Xen 4.6 wird sicherer

14.10.2015

Ein neues Xen-Release richtet das Augenmerk auf Sicherheit. 

Das Xen-Entwicklerteam hat Version 4.6 des freien Hypervisor-Systems veröffentlicht. Ausgesprochenes Ziel war und ist es, den sichersten Open-Source-Hypervisor zu entwickeln, der den "Herausforderungen von Cloud Computing sowie Embedded-Anwendungen und dem Internet of Things" gerecht zu werden. So wurden die Xen Security Modules (XSM) um eine Default-Policy erweitert, deren Einhaltung nun regelmäßig in den Xen Project Labs getestet wird. Dies ist der erste Schritt dafür, XSM künftig per Default zu aktivieren. Bei XSM handelt es sich um einen Mechanismus, der Mandatory Access Control für Xen implementiert, ähnlich wie SELinuxes für das Basis-Betriebssystem tut. Support für vTPM 2.0 (Virtual Trusted Platform Module), einer Implementierung von TPM für virtuelle Maschinen, wurde von Intel und der NSA beigesteuert. 

Das Memory-Event-Subsystem wurde zu einem allgemeinen VM-Eventsystem erweitet, das sich nun unter anderem auch dafür verwenden lässt, mit geringem Overhead Gast-Systeme zu untersuchen. Der Performance zugute kommt eine Änderung an den Tabellen, die den Zugriffssschutz regeln. Durch feiner abgestuftes Locking wurde die Netzwerk-Performance in einigen Fällen um 100 Prozent gesteigert. Laut den Release Notes sollten auch andere I/O-Treiber davon profitieren. Die Verwendung von Ticket Locks sollen die gerechte Verteilung von Ressourcen zwischen den VMs verbessern. 

Der Xen-Hypervisor für die x86-Architektur hat zudem einige Intel-spezifische Verbesserungen erfahren. So verwendet Xen auf Intel jetzt das Page Modification Logging, was die Buchführung über verwendete Speicherseiten an den Prozessor auslagert und den Hypervisor davon befreit. Benchmarks haben dafür einige Prozent Verbesserungen belegt, und auch die Live-Migration von VMs soll davon profitieren. Intel Alternate P2M ermöglicht auf x86-Prozessoren Zero-Footprint-VM-Inspection, was unter anderem auch die Sicherheit virtualisierter Systeme verbessern soll. Weitere Intel-spezifische Technologien, die Xen zugute kommen sollen, sind etwa Intel Cache Allocation Technology, Memory Bandwidth Monitoring und Reserve Memory Region.

Die ARM-Version von Xen 4.6 ermöglicht nun 32-Bit-Gäste auf 64-Bit-Hosts. Zudem wurde die Leistungsfähigkeit des ARM-Hypervisors verbessert. Statt bisher 8 unterstützt ARM64 nun 128 vCPUs. Neu unterstützte Systeme sind Renesas R-Car Gen2, Thunder X, Huawei hip04-d04 und Xilinx ZynqMP SoC. 

Xen

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019