Sauber getrennt: Einblicke in die VS-Technologie von genua

Sauber getrennt: Einblicke in die VS-Technologie von genua

Virtualisierung liegt voll im Trend. Kein Wunder: Sie bietet erhebliche Vorteile, da Hardware-Ressourcen flexibler genutzt und damit Kosten gespart werden können. Bei den heute verbreiteten Virtualisierungstechniken gehen die Vorteile jedoch mit Einbußen bei der Sicherheit einher. Wie genua mit Microkernel-Technologie Virtualisierung und IT-Sicherheit verbindet, erklärt Alexander von Gernler, technischer Botschafter von genua.

Heute verbreitete Virtualisierungstechniken ermöglichen es, auf einem einzelnen physikalischen Computer mehrere voneinander unabhängige, virtuelle Computer zu betreiben. Die Instanzen teilen sich die Rechenleistung einer Hardware und können dann wie mehrere "echte" Computer mit verschiedenen Betriebssystemen und Anwendungen genutzt werden. So lassen sich Ressourcen von Computern je nach Bedarf beliebig aufteilen.

Die Vorteile liegen auf der Hand: Zum einen muss weniger Hardware gekauft und betrieben werden. Zum anderen schafft man durch die Zusammenlegung auch eine bessere Ausnutzung vorhandener Kapazitäten sowie größere Leistungsreserven: Sind einzelne Instanzen gerade wenig ausgelastet, steht die nicht abgerufene Leistung automatisch anderen Instanzen zur Verfügung.

Grenzüberschreitung abstraktIm Zweifelsfall ist die Trennung virtueller Instanzen für Angreifer leicht überwindbar

Wie sicher sind herkömmliche Virtualisierungslösungen?

Problematisch wird es aber, wenn Systemadministratoren dem Trugschluss aufliegen, die Sicherheit von virtualisierten Systemen wäre dieselbe wie bei physikalisch getrennten Systemen. Die veröffentlichten Sicherheitslücken, egal ob von freien oder kommerziellen Lösungen, sprechen Bände. Es ist prinzipiell möglich, dass Angreifer, die bereits eine der virtuellen Maschinen übernommen haben, aus der Virtualisierung ausbrechen oder zumindest durch verschiedene Kanäle andere Instanzen belauschen oder ebenfalls übernehmen.

Separation ist mehr als Virtualisierung

Um sich wieder an die vorher mögliche Sicherheit einer echten physikalischen Trennung anzunähern, müssen an eine Virtualisierungslösung höhere Anforderungen gestellt werden. Unter anderem sind dies:

  • Die Instanzen sollen grundsätzlich vollkommen abgeschottet voneinander auf dem Host laufen und sich gegenseitig nicht beeinflussen können.
  • Eine Kommunikation zwischen zwei Instanzen soll nur nach expliziter Erlaubnis durch eine Sicherheitsrichtlinie möglich sein. Die Kommunikation kann hierbei auch über Filter geleitet werden, um die Einhaltung eines speziellen Kommunikationsprotokolls durchzusetzen.
  • Physikalische Hardware des Hosts soll bei Bedarf fest und eindeutig einzelnen Instanzen zuweisbar sein – andere Instanzen sehen diese Hardware dann gar nicht. So kann beispielsweise durch die feste Zuteilung von Netzwerkkarten nur einer Instanz die Kommunikation nach außen erlaubt werden.
  • Selbst die Hardware soll in ihrem Speicherzugriff via Systembus eingeschränkt werden. Ansonsten kann ein angeschlossenes Peripheriegerät ohne Umweg über die CPU direkt mit dem Arbeitsspeicher kommunizieren und ist so in der Lage, auf den Speicher einer anderen Instanz zuzugreifen. Die Ausnutzung dieses Effekts könnte es sonst erlauben, "über Bande" von einer kompromittierten Instanz weitere Instanzen oder sogar die Virtualisierungslösung selbst zu kapern.

Werden diese Anforderungen erfüllt, sprechen wir nicht mehr von "Virtualisierung", sondern von "Separation". Die Instanzen auf einer Separationslösung nennen wir "Compartments", um das höhere Schutzniveau auszudrücken.

Sicherheit von Anfang an

Die großen Virtualisierungslösungen bemühen sich zwar schrittweise auch um mehr Sicherheit, aber wie immer ist der nachträgliche Einbau von Sicherheit in ein bereits komplexes System der falsche Weg. Der bessere und von uns verfolgte Ansatz ist es hingegen, von einer kleinen Lösung ausgehend definierte Entwicklungsschritte zu unternehmen und währenddessen die Sicherheit immer im Blick zu haben. Der Feind der Sicherheit ist unter dem Strich immer die Komplexität.

Microkernel als Plattform für Separation

Daher greifen wir für die Realisierung einer Separationslösung auf ein altes Konzept der Betriebssysteme zurück: den Microkernel. Die Grundidee ist hierbei, dass der Teil, der mit den höchsten Privilegien im System läuft und die kritischen Operationen durchführt – die so genannte Trusted Computing Base (TCB) – so klein wie möglich gehalten wird. Stellt etwa bei Linux der gesamte Kernel mit mehreren Millionen Zeilen Code (LOC) die TCB dar, so sind es bei einem Microkernel lediglich wenige zehntausend Zeilen, die wirklich privilegiert laufen. Alle restlichen Teile des Betriebssystems, auch so vermeintlich fundamentale und wichtige wie ein Treiber für das Dateisystem, sind in eigene, nicht-privilegierte Prozesse mit eigenem Adressraum ausgelagert.

Dies führt zu einer deutlichen Reduktion der Komplexität innerhalb der TCB und bringt klare Vorteile mit sich: Einerseits weiß man, dass von Menschen geschriebener Quellcode stets fehlerbehaftet ist. Hier gilt die einfache Regel: Je weniger Code, desto weniger Fehler sind zu erwarten. Darüber hinaus ist die Zertifizierung oder der mögliche Sicherheitsbeweis einer kleinen Codebasis deutlich einfacher als bei einer großen.

Sichere Trennung der Compartments abstraktMicrokernel ermöglichen eine sichere Trennung verschiedener Compartments

Unsere Plattform: Der L4-Microkernel aus Dresden

Die Entscheidung von genua fiel auf einen der an der TU Dresden entwickelten L4-Microkernel. Dort wurde ein Kernel geschaffen, der vom Prinzip her auf dem Konzept des Informatikprofessors Jochen Liedtke basiert. Mit lediglich ca. 20.000 Zeilen Code kümmert er sich um eine sehr zuverlässige Bereitstellung von Compartments. Dies geschieht, indem er zum Startzeitpunkt eines Systems vollen Zugriff auf die Hardware hat und – wenn überhaupt – nur exakt definierte Kompetenzen (so genannte Capabilities) zum Zugriff auf bestimmte Hardware-Teile an einzelne Compartments überträgt.

VS-Technologie und was wir damit machen

Die durch den Einsatz des L4-Microkernels entstandene Plattform firmiert bei genua unter dem Namen "VS-Technologie". VS steht hierbei für "Virtualisierung und Separation" und soll dadurch wieder das höhere Schutzniveau verdeutlichen.

Auf Basis dieser Technologie können verschiedenste Produkte und Lösungen realisiert werden wie beispielsweise die hochsichere Anbindung mobiler Anwender per Laptop (vs-top), ein Gateway für kritische Industrie-Infrastrukturen (Cybergateway) oder ein Smart Meter Gateway auf Microkernel-Basis.

Als Gemeinsamkeit weisen diese Lösungen die Notwendigkeit verschiedener Compartments auf. Denn letztlich geht es immer darum, dass Datenströme auf ein und derselben Hardware zwischen verschiedenen Sicherheitsniveaus zuverlässig kontrolliert und gesteuert werden müssen. So stellt sich beim Virtualized Separation Laptop vs-top beispielsweise die Aufgabe, auf einer Hardware eine Windows-Arbeitsumgebung (Compartment A) strikt von einer Sicherheitslösung (Compartment B) zu trennen. Gleichzeitig stellt die separierte Sicherheitslösung der Windows-Arbeitsumgebung einen geschützten Zugang zum Internet bereit.

Durch diese Entwicklung eröffnen sich auch viele weitere interessante Perspektiven. Wegen der stetig steigenden Komplexität von Software allerorten wird diese Möglichkeit der Einschränkung immer wichtiger. genua hat in den letzten Jahren viel Know-how auf diesem Gebiet aufgebaut, um jetzt entsprechende Lösungen anbieten zu können.

Lesen Sie auch: Neue Technologie: Cybergateways schützen vernetzte Industrieanlagen

 

Bildquelle: © Visty / Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.