 2018 außerdem GitHub, die Plattform, auf der die weltweit meiste Open-Source-Software gehostet wird, für fast 8 Milliarden US-Dollar.

Anfang Juli 2021 veröffentlichte Microsoft die erste stabile Version seiner Linux-Distribution: CBL-Mariner 1.0, wobei CBL für Common Base Linux steht. CBL-Mariner ist ein Produkt für Linux-Ingenieure bei Microsoft und wird von ihren Engineering-Teams als interne Distribution verwendet, um Cloud-, Edge- und andere Unternehmensanforderungen zu erfüllen. Es ist keine Allzweck-Distribution wie Ubuntu oder Fedora, obwohl es Open Source ist. CBL-Mariner wird bereits von Systemen wie Windows Subsystem for Linux (WSL), Azure Sphere OS, SONiC und anderen Linux-basierten Bemühungen des Redmonder Giganten verwendet.

Ja, ich habe den Titel gut gelesen. Die Hölle erstarrte, weil wir bei Microsoft unsere eigene Linux-Distribution namens Mariner oder genauer gesagt CBL-Mariner haben, wobei CBL für Common Base Linux steht, schrieb Juan Manuel Ray, ein Ingenieur bei Microsoft Azure, in einem Blogbeitrag, in dem die neue Linux-Distribution des Unternehmens vorgestellt wurde.

Er stellte in der Präambel klar, dass diese interne Distribution keine Allzweck-Distribution wie Ubuntu oder Fedora ist, obwohl sie Fedora oder Photon OS ähnelt. Es wurde von der System Linux Group von Microsoft erstellt, die den vom Windows-Subsystem für Linux Version 2 (WSL2) verwendeten Linux-Kernel implementierte. Mariner hat sein eigenes Repository im GitHub-Repository von Microsoft. Es wird jedoch gewarnt, dass kein Image und ISO bereitgestellt werden, es jedoch möglich ist, eine eigene Kopie auf der Basis von Ubuntu 18.04 zu kompilieren (vorbehaltlich der Voraussetzungen).

Im Detail merkt Juan Manuel Rey an, dass sich CBL-Mariner bei der Trägerinstallation auf RPM verlässt. In Bezug auf ihr Update kombiniert die Distribution sowohl dnf als auch Tiny DNF (tdnf) VMwares Photon OS li-Paketmanager. Eine andere Möglichkeit, dies zu tun, besteht darin, das RPM Ostree-Tool aus dem Red Hat Atomic-Projekt zu durchsuchen, um das Erstellen von LXC-Containern zu vereinfachen.

Abschließend erwähnte er den Sicherheitsteil und betonte, dass CBL-Mariner das Sicherheitsprinzip standardmäßig respektiert. Viele Features sind in die Distribution eingebaut: harter Kernel, signierte Updates, ASLR (address space layout randomization) und auch ein leistungsstarker Compiler und leistungsstarkes Logging.

Anfang dieses Monats veröffentlichte Microsoft CBL-Mariner 2.0: Microsoft Reserve, und es wurde nicht für die öffentliche Nutzung freigegeben. CBL-Mariner 2.0 verwendet den neuesten Microsoft Linux System Group 5.15-Kernel und beinhaltet größere Paket-Release-Upgrades, verbesserte Unterstützung für SELinux und proprietäre Pakete, die zur Unterstützung von Nvidia- und CUDA-Geräten erforderlich sind.

Eine zweite interne Linux-Distribution für Microsoft

Nach dem Mariner wird Redmond auch eine Version namens Delridge (oder CBL-D) haben. Dieser Unterschied wurde zufällig in einem Blogbeitrag von Hayden Barnes, Head of Engineering bei SuSE, entdeckt. Barnes bemerkte, dass Microsoft den CBL-Delridge im Jahr 2020 veröffentlichte, im selben Jahr, in dem auch der CBL-Mariner veröffentlicht wurde. Der Hauptunterschied zwischen den beiden: Delridge ist ein benutzerdefiniertes Derivat von Debian, während Mariner eine benutzerdefinierte Musterverteilung ist. Linux von Grund auf neu.

Microsoft verwendet es, um die Azure Cloud Shell auszuführen, die eine Reihe von Cloud-Verwaltungstools innerhalb des Containers bereitstellt. Azure Cloud Shell bietet eine Suite von Cloudverwaltungstools, die in einem Container gebündelt sind. In einem Hinweis zum Cloud Shell GitHub-Repository stellten die Betreuer fest, dass der Hauptunterschied zwischen Debian und CBL-D darin besteht, dass Microsoft alle im CBL-D-Repository enthaltenen Pakete intern kompiliert. Dies trägt zum Schutz vor Angriffen auf die Lieferkette bei.

CBL-Mariner und CBL-Delridge sind nur zwei der Linux-bezogenen Errungenschaften, die von Microsoft entwickelt und von der Linux Group angeboten werden. Andere Systeme umfassen das Windows-Subsystem für Linux Version 2 (WSL2), das Teil von Windows 10 und Windows 11 ist; Ein Azure-optimierter Linux-Kernel, der für optimale Leistung als Hyper-V-Gäste ausgelegt ist*; und Integrity Policy Enforcement (IPE), ein Linux-Sicherheitsmodul (LSM), das vom Unternehmens- und Sicherheitsteam bereitgestellt wird.

Microsoft hat andere Linux-bezogene Projekte, die es intern entwickelt hat, darunter Azure Sphere, ein Linux-basierter Mikrocontroller sowie ein sicherer Dienst für das Internet der Dinge, und SONic, ein Open-Source-Betriebssystem für Netzwerk-Switches, das als Teil von veröffentlicht wurde das Open Compute Work Project ( OCP ).

Während der Ausgabe 2018 der RSA-Konferenz kündigte Microsoft die Verfügbarkeit einer Vorschauversion von Microsoft Azure Sphere an, seiner Lösung zur Erstellung hochsicherer, mit dem Internet verbundener Mikrocontroller (MCUs). Azure Sphere umfasst drei Komponenten, die zusammenarbeiten, um Ihre Peripheriegeräte zu schützen und mit Strom zu versorgen:

  • Azure Sphere Certified Microcontrollers (MCUs): Eine neue Klasse von plattformübergreifenden Mikrocontrollern, die Echtzeitsysteme, Anwendungsprozessoren und eingebettete Microsoft-Sicherheitstechnologie kombinieren;
  • Azure Sphere OS: Microsoft hofft, mit diesem Betriebssystem eine beispiellose Sicherheit und Geschwindigkeit bieten zu können. Im Gegensatz zu RTOS-Betriebssystemen, die in heutigen MCUs üblich sind, bietet das umfassende defensive Betriebssystem von IoT mehrere Sicherheitsebenen (Ebenen). Es kombiniert die führenden Sicherheitsinnovationen von Windows, Security Screen und einen benutzerdefinierten Linux-Kernel, um eine hochsichere Softwareumgebung und eine vertrauenswürdige Plattform für neue IoT-Erlebnisse zu schaffen;
  • Azure Sphere Security Service: Ein integrierter Cloud-Dienst, der jedes Azure Sphere-Gerät schützt, vertrauenswürdige Machine-to-Machine- und Device-to-Cloud-Verbindungen über Zertifikatsauthentifizierung herstellt, aufkommende Sicherheitsbedrohungen im gesamten Azure Sphere-System durch Online-Fehlerberichte erkennt und regeneriert seine Datenbank während Software-Updates.

Im Detail verfügt Azure Sphere OS über fünf Sicherheitsebenen:

  • Schicht 0: bezieht sich auf Materie;
  • Schicht 1: Ein Sicherheitsbeobachter, der die Integrität und den Zugriff auf kritische Ressourcen schützt;
  • Schicht 2: benutzerdefinierter Linux-Kernel;
  • Schicht 3: On-Chip-Kommunikationsdienste, die Ihre Verbindung zur Cloud sichern und Zugriff auf den Azure Sphere-Sicherheitsdienst bieten;
  • Schicht 4: Sichern von Anwendungscontainern, die Code für Agilität, Robustheit und Sicherheit hashen.

Microsoft hat SONic (Software for Open Networking in the Cloud) als letztes Puzzleteil beim Angebot einer vollständig Open-Source-Switch-Plattform beschrieben, die dasselbe Softwarepaket für Geräte mehrerer Netzwerk-Switch-Anbieter gemeinsam nutzen kann. Es ist ein vollständig quelloffener Software-Stack für den Betrieb von Netzwerkgeräten wie Switches mit umfangreicher Funktionalität. SONic wurde in Zusammenarbeit mit führenden Anbietern der Netzwerkbranche wie Broadcom, Arista, Dell und Mellanox entwickelt und kann auf verschiedenen Switching-Plattformen aller SAI-Spezifikationen ausgeführt werden.

Bei seiner Einführung im Jahr 2016 war SONic kein Prototyp mehr, da es bereits in der Microsoft-Cloud bereitgestellt wurde. Die Open-Source-Version von Microsoft brachte Verbesserungen gegenüber der unternehmensintern in der Produktion verwendeten Version. Während der Open-Source-Software-Stack zu diesem Zeitpunkt auf Debian getestet wurde, stellte Microsoft klar, dass er theoretisch alle anderen Linux-Distributionen unterstützen könnte. Sonic basiert auf einer modularen Architektur mit einem leichtgewichtigen Stack, der für die Anforderungen von Rechenzentrumsnetzwerken entwickelt wurde. Microsoft gibt auch an, dass seine Suite von Netzwerksoftwarekomponenten leicht mit anderen Softwarekomponenten erweitert werden kann, die Open Source oder proprietär von Drittanbietern sind.

Quelle: Barnes Post

Siehe auch:

Microsoft hat eine Open-Source-Linux-Version des Systemüberwachungsprogramms Sysmon veröffentlicht, um Anzeichen verdächtiger Aktivitäten zu erkennen, die dann protokolliert werden können
Microsoft bietet Azure Sphere an, seine Lösung zur Sicherung des Internets der Dinge, die ein Betriebssystem enthält, das auf einem benutzerdefinierten Linux-Kernel basiert
Microsoft hat seine Linux-Distribution unter dem Codenamen CBL-Mariner veröffentlicht, wobei CBL für Common Base Linux steht
Microsoft hat SONiC veröffentlicht, eine Open-Source-Software-Suite, die auf Linux abzielt, um Netzwerkgeräte mit Strom zu versorgen
Windows 11: Microsoft bietet das Windows-Subsystem für Linux als App im Microsoft Store an, um Updates unabhängig vom Betriebssystem bereitzustellen

Leave a Comment