Nguồn: Cloudflare Engineering
Tóm tắt
Cloudflare Workers sử dụng kiến trúc sandbox dựa trên V8 isolates để cách ly mã thực thi của các khách hàng khác nhau trên cùng một máy chủ vật lý. Bài viết này mô tả chi tiết các biện pháp bảo mật bổ sung được triển khai để tăng cường độ an toàn của môi trường thực thi, vượt ra ngoài những gì V8 cung cấp mặc định.
Một trong những thách thức lớn nhất là bảo vệ hệ thống khỏi các cuộc tấn công side-channel như Spectre và Meltdown. Cloudflare đã triển khai nhiều biện pháp đối phó ở cấp độ phần cứng và phần mềm, bao gồm việc vô hiệu hóa shared memory giữa các isolates và áp dụng các kỹ thuật giảm thiểu timing attacks.
Ở cấp độ Linux kernel, Cloudflare sử dụng seccomp-bpf để hạn chế các system calls mà tiến trình Workers có thể thực hiện. Điều này tạo ra một lớp bảo vệ bổ sung, ngăn chặn mã độc có thể khai thác các lỗ hổng trong kernel để thoát khỏi sandbox. Ngoài ra, các namespace và cgroups của Linux được sử dụng để cô lập tài nguyên và giới hạn tác động của bất kỳ sự cố bảo mật nào.
Cloudflare cũng đã phát triển hệ thống giám sát và phát hiện bất thường để theo dõi hành vi của các Workers trong thời gian thực. Khi phát hiện các mẫu hoạt động đáng ngờ, hệ thống có thể tự động cô lập và chấm dứt các Workers có vấn đề, đảm bảo rằng bất kỳ mối đe dọa tiềm ẩn nào cũng được xử lý nhanh chóng trước khi có thể gây ra thiệt hại đáng kể.