通过虚拟化隔离开源软件以符合 CRA 规定

网络韧性法案（CRA）是欧盟推出的一项监管措施，旨在提升所有包含数字元素产品的网络安全标准。该法案于 2024 年 1 月生效，供应商需确保在 2027 年 1 月前合规。虽然开源软件（OSS）免于 CRA 监管，但将 OSS 集成到商业产品中的公司需承担维护这些组件安全的责任。这一区别使供应商必须监控漏洞并及时修复，当 OSS 是其产品一部分时。\n\n为说明在关键环境中集成 OSS 所带来的挑战，考虑一个智能供暖系统嵌入式设备。该设备管理家庭中央供暖单元，系统运行不当可能导致高额损失。它还监控并调节多个散热器的温度。设备的 Web 服务器通过基于流行 OSS 的用户界面（如运行于 node.js JavaScript 运行时的 express.js Web 框架）向用户提供状态信息和控制选项。该框架依赖约 65 个额外 OSS 包，凸显此类产品对开源组件的广泛依赖。\n\n直接在嵌入式设备上运行 Web 服务器带来重大安全风险。如果服务器处理用户输入验证和供暖配置管理，任何被攻破都可能使攻击者危险地操控系统。根据 CRA，供应商必须确保高水平的网络安全，无论是自研软件还是集成第三方解决方案。尽管 OSS 组件本身免于监管，商业使用实际上将安全责任转移给供应商，后者必须遵守 CRA 要求。\n\n一种缓解方法是分离供暖控制功能。Web 服务器及其依赖管理界面和一般控制，而一个安全且精简的组件验证命令以防止不安全配置。这种分层方法限制了被攻破 Web 服务器的影响，但仍存在广泛的权限提升攻击面，需进一步防护。\n\n虚拟化技术，特别是管理程序，提供了强大解决方案，通过沙箱隔离软件组件。管理程序在隔离的虚拟机（VM）中运行软件，限制交互仅限于定义的接口，如虚拟设备仿真。管理程序本身被 CRA 归类为关键产品，其安全责任由供应商承担。连接 VM 至外部网络时，供应商可利用主机上的防火墙配置，将 VM 通信严格限制于必要流量，如 Web 服务器请求。这种隔离显著降低了被利用风险，同时保持必要的网络功能。\n\nCyberus 提供专门解决方案，助力供应商满足 CRA 要求。其 Cyberus 管理程序结合为 CRA 合规设计的嵌入式操作系统 CtrlOS，提供可审计的防火墙配置及其他安全加固功能。这些工具帮助供应商安全地将开源软件集成到产品中，降低确保合规的复杂性和成本。感兴趣的各方可与 Cyberus 联系，安排定制会议，探讨嵌入式系统的合适安全策略。