Offene Virtualisierung auf dem Vormarsch

Privilegienlevel

Eine für die Virtualisierung wichtige Eigenschaft ist das Prinzip der Privilegien-Level. Die insgesamt vier Levels, auch als Ringe oder Domains bekannt, beschreiben die Sicherheitsstufen eines Prozesses, angeordnet in einer Hierarchie von Ring 0 (höchste Berechtigungsstufe) bis Ring 3. Im Ring 0 läuft das Betriebssystem, etwa Linux, mit direktem Zugriff auf die Hardware. Die Applikationen sind auf den Ring 3 mit der niedrigsten Berechtigungsstufe beschränkt. Ein Zugriff auf den Speicherbereich anderer Prozesse ist nicht möglich. Damit ist gewährleistet, dass Prozesse im Ring 3 auf keinen Fall Prozesse im Ring 0 oder auch andere Prozesse im Ring 3 beeinflussen können. Die Ringe 1 und 2 wurden historisch betrachtet von kommerziellen Betriebssystemen nicht verwendet. Überall dort, wo das Betriebssystem direkt auf der Hardware aufsetzt (bare metal), bietet dieses Modell aus dem Blickwinkel der Sicherheit eindeutige Vorteile.

Da bei KVM eine virtuelle Maschine als Linux-Prozess implementiert ist, kann der Hypervisor auch die umfangreichen, in den Linux-Kernel integrierten Sicherheitsfunktionen von „SELinux“ (Security-Enhanced-Linux) nutzen. KVM schafft so die Grundlage, dass die Virtualisierung gleichzeitig von mehreren Anwendern auf dem gleichen Server genutzt werden kann. Die virtuellen Maschinen sind dabei mit der von der NSA entwickelten Mandatory-Access-Control-Technologie sicher voneinander abgeschirmt. Das „sVirt-Projekt“ nutzt „SELinux“ als Grundlage einer Infrastruktur, mit der Administratoren Regeln erstellen, um VMs vor unerlaubten Zugriffen zu schützen.

Bei der Frage, wie sicher KVM ist, sorgte vor einigen Jahren die Debatte, ob KVM ein Typ-1- oder ein Typ-2-Hypervisor ist, der im nicht-privilegierten Ring 3 läuft, für einige Aufregung. Aufgrund seines Bare-Metal-Designs ist KVM ein Typ-1-Hypervisor, da zumindest Teile im Ring 0 mit den entsprechend hohen Sicherheitsstandards laufen. Auch „Vmware vSphere“ und „Microsoft Hyper-V“ werden als Typ-1-Hypervisor eingestuft, verfügen aber nicht standardmäßig über eine Mandatory-Access-Control-Isolation.

Unterstützt durch IBM und andere Branchenschwergewichte in der Open Virtualization Alliance wird sich die offene Virtualisierung in den Unternehmen durchsetzen. Gerade durch die enge Verzahnung von KVM und Linux müssen Unternehmen nicht jedes Mal darauf achten, dass der Hypervisor als integraler Bestandteil des Betriebssystems nicht noch einmal speziell auf die Hardware abgestimmt sein muss.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Offene Virtualisierung auf dem Vormarsch
2. Privilegienlevel

Lesen Sie mehr zum Thema

Weitere Artikel zu Red Hat GmbH

NetApp und Red Hat

Mehr Flexibilität in virtualisierten Umgebungen

Red Hat: KI-Projekte steuern

KI sollte als Teaminitiative gesehen werden

KI kann die Fertigungseffizienz steigern

Maschinen, die Entscheidungen treffen

Open Source

Red Hat gestaltet Partnerprogramm um

Künstliche Intelligenz

Cloud und On-premises-Welt im KI-Kontext

Weitere Artikel zu Server, Datacenter

Direktanschluss an Atomkraftwerk

Amazon plant 20-Milliarden-Investition in Rechenzentren

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden