27 февраля 2012 г.

Фонд ПО Trusted Computer Base



Источник: ko.com.ua
Автор: Леонид Бараш
Исследователи из государственного университета Северной Каролины (NCSU) и IBM разработали новую экспериментальную технику для улучшения защиты уязвимых данных (к примеру, паролей) в облачных вычислениях без снижения общей производительности системы.
В рамках парадигмы облачных вычислений ресурсы и системы хранения многих компьютеров объединяются в общий пул и могут разделяться множеством пользователей. Гипервизоры создают виртуальные рабочие среды, которые позволяют разным ОС работать изолировано, даже когда каждая из этих ОС использует вычислительные ресурсы и системы хранения на одном компьютере. Долго существуют опасения, что хакеры воспользуются уязвимостью гипервизора, чтобы похитить или исказить конфиденциальные данные пользователей облака.
Команда исследователей разработала новый подход к безопасности в облаке, который строится на существующем аппаратном обеспечении и встроенном ПО, изолирующий чувствительные данные и рабочую нагрузку от остальных функций, выполняемых гипервизором. Новая техника, называемая «сильно изолированная вычислительная среда» (Strongly Isolated Computing Environment – SICE), вводит разный уровень защиты.
«Мы существенно уменьшили «поверхность» которая может быть атакована вредоносным ПО, - сказал д-р Пен Нин (Peng Ning). – Например, наш подход опирается на фонд ПО, называемый Trusted Computer Base (совокупность аппаратных и программных средств защиты компьютерной системы от несанкционированного доступа). Он содержит всего 300 строк кода, которые должны быть защищены для того чтобы обеспечить изоляцию, предоставляемую нашим подходом. Предыдущие способы давали потенциальным хакерам возможность атаковать тысячи строк кода. Нам нужно защитить меньшую поверхность».
SICE дает возможность программистам выделять специальные ядра в многоядерных процессорах для чувствительной нагрузки, позволяя другим ядрам выполнять все остальные функции обычным способом. Ограничивая выполнение чувствительной нагрузки одним или несколькими сильно изолированными ядрами и позволяя остальным функциям выполняться отдельно, SICE способна обеспечить как высокую защиту для чувствительной нагрузки, так и эффективное разделение ресурсов в облаке.
При тестировании SICE, в общем, потребляла приблизительно 3% производительности системы на многоядерных процессорах при нагрузке, которая не требовала прямого сетевого доступа.
= <>=

Комментариев нет:

Отправка комментария