Linux基金會旗下的開源Xen Project釋出虛擬機器管理程式(Hypervisor)4.13,比起4月發布的版本,新版具有更高的安全性、硬體支援,也能用於更多的嵌入式使用案例,官方還提到,這個版本代表著Xen專案對於抵禦旁路攻擊和硬體等安全問題,在長期發展做出根本上的改變。

Xen 4.13針對硬體漏洞防禦進行了一些重要的更新,包括核心調度(Core Scheduling)、延遲uCode載入以及強化分支以緩解安全漏洞Spectre v1。核心調度是新版本所加入的實驗性技術,可以讓Xen將虛擬處理器分組成虛擬核心,並在物理核心上進行調度,而由於在物理核心上的虛擬核心切換是同步進行的,因此單個物理核心不會同時運作不同虛擬核心的虛擬處理器。

在加入核心調度功能之前,系統可在一個處理器上調度任何執行緒或是核心,而這會使得工作負載容易受到旁路攻擊,有心人士可以利用核心共享資源像是快取和微架構緩衝區竊取資訊,而目前可以抵禦這類攻擊的方法,便是禁用超執行緒功能。

而核心調度則可以讓系統在無硬體安全風險的情況下,繼續使用超執行緒功能,以提高執行效能。但由於核心調度仍在開發中,目前還不允許用戶在核心調度功能啟用時,同時應用超執行緒,也還無法與正在開發的新功能像是無秘密Hypervisor等功能一併使用。

官方提到,由於安全性對於Hypervisor來說非常重要,過去必須要在安全性與效能上做出取捨,但有了核心調度功能,便能重新取得失去的效能。

另外,在執行階段透過延遲uCode載入並能安裝uCode更新,並避免系統重新啟動。更新之後的即時修補應用程式,可讓Hypervisor安裝擴充程式之後不需要重新啟動,可增加系統效率。而Xen也刪除了許多可能讓惡意人士利用Spectre v1漏洞發動攻擊的小工具,以減少可攻擊面。

Xen 4.13還簡化建置Dom0less Xen配置的方法,讓Dom0less Xen可以使用的情境範圍更廣泛。而Xen Project社群受安全人員和廠商支援,還創立了功能安全工作組,這個工作組訂立了一項多年計畫,要求廠商必須以和ASIL-B相容的規範,使用Xen Project軟體。


Advertisement

更多 iThome相關內容