Новая разработка обеспечит безопасность при виртуализации и облачных вычислениях

Виртуализация и облачные вычисления предоставляют пользователям компьютерные ресурсы и приложения, локализованные на удаленных группах серверов, но вопросы безопасности в отношении конфиденциальности данных ограничивают доверие публики и замедляют признание этой новой технологии.

Теперь исследователи из Университета Северной Каролины (NCSU) разработали новую технику и ПО, которые могут послужить ключом для решения проблемы. «То, что мы сделали, представляет существенное продвижение в области безопасности для облачных вычислений и других виртуализованных приложений, - говорит адъюнкт-профессор computer science Сюйсянь Цзян (Xuxian Jiang). – Любой, интересующийся виртуализацией, заинтересуется также и этой работой».

Одной из основных угроз для виртуализации и облачных вычислений является вредоносное ПО, которое попадает в один компьютер, а затем распространяется на гипервизор и, в конце концов, на системы других пользователей. «Если осуществляется такой сорт атаки, он нарушает конфиденциальность пользовательских данных в облачных вычислениях, и пользователи не станут доверять этой технологии», - продолжает д-р Цзян.

Группа разработала ПО, называемое HyperSafe, которое использует особенности имеющейся аппаратной части, чтобы обезопасить гипервизор от таких атак.

В типичном случае для воздействия на гипервизор вредоносное ПО должно запустить свой собственный код. Для предотвращения этого HyperSafe использует две компоненты. Первая реализует технику, которая называется non-bypassable memory lockdown (что можно перевести как «не обходимая блокировка памяти»), которая явно и надежно запрещает введение нового кода всем, кроме администратора гипервизора. Попутно она также предотвращает попытки модификации существующего кода гипервизора внешними пользователями. Вторая использует технику, называемую restricted pointer indexing (возможно «ограниченная индексация указателя»), которая вначале определяет показатели нормального поведения гипервизора, а затем предотвращает любое отклонения от снятого профиля. Изменять код гипервизора позволяется только администраторам.