Представлен (https://prpl.works/2016/07/11/prpl-foundation-unveils-the-fi.../) первый выпуск нового гипервизора prplHypervisor (https://github.com/prplfoundation/prpl-hypervisor), специально разработанного для повышения безопасности встраиваемых устройств, относящихся к категории "Интернет вещей" (IoT). PrplHypervisor позиционируется как первый открытый гипервизор для процессоров на базе архитектуры MIPS. Код доступен (https://github.com/prplfoundation/prpl-hypervisor) под лицензией MIT.
По мнению разработчиков, изоляция компонентов прошивки и приложений позволит решить проблемы с безопасностью, наблюдаемые ныне в устройствах IoT. Например, запуск прошивки и приложений, работающих с персональными данными и финансовой информацией, в отдельных виртуальных машинах, позволит снизить потери при успешной атаке один из компонентов устройства. Практическим примером пользы виртуализации для устройств на базе архитектуры MIPS является возможность (https://www.opennet.ru/opennews/art.shtml?num=44580) приведения беспроводных марштутизаторов в соответствие с требованиями FCC, разделив в разных VM выполнение компонентов приёмопередатчика и прошивки.
Гипервизор prplHypervisor предоставляет возможность создания защищённых доменов (виртуальных машин), изоляция которых обеспечивается при помощи средств аппаратной виртуализации. В разных доменах могут быть запущены операционная система и приложения, оформленные в виде микросервисов, что позволяет защитить ОС в случае взлома приложения и наоборот. Для взаимодействия между доменами предлагается специальная шина обмена данными. Для повышения безопасности предусмотрены средства аутентификации выполняемых операций и система управления ключами для подтверждения достоверности выполняемого в VM кода (подобие Secure Boot).
Рабочая конфигурация на базе prplHypervisor уже продемонстрирована для устройств на базе процессора MIPS M5150 (https://imgtec.com/mips-m51xx/). В демонстрации было показано IoT-устройство для удалённого управления роботом-манипулятором. В устройстве задействованы три виртуальные машины. В первой виртуальной машине, построенной с использованием сетевого стека picoTCP, принимались команды через интернет. Во второй виртуальной машине выполнялась аутентификация запросов через prplPUF API. Третья виртуальная машина обеспечивала передачу команд манипулятору через интерфейсы USB и UART.
Накладные расходы от применения гипервизора составили 27 Кб Flash-памяти и около 4 Кб ОЗУ на каждую виртуальную машину.
URL: https://prpl.works/2016/07/11/prpl-foundation-unveils-the-fi.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=44798