Modern Linux sandboxing technology

李强，蚂蚁集团安全专家，专注于系统安全，涉及领域包括Linux内核/虚拟化/容器/云原生安全。在加入蚂蚁之前，负责虚拟化与内核领域的漏洞挖掘，曾经在多个安全会议上发表议题，比如KCon 2021、CanSecWest、Syscon、HITB等。

杨玉彪，蚂蚁集团高级安全工程师，专注于云原生领域的安全研发，开发了内部多个重要系统。

沙箱是安全领域的重要技术方向之一。Linux中虽然有众多的沙箱原语（比如seccomp、ptrace）和沙箱方案（比如nsjail、firejail等），但是这些方案都有很多各自的缺点，典型的比如seecomp配置规则负责、沙箱与被沙箱进程共享内核等。

一个理想的沙箱方案需要具备易用、强隔离、对被沙箱进程的完整观测等特点。为了满足内部对沙箱的需求，我们基于gVisor构建一款沙箱。该沙箱最大的特点是将进程运行在了一个受限的虚拟机中，但是其使用以及输入输出跟普通进程无异。在进程虚拟机之上，我们构建了沙箱的安全策略系统，用来限制被沙箱进程的资源访问。

本议题的基本主题如下：

a. Linux下的沙箱原语以及常用沙箱方案

b. gVisor介绍

c. 如何构建基于gVisor的进程级沙箱

d. 沙箱案例

e. 进程级沙箱的未来

2023年8月20日 9:30-10:20

本届KCon大会为线下会议，无线上视频直播，敬请知悉！购票方式如下：

点击阅读原文

立即购票