Andry PrasetyoIgnatus Ivan

Masalah dalam membangun sebuah sistem operasi baru yang aman adalah bahwa aplikasi yang ada tidak dapat berjalan pada sistem baru. Sistem operasi menentukan programmer aplikasi antarmuka (API) yang terdiri dari satu set sistem panggilan pendukung.

Sistem operasi baru sering mendefinisikanAPI baru, sehingga kebutuhan untuk port aplikasi dan / atau menulis aplikasi .

Ini telah menjadi masalah utama dalampenerimaan untuk sistem operasi yang amandidasarkan pada kernel muncul, sepertiasTrusted Mach [35] dan Flask [295 ], danalasan untuk fokus pada pengamanan sistemkomersial.

Sistem Mesin virtual adalah Sebuah alternatifyang memungkinkan eksekusi beberapasistem operasi pada satu komputer.

Sebuah sistem mesin virtual memungkinkan beberapa contoh sistem operasi dan aplikasi mereka untuk berjalan secara bersamaan pada mesin fisik tunggal.

Setiap contoh sistem operasi berjalan dalam lingkungan virtual yang mengemulasi sebuah platform fisik, yang disebut mesin virtual (VM).

Setiap sistem operasi masih mengelola keadaan aplikasi dan abstraksi (misalnya, file,soket, proses, pengguna, dll), itu tidak benar-benar mengelola penggunaan perangkat keras fisik.

komponen baru sistem mesin virtual disebut monitor mesin virtual (VMM), yang multiplexes sumber daya sistem fisik antara sistem operasi di VMs.

Sistem operasi mesin virtual tidak lagi mengontrol penggunaan hardware sistem, melainkan menerima hardware akses hanya melalui theVMMruns theVMM.

Sistem operasi mesin virtual tidak lagi mengontrol penggunaan hardware sistem, melainkan menerima hardware akses hanya melalui sebuah tipuan melalui sebuah VMM.

Sebuah vmm berjalan hanya dalam modus supervisor,yang memiliki akses ke perangkat keras sistem secara langsung.

Gambar 11.1: Arsitektur VMMTipe 1danTipe 2: Tipe 1 arsitektur berjalan secara langsung pada perangkat keras, sedangkan tipe 2 arsitektur tergantung pada sistem operasi host.

Tipe 1VMM berjalan secara langsung pada perangkat keras.Contoh :IBM VM/370 [69], Xen [346], dan VMWare ESX Server [319]

Tipe 2VMM berjalan tergantung pada sistem operasi host .Contoh :VMWare GSX Server [320], Microsoft Virtual PC [208], dan User-Mode Linux (UML)

Keamanan VMMVAX Kernel adalah sistem mesin virtual yang bertujuan untuk mencapai sistem operasi yang aman.

VMMVAX berjalan VMs dipercaya sedemikian rupa sehingga dapat mengendalikan semua komunikasi antar-VM, saluran bahkan rahasia.

Fitur kunci dari VMMVAX adalah implementasi virtualisasi, yang menjamin bahwa VMS tidak dapat dipercaya menghindari otoritas VMM, dan arsitektur sistem berlapis, yang meningkatkan keamanan melalui modularitasdan meminimalkan ketergantungan.

Gambar 11.3: Sistem Arsitektur VMMVAX: mesin virtual diberi label sesuai dengan kerahasiaandari informasi yang mereka dapat memperoleh melalui keamanan kernel VMM ke perangkat fisik sistem

adalah VMM Type 1, dalam hal ini berjalan secara langsung pada perangkat keras. VMM ini mencakup layanan untuk penyimpanan(pada tape dan disk) dan untuk pencetakan. Secara umum, VMM harus multipleks semua perangkat fisik antara VMs, tetapi beberapa perangkat kunci, dalam perangkat jaringan Ethernet tertentu, yang tidak didukung menjadi bermasalah untuk penyebaran sistem. Setiap VM bisa dijalankan pada pembebasan sendiri, dan VMM termasuk monitor referensi yang memastikan bahwa setiap penggunaan sumber daya fisik dimediasisesuai dengan kebijakan akses kontrol wajib

dirancang secara berlapis termotivasi oleh karya desain Multics

dari Janson [151], Reed [254], dan Naval Postgraduate School [67] Idenya adalah bahwa setiap lapisan menambahkan dandidefinisikan baik fungsi VMM, dan ada lapisan tergantung pada fungsionalitas yang disediakan oleh (lebih tinggi yaitu,kurang-trusted) lapisan.

1. virtualizing cincin perlindungan dari prosesor VAX

2. mengidentifikasi petunjuk sensitif prosesor VAX,

3. meniru operasi I / O yang dihasilkan oleh VMs pengguna terpercaya, dan

4. memungkinkan sistem VMM VAX menjadi virtualizable

evaluasi keamanan sistem VMMVAX menggunakan prinsip memantau referensi dinyatakan dalam Bab2. Desain VMMVAX melakukan beberapa pertimbangan untuk mencegah komunikasi saluran rahasia, di samping saluran terbuka dikontrol oleh referensi memantau antarmuka. Namun,sulit untuk menjamin referensi tamperproofing monitor dan pemastian dalam sistem nyata. Meskipun demikian, sistem VMMVAX telah hati-hati dirancang dengan keamanan,dan ditujukan untuk jaminan A1-menurut buku Orange [304].

Kernel VMM VAX stabil pada awal 1988, hosting pribadi pada pertengahan 1988, dan didukung DEC VMS dan ULTRIX-32 sistem operasi pada tahun 1989. Sebuah uji lapangan eksternal dilakukan pada akhir 1989, dan pelaksanaan kinerja ditemukan "diterima.“

uji lapangan dan informasi bisnis kasus lain digunakan untuk menentukan maju tidaknyaVMM VAX sebagai produk komersial.

semua driver perangkat yang berjalan di VMM, yang menjamin akses dipercaya untuk hardware

kombinasi Pascal, PL / 1, dan sejumlah besar assembler (hampir 1/4 darikode VMM) tidak biasa untuk sistem operasi, sekitar tahun 1990.

perangkat keras VAX multiprosesor memperkenalkan saluran kinerja tinggi rahasia

Virtual Center VMware mendefinisikan kebijakan atas interaksi VMware VM. Sumber daya dikelompokkan ke dalam kolam sumber daya yang partisi sumber daya CPU dan memori. Sumber daya kolam dapat disusun secara hierarkis

Virtual Center VMware menggunakan Keamanan Windows kontrol (lihat Bab 7) dan peran untuk menentukan akses

Partisi sumber daya menggunakan kelompokmemungkinkan isolasi, tetapi jika salah satu VM dapat mendelegasikan kendali atas sumber daya kelompok VM yang lain, maka kompromi dapat menyebabkan arus informasi bahwa pelanggaran tujuan keamanan sistem.

VMware mendukung introspeksi guest VMs [106], yang dapat memungkinkan deteksi kompromi guest VM dari VMM yang dilindungi

NetTop bertujuan memanfaatkan VMware untuk keamanan

NetTop menyediakan end-to-end perlindungan kerahasiaan menggunakan mesin virtual untuk isolation, bukan mesin fisik.

Sistem NetTop dibangun pada sistem 2 Type VMware yang menggunakan SELinux sebagai sistem operasi host

Menggunakan NetTop, VMs individu dapatdiisolasi pada mesin fisik yang sama, sehingga mesin fisik tunggal dapat digunakan untuk menyambung ke beberapa jaringan terisolasi..

NetTop menggunakan SELinux dalam dua cara : kontrol akses SELinux dalam VM

mendefinisikan kebijakan paling istimewa dimana hak akses layanan yang terkandung,

SELinux mendefinisikan sumber daya yang dialokasikan untuk VMs oleh sistem, dan tidak ada Delegasi berwenang.

XenXen merupakan sistem mesin x86 virtual. Xen memberikan jaminan isolasi yang sama

sepertiVMware Xen menyediakan kontrol akses mandatory

(MAC) pada tingkat hypervisor(yaitu, VMM). Implementasi pemikiran yang tepat dari monitor

acuan dalam Xen hypervisor adalah sebuah proyek berkelanjutan, namun tujuannya adalah sama ke Modul Keamanan Linux (LSM) antarmuka di Linux . Xen isolasi, tanpa memanfaatkan penegakan MAC, telah diterapkan untuk mengisolasi aplikasi web

Xen adalah sebuah VMM 1 Tipe terdiri dari dua komponen utama: (1) hypervisor yang

berjalan secara langsung pada perangkat keras dan

(2) VM istimewa yang memberikan I / O dan VM mendukung konfigurasi. Xen hypervisor menyediakan komunikasi VM primitif, terutama bertujuan untuk meningkatkan kinerja emulasi I / O antara VMs untrusted dan VM istimewa yang tidak pengolahan I / O yang sebenarnya.