Sandboxing - En fallstudie om sandboxlösningar för ARM-baserade embedded-system

Abstract

Företaget Pilotfish Networks AB tillhandahåller en gateway för kollektivtrafikfordon. Kunder har uttryckt en önskan om att köra egen mjukvara på denna gateway vilket har säkerhetsimplikationer. Denna studie undersöker vilka möjligheter för körning av kundmjukvara i en säker miljö (en så kallad Sandbox) som finns på Pilotfish Vehicle Gateway, ett Linuxbaserat inbyggt system med ARM-processor och 128 MiB RAM. Studien är avgränsad till virtualseringsbaserad sandboxing samt har fokuserat på jämförelse och utvärdering av olika containeriseringstekniker och dess tillämplighet på systemet i fråga. Utvärderingen består av en redogörelse för installation, säkerhetsfunktioner och användning av de olika teknikerna samt benchmarking av dess prestanda. De tekniker som utvärderats är Firejail, LXC, LXD, Docker, rkt, runC, containerd samt KVM. Efter utvärdering rekommenderas containeriseringsverktyget LXC, främst för att det erbjuder operativsystemsvirtualisering likt en klassisk virtuell maskin vilket passar Pilotfish användningsfall. Verktyget är flexibelt och har god prestanda, erbjuder enkel konfiguration och installation samt har all säkerhetsfunktionalitet som behövs. LXC bedöms därför vara lämpligt för Pilotfish.