Come proteggere script automatizzati con Rex: guida completa

Introduzione a Rex: Sicurezza e Autorizzazione per Script

Rex, acronimo di Trusted Remote Execution, è un runtime open-source sviluppato da Amazon che migliora la sicurezza degli script attraverso l'applicazione di politiche di autorizzazione prima di eseguire operazioni di sistema. Questo strumento è particolarmente utile per gli amministratori di sistema e gli sviluppatori che necessitano di un controllo granulare sulle azioni eseguite dagli script, garantendo che queste operazioni siano autorizzate e sicure.

Il progetto risolve un problema comune nell'automazione: spesso gli script ereditano i permessi dell'ambiente di esecuzione, il che può portare a rischi di sicurezza. Ad esempio, uno script progettato per leggere un file di log potrebbe accidentalmente modificare o eliminare file se i permessi lo consentono. Rex separa le azioni intenzionali dello script dai permessi concessi dall'utente del sistema ospitante, riducendo così i rischi di sicurezza.

Rex è particolarmente rilevante per gli agenti AI, dove gli script possono essere generati dinamicamente senza una revisione umana di ogni chiamata di sistema. Problemi come codice allucinato, iniezione di prompt o interpretazioni di compiti troppo ampie possono essere mitigati grazie alla capacità di Rex di negare qualsiasi operazione non autorizzata dalla policy.

Utilizzando Cedar, il linguaggio di policy di Amazon, Rex definisce l'accesso degli script. Le policy possono consentire o negare azioni come l'apertura di file, la lettura di directory, la scrittura di dati, la risoluzione di nomi host e altre operazioni. Gli script non hanno accesso diretto al sistema ospitante; tutte le operazioni sono mediate attraverso API basate su Rust fornite dal runtime.

Rex è disponibile per Linux e macOS e può essere installato utilizzando il gestore di pacchetti Cargo di Rust con il comando cargo install rex-runner. Il progetto è pubblicato sotto licenza Apache 2.0 e il codice sorgente è disponibile pubblicamente su GitHub.

Prerequisiti

• Sistema operativo: Linux o macOS
• Rust e Cargo: Rust e il suo package manager Cargo devono essere installati. Puoi installarli seguendo la guida ufficiale su https://www.rust-lang.org/tools/install
• Accesso a un terminale: Deve essere disponibile un terminale per eseguire i comandi necessari

Procedura: Installazione e utilizzo di Rex

Alla fine di questa guida, sarai in grado di installare e utilizzare Rex per eseguire script Rhai con autorizzazioni controllate tramite politiche Cedar.

• Eseguire il comando per installare rex-runner utilizzando Cargo:

cargo install rex-runner

• Creare un file di politica Cedar. Ad esempio, creare un file chiamato policy.cedar con il seguente contenuto:

 // Esempio di politica Cedar permission allow if true; action FileOperations::Read; action FileOperations::Write; action FileOperations::Create; resource "file:/tmp/example.txt"; allow FileOperations::Read, FileOperations::Write, FileOperations::Create, resource;

 // Esempio di script Rhai let file = openfile("/tmp/example.txt", "w"); writefile(file, "Hello, Rex!"); close_file(file);

• Eseguire lo script utilizzando rex-runner con la politica definita:

rex-runner --policy policy.cedar script.rhai

• Verificare che l'operazione venga eseguita correttamente se la politica lo permette. In caso contrario, ricevere un errore di autorizzazione.

Verifica e Troubleshooting

Alla fine di questa sezione, sarai in grado di testare il corretto funzionamento di Rex e risolvere eventuali problemi di autorizzazione.

Test di Funzionamento

• Eseguire uno script di prova: Crea un semplice script Rhai che tenta di eseguire un'operazione permessa dalla tua policy Cedar, ad esempio leggere un file.
• Verificare l'output: Esegui lo script utilizzando rex-runner e assicurati che l'operazione venga eseguita correttamente.
• Testare un'operazione non permessa: Modifica lo script per tentare un'operazione non permessa dalla policy, come scrivere su un file. Assicurati che Rex blocchi l'operazione e restituisca un errore di autorizzazione.

Risoluzione dei Problemi

• Errore di autorizzazione: Se uno script viene bloccato nonostante dovrebbe essere permesso, verifica la policy Cedar per assicurarti che le regole siano corrette.
• Problemi di installazione: Se cargo install rex-runner fallisce, assicurati di avere l'ultima versione di Rust e Cargo installati sul tuo sistema.
• Compatibilità del sistema: Rex è supportato solo su Linux e macOS. Se stai utilizzando un altro sistema operativo, non sarà possibile eseguire Rex.

Sintesi didattica e invito alla pratica

Alla fine di questa guida, avrai compreso come utilizzare Rex per eseguire script Rhai in modo sicuro, applicando politiche di autorizzazione Cedar. Ora sei pronto a mettere in pratica queste conoscenze per migliorare la sicurezza dei tuoi script automatizzati.

• Rivedi i concetti chiave: Rex separa le azioni intenzionali degli script dai permessi concessi dall'ambiente di esecuzione.
• Esplora le politiche Cedar: Definisci politiche specifiche per controllare le operazioni consentite agli script.
• Installa e configura Rex: Utilizza il comando cargo install rex-runner per installare Rex e iniziare a eseguire script Rhai in modo sicuro.
• Testa le tue politiche: Crea script Rhai e verifica come Rex blocca le operazioni non autorizzate.

Per ulteriori dettagli, consulta la documentazione ufficiale del progetto.