今回のメジャー リリースでXenが自動車と組み込み技術にとって魅力的なオプションに
2019年4月2日サンフランシスコ発 — Linux Foundation がホストするオープンソース ハイパーバイザーであるXen Projectは、Xen Project Hypervisor 4.12がリリースされたことを発表しました。 最新リリースでは、セキュリティとコードサイズに関する目覚ましい機能強化、x86アーキテクチャの一新、その他の更新が行われ、Xenが自動車と組み込み業界にとって理想的な技術になっています。
より効率的になったXen 4.12のアーキテクチャは、コード行数を減らすことで潜在的なセキュリティ脆弱性を低下させるとともに、Xenをミックストクリティカリティ システム (mixed-criticality systems) で使用する際の魅力的なオプションとしています。さらに、多層防御技術による非特権モードQEMUの強化とVMIの強化も、未知の脅威にさらされるリスクを減らします。このバージョンでは構成可能な領域が広がり、Xenを大幅にカスタマイズして使用している企業/組織の統合コストが大きく削減されます。さらに、Xen 4.12は、クリーンなアーキテクチャ、優れたユーザー エクスペリエンス、将来の保証というこれまでのバージョンの特長を継承して構築されています。
Xen Projectアドバイザリ ボード委員長であるLars Kurth氏は、次のように述べています。
「Xen Project Hypervisor 4.12は、このプロジェクトが革新的なアーキテクチャになるという約束を明確に果たす例の1つです。これは、組み込み/自動車業界に加えてセキュリティ製品の業界にも市場可能性を広げる大きな一歩です。我々は引き続きホスティング市場やクラウド市場にサービスを提供するとともに、Xenの認証プロセスを合理化することにも注力し、Xenに投資するセキュリティ/組み込み/自動車企業がこのハイパーバイザーに基づいて魅力的な製品を作り続けることができるように支援いたします。」
セキュリティおよびコード サイズ
Xen 4.12リリースは、これまでのリリースが提供していたセキュリティ機能の上に構築され、セキュリティ重視の環境において最高に安全・安定なハイパーバイザーというXenの伝統を受け継いでいます。
- HVM/PVH専用およびPV専用のハイパーバイザー:Xen Project 4.12リリースは、HVM/PVHとPVのコード パスを分離し、HVM/PVH専用またはPV専用のハイパーバイザーを構築するためのKCONFIGオプションが用意されています。これで、Qubes OS、Star Lab Crucible、OpenXTなどのXenベースのセキュリティ製品を、メモリー フットプリントと攻撃対象領域を大幅に減らしつつ、さらに容易に構築することができます。さらに、PVゲストをサポートしていないクラウド プロバイダーやホスティング プロバイダーはHVM/PVH専用のハイパーバイザーを展開できるため、セキュリティの強化につながります。
- QEMUの非特権化(DM_RESTRICT):Xenの直近3リリースでは、QEMUのセキュリティ脆弱性の影響を制限するためにQEMU非特権化の基礎作りをしてきました。Xen 4.12では、この機能が大幅に強化されています。制約と機能の大部分が実装され、大規模テストに対するセキュリティと準備態勢が向上しています。VMの移行もサポートされるようになりました。chroot、RLIMIT、Linux名前空間を使用した多層防御技術が、QEMUからXenおよびVMへの特権昇格に対する保護に使用されています。
- Argo – ハイパーバイザー メディエイテッド エクスチェンジ(HMX):Argoは、既存のドメイン間通信メカニズムより優れた分離特性を持つ、セキュリティ・安全性・ミックストクリティカリティ システム (mixed-criticality systems) 向けの新しいドメイン間通信メカニズムです。Argoは、正しく安全・確実に使用できるように、堅牢かつシンプルに設計されています。さらに、Argoはドメイン間パフォーマンス分離の要求を満たし、他のドメインの悪意あるアクティビティや破壊的アクティビティだけでなく、同じドメインの別のVCPUからのパフォーマンスへの悪影響を防ぐこともできます。Argoは、マルチ独立レベル セキュリティ/セーフティ(MILS)アーキテクチャの根本原則に従っています。Argoは、ドメインによって登録された受信メモリー リングへのデータ コピーを実行することで、VM間でデータを転送するためのXenハイパーバイザー プリミティブを提供します。VM間のメモリー共有は必要なく、グラント テーブルやXenstoreも使用しません。
- 仮想マシン イントロスペクションの強化:ゼロデイ脆弱性の検出を行うVMIサブシステムの機能と能力に数多くの改良が施されました。サブシステム内のAltp2m(https://xenproject.org/tag/alt2pm/を参照)およびIntel #VE/VMFUNCのサポートがチューニングされて機能が向上しています。この2つの技術により、仮想マシン イントロスペクションのパフォーマンス オーバーヘッドが、作業負荷に応じて5%から20%も削減されます。
x86アーキテクチャの一新
Xen 4.12の新機能として、Xenによるx86アーキテクチャ サポートの実装方法が一新されました。ここ数年間の作業が完成に近づきつつあります。
- Credit2スケジューラー:Credit2スケジューラーがXen Projectのデフォルトのスケジューラーになりました。 これは、Xenのための次世代スケジューラーの開発を目標とした数年にわたる作業の成果です。Credit2スケジューラーの設計には、スケーラビリティや予測可能性に加えて、遅延に敏感な作業負荷のパフォーマンスが特に考慮されています。
- PVHのサポート:XenおよびGrub2にGrub2ブートのサポートが追加されています。これにより、grubメニューから任意のPVHゲスト カーネルをブートできます。 PVHも更新され、安定性が向上しています。
- PVH Dom0:PVH Dom0のサポートが試験段階から技術プレビュー段階にアップグレードされました。このアップグレードはIntelハードウェア限定ですが、さまざまなバグが解決され、いくつかの機能強化が施されています。たとえば、PVH Dom0の使用時にファームウェアの不具合を回避するための新しいdom0-iommu=map-reservedオプションがあります。PVH dom0からdomUへの移行もサポートされるようになりました。
組み込み / 自動車
Xen Projectは、組み込み/自動車のユース ケースをターゲットとして、安全性の証明をより簡単に行えるように努力しています。今回の新規アップグレードにより、ミックストクリティカリティ システムで使用されるXenの実行能力が向上します。
- 静的にパーティション分割されたシステムのためのDom0レスVM:新しいXen 4.12アップグレードは、Xenの起動直後にデバイス ツリーからArm VMを作成してブートできるようにします。従来のXen環境では、Dom0カーネル、ユーザー空間、およびツールスタックが起動した後に初めてVMを起動できました。このアップグレードはブート時間を90%以上短縮します。Dom0レスVMは、静的にパーティション分割されたミックストクリティカリティ システムにまでXenの使用範囲を拡大します。Xenは、今後のリリースでDom0レスの概念を拡張して、完全にDom0なしのXenシステムを構築できるようにする予定です。これは、安全性証明コストを大幅に削減することになるでしょう。
- 極小Armコンフィギュレーション:Xen 4.12アップグレードを使用すると、50 KSLOC(Kilo Lines Of Code)未満の極小Armコンフィギュレーションを作成できます。これは、Xenベースのシステムの安全性証明コストを削減します。この新機能を使用して、ミックストクリティカリティ システムに必要な最小限のドライバーと機能を搭載したルネサスR-Car 3やXilinx Ultrascale+ MPSoCなどの特定のハードウェア向けに、さまざまなXenをカスタマイズして構築できます。
その他の技術と機能
新しいXen 4.12アップグレードでは、IOMMUマッピング コードも改良されています。これは、AMD EPYCベースのシステムの起動時間を大幅に短縮します。
さらに、Dom0メモリー サイズをホスト メモリーに対する割合(10%など)またはオフセット付き(1G+10%など)で設定できる、自動Dom0サイズ設定機能もあります。
Xen Project ユーザーとコントリビューターからのコメント (原文)
Apertus Solutions
“With today’s introduction of the hypervisor-mediated exchange protocol Argo, Non-bypassable and Always-invoked (NEAT) properties are now possible with the Xen hypervisor,” said Daniel P. Smith, Chief Technologist at Apertus Solutions. “Early separation kernel concepts were defined in the 1980’s by John Rushby’s seminal work, extended by Jim Alves-Foss for virtual systems, and distilled into NEAT properties for Multiple Independent Levels of Separation (MILS) systems. Apertus Solutions looks forward to future Xen Security Modules (XSM) type assertion capabilities that only a hypervisor-mediated exchange protocol like Argo can deliver on a per-message basis, on the trusted computing foundations of DRTM, TrenchBoot, disaggregated Xen and OpenXT.”
Assured Information Security
“Argo is a robust inter-VM communication protocol for Xen with emphasis on security and isolation for trusted systems,” said Rich Turner, Principal Engineer, SecureView, Assured Information Security. “Assured Information Security (AIS) is committed to advancing the support and implementation of Argo in secure products and services. As long-standing supporters and contributors of OpenXT, AIS is excited by the security advancements that Argo provides to Xen and downstream projects like OpenXT. Our customers count on secure isolation and communication within our products and Argo will further our ability to deliver secure, safe, and mission-critical products.”
Bitdefender
“As a member of the Advisory Board, we are fully committed to supporting Xen Project. We are impressed with the technological advancements the Xen Project team introduced with the Xen 4.12 release and look forward to contributing to the future success of the project,” said Mihai Donțu, Chief Linux Officer at Bitdefender. “The new functionality developed in Virtual Machine Introspection (VMI) is enhancing the overall performance of purposely built security solutions that take advantage of this subsystem. Bitdefender Hypervisor Introspection is leveraging the VMI subsystem to defend virtual machines against zero-day exploits and is using Altp2m and #VE to improve the solution performance.”
Citrix
“With its 4.12 release, the Xen Project Hypervisor builds upon its already strong foundations of dependable workload isolation and cutting edge security features,” said James Bulpin, Senior Director, Technology, Citrix. “By delivering on QEMU de-privilege, and enabling integrators to optionally exclude code for unused virtualization modes, Xen 4.12 exhibits valuable defense-in-depth, and attack surface minimization qualities. These capabilities enable Citrix Hypervisor, which uses Xen at its core, to deliver dependable security to our cloud, server, and desktop virtualization customers.”
DornerWorks
“As a long time proponent of embedded virtualization for commercial and safety-critical applications, DornerWorks is excited by the continued focus of the Xen community on not only large server clusters but also on the smaller embedded systems that we rely on every day,” said Steven H. VanderLeest, Ph.D, Chief Operating Officer at DornerWorks. “We are especially pleased with the release of Dom0less boot and configuration options to reduce ARM code size, which will help reduce the certification and maintenance burden while improving Xen’s boot time and performance.”
EPAM
“The latest release of Xen Hypervisor is the first step towards functional safety regulation compliance, reducing external non-compliant component dependency and introducing minimal code footprint configuration. These changes enable the usage of Xen Hypervisor in complex, mixed-safety automotive systems, such as digital cockpits or communication gateways,” said Alex Agizim, CTO, Automotive & Embedded Systems, EPAM.
Star Lab
“The release of Xen 4.12 enables Star Lab to continue delivering Crucible, our highly performant and secure virtualized solution for tactical virtualization,” said Irby Thompson, CEO of Star Lab. “Xen 4.12 helps reduce the size of the core hypervisor, while further isolating control logic from the guests, increasing security benefits for Star Lab and our customers. Additionally, Xen 4.12 will enable Star Lab to continue the development of hypervisor offerings for its ARM platform customers. Star Lab is looking forward to collaborating with the Xen community on additional dom0less and tiny ARM developments.”
Qubes OS
“Reducing the Xen code size, its complexity, moving more parts away from Paravirtualization (PV), and making optional features configurable at build time is hugely beneficial in terms of reducing attack surface,” said Marek Marczykowski-Górecki, Qubes OS project leader. “We look forward to using Xen 4.12 in the next Qubes OS release to even better utilize hardware virtualization and provide secure client environment.”
SUSE
“We at SUSE have been supporting Xen as a high end, reliable technology since the very beginning of virtualization support in our enterprise products, “said Jiri Kosina Director, SUSE Labs Core. “Therefore we are very happy to see that this new hypervisor release is, once again, expanding the set of features that meet the rapidly growing demand of the current virtualization market.”
Xilinx
“Xilinx is excited to see the new features introduced by the Xen development team for the 4.12 release, especially the new Dom0-less fast boot combined with the code size reductions targeting Xilinx Zynq UltraScale+ MPSoC,” said Simon George, Director of System Software and SoC Solution Marketing at Xilinx. “These features, along with the earlier null scheduler, allow Xen to better serve diverse, embedded use cases. We look forward to Xen’s roadmap for continued work on new features for these markets.”
その他のリソース
