Группа исследователей разработала способ создания изолированных доверенных сред на виртуальных машинах. Новая разработка под названием Strongly Isolated Computing Enviroment (SICE) позволяет совмещать на одном компьютере как обычные виртуальные машины, так и машины требующие высокой степени безопасности, ввиду работы с конфиденциальной информацией. SICE была разработана совместными усилиями группы исследователей из Государственного университета Северной Каролины и корпорации IBM. Авторы проекта говорят, что сейчас разработка находится в стадии прототипа.
Авторы проекта говорят, что SICE в случае доведения этой технологии до стадии коммерческого проекта, позволит решить одну из самых серьезных сложностей, с которыми сталкиваются современные коммерческие пользователи, работающие с виртуализацией, - вероятность взлома гипервизора и автоматическое получение доступа к виртуальным ОС и их данным.
Хотя SICE тоже использует гипервизор для связи с сетью и другими узлами, эта технология использует низкоуровневую функциональность чипов x86 для проведения расчетов и напрямую взаимодействует с контроллером памяти. Говоря более точно, SICE использует технологию SMM (Systems Management Mode), присутствующую в x86-чипах, для "запирания" определенных регионов в памяти сервера таким образом, что даже гипервизор не может получить к ним доступ.
"Несмотря на то, что это всего лишь один компьютер, он может быть разделен на две или более совершенно изолированных друг от друга среды. SICE использует чрезвычайно малое количество кода для создания системной изоляции - около 300 строк кода, но они делают систему гораздо безопаснее", - говорит Пэн Нинг, программист из Государственного университета Северной Каролины в США.
По его словам, для того, чтобы SICE была распространена шире, требуется дополнительная работа, в частности совершенствование алгоритма по запиранию блоков в памяти компьютера. "Нынешняя версия использует функциональность, которая изначально была создана в расчете на функции, связанные с управлением компьютером, а не с его безопасностью", - говорит он.
Впервые SMM была представлена в чипах 386SL для управления рядом системных событий независимо от операционной системы. К таким функциям относится, в частности, режим сна. Однако в современных условиях, SMM также можно адаптировать и для блокировки так называемых буткитов - вредоносного ПО, активируемого до загрузки операционной системы.
На современных многоядерных процессорах, система позволяет командовать одним ядром чипа, создавая для него выделенный сегмент памяти в ОЗУ. Кроме того, авторы разработки говорят, что существующая сейчас версия технологии работает только под SMM процессоры AMD. Сами авторы системы спроектировали первую версию SICE под связку чипов AMD, операционную систему Ubuntu и виртуализатор KVM. Для подключения к KVM необходим специальный драйвер, реализованный разработчиками SICE.
Источник: CyberSecurity
|