Virtualisierte Plattformen Neues vom Hypervisor

Für Systeme mit abgeschotteten Anwendungsdomänen sind Hypervisoren unabdingbar. Dabei sind je nach Anwendungsfall unterschiedliche Ansätze sinnvoll.

Alle neuen Evolutionsschritte der Entwicklung von Hyper-visoren gingen einher mit einer weiteren Verkleinerung und Vereinfachung des Kernstücks, der grundlegenden Basis des Hyper-visors. Ziel war es, die Leistung, die Zuverlässigkeit und die Sicherheit zu verbessern. Der Übergang vom Hypervisor als Anwendung auf einem Allzweckbetriebssystem (Typ 2) zum Hypervisor, der fest mit einem
minimierten Host-Betriebs-system verzahnt ist (Typ 1), erhöhte die Sicherheit und die Zuverlässigkeit deutlich. Nun wird der integrierte Hypervisor vom unterstützenden Host-OS komplett entkoppelt (Typ 0), was das Ganze auf eine völlig neue Grundlage stellen sollte.

Wie andere Hypervisoren kann auch »LynxSecure« von LynuxWorks mehrere Betriebssysteme auf einer einzigen Rechenplattform hosten. Anders als gängige Typ-1- und Typ-2-Hypervisoren versucht diese Middleware, Zuverlässigkeit und Sicherheit durch eine sogenannte Typ-0-Architektur zu erreichen.

Typ-2-Hypervisoren (Bild 1) sind Emulationen von Computing-An-wen-dungen, die auf einem Allzweckbetriebssystem (GPOS) laufen und mehrere OS gleichzeitig auf einer einzigen Plattform ausführen können. 
Beispielsweise kann ein Windows-7-Nutzer eine Hypervisor-Anwendung wie »VMware Workstation« installieren, um Windows XP als Gast-- 
betriebssystem auf seinem Windows-7-Host-Betriebssystem auszuführen. Wie jeder Anwender eines Typ-2-Hypervisors muss er allerdings Abstriche bei der Leistung, Sicherheit und Zuverlässigkeit hinnehmen. Der gehostete Hypervisor unterliegt Performanceeinbußen, da er mit anderen Benutzeranwendungen wie Webbrowsern und 
Mail--Programmen um Systemressourcen konkurriert. Auch in punkto Zuverlässigkeit und Sicherheit schwächeln Typ-2-Hypervisoren, weil sie die Schwachstellen und Anfälligkeiten benutzergesteuerter Host- 
Betriebssysteme geerbt haben.

Typ-1-Hypervisoren (Bild 2) sind eng in ein Embedded-Betriebssystem integrierte Emulationen von Computing-Anwendungen, die transparent für den Endbenutzer ausgeführt werden. Dieser Typ 1 ist sehr viel leistungsfähiger als Typ 2, weil er sich mit für die Virtualisierung optimierten Embedded-Betriebssystemen selbst hosten kann. Typ-1-Hypervisoren weisen wesentlich weniger Angriffsflächen auf, da der Zugriff auf den Hypervisor durch den Administrator begrenzt ist, was etwaige Änderungen am Hypervisor durch Endbenutzer/-anwendungen verhindert. Außerdem kontrollieren Anbieter von Typ-1-Hypervisoren die gesamte Software des Hypervisor-Pakets einschließlich der Virtualisierungs- und OS-Funktionen wie Gerätetreiber und I/O-Stacks. Kontrolle über das Softwarepaket verhindert, dass bösartige Software in das Fundament des Hypervisors eindringt. Der begrenzte Zugang zum und die starke Kontrolle über das Embedded-OS erhöht die Zuverlässigkeit enorm.

Der Typ-0-Hypervisor

LynxSecure von LynuxWorks gehört zu dieser neuen Klasse der Type-Zero-Hypervisoren (Bild 3). Im Ver-gleich zu Typ 1 soll die neue Archi-tektur Leistung, Zuverlässigkeit und Sicherheit weiter erhöhen. Lynx-Secure wurde von Grund auf mit einem Minimum an Softwarekompo-nenten bestückt, die notwendig sind, um Gast-betriebssysteme und die Steuerung des Informationsflusses zwischen ihnen vollständig zu virtualisieren. Die Typ-0-Archi-tektur benötigt zur Virtualisierungsunterstützung kein Embedded-Host-Betriebssystem, denn der Hypervisor wird in einer nicht gehosteten Umgebung ausgeführt. Das ist ein drastischer Unterschied zu monolithischen Architektur des Typs 2, bei dem der Hypervisor in das Host-Betriebssystem integriert ist, oder zu den Microkernel-Architekturen des Typs 1, wo das Hauptbetriebssystem dem Hyper-visor assistiert. LynxSecure kann auf verschiedenen Rechnerplattformen einschließlich Servern, Desktop-PCs und Laptops ausgeführt werden. Die Gast-OS können sowohl »headless« als auch lokal mit Displays betrieben werden, um den jeweiligen Anforderungen der Cloud-Umgebung für den Server beziehungsweise der Client-Umgebung gerecht zu werden.

Die Ausführung von Gastbetriebssystemen auf CPU-Cores wird mit einem leichtgewichtigen Prozess-Scheduler gesteuert. LynxSecure gewährt dem Gastbetriebssystem überdies die direkte Kontrolle über physikalische Geräte, um native I/O-Leistung zu erzielen, und befähigt zur Kommunikation über schnelle Punkt-zu-Punkt-Verbindungen. Das System ist für hohe Anforderungen an die Zuverlässigkeit in den Bereichen Luftfahrt, Medizin, Militär und Geschäftsanwendungen ausgelegt. Um diese Zuverlässigkeit zu erreichen, läuft der Hypervisor als nicht zustands-orientiertes ausführbares Programm (stateless executable) mit minimalen dynamischen Funktionen, nutzt einen Echtzeit-Scheduler, um die Verfügbarkeit aller Gastbetriebssysteme präzise sicherzustellen, und verfügt über hochentwickelte integrierte Auditing- und Zustandsüberwachungsfähigkeiten, um den Betrieb kritischer Hard- und Softwarekomponenten ohne Unterbrechung zu kontrollieren.

Damit ist LynxSecure potenziell sicherer als Typ-1-Hypervisoren durch die Auslagerung nicht-essenzieller privilegierter Komponenten wie Gerätetreiber und I/O-Stacks aus dem Hypervisor-Core, da dies die Angriffsfläche verkleinert. Zusätzlich verbessert der Hypervisor die Sicherheit dadurch, dass die Management- und Konfigurationstools außerhalb des Systems laufen. So können Administratoren flexible Sicherheitsdesigns entwickeln, die ausdrücklich steuern und überwachen, wie die virtuellen Gastbetriebssysteme über virtuelle und physische Geräte auf Daten zugreifen.

Über den Autor:

Will Keegan ist Security Software Specialist bei LynuxWorks.