RU2406138C1 - Система безопасности виртуализованной компьютерной системы - Google Patents
Система безопасности виртуализованной компьютерной системы Download PDFInfo
- Publication number
- RU2406138C1 RU2406138C1 RU2009123225/08A RU2009123225A RU2406138C1 RU 2406138 C1 RU2406138 C1 RU 2406138C1 RU 2009123225/08 A RU2009123225/08 A RU 2009123225/08A RU 2009123225 A RU2009123225 A RU 2009123225A RU 2406138 C1 RU2406138 C1 RU 2406138C1
- Authority
- RU
- Russia
- Prior art keywords
- security
- virtual machine
- modules
- module
- access
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Изобретение относится к области безопасности компьютерных систем, а именно к системам безопасности виртуализованных компьютерных систем. Техническим результатом является высокая производительность и уменьшение времени отклика. Система безопасности виртуализованной компьютерной системы содержит аппаратную часть, связанную с, по меньшей мере, одной виртуальной машиной через монитор виртуальной машины, который содержит модуль управления политиками безопасности, соединенный с подсистемой безопасности, содержащей соединенные между собой настроечный модуль и, по меньшей мере, один модуль безопасности, соединенный с виртуальной машиной. 3 ил.
Description
Изобретение относится к области безопасности компьютерных систем, а именно к системам безопасности виртуализованных компьютерных систем, и может применяться в компьютерных устройствах различного типа с разными архитектурными и операционными системами, которые поддерживают возможности виртуализации.
Подход к возможностям виртуализации, связанный с монитором виртуальной машины (VMM - virtual machine monitor), фактически является типичным путем для создания нескольких виртуальных машин на единой реальной аппаратной платформе. Монитор виртуальной машины - это компьютерная программа, которая осуществляет полный или частичный контроль ресурсов реальной компьютерной системы. Она предоставляет изолированное окружение путем виртуализации данных аппаратных ресурсов. Виртуализованное окружение называется виртуальной машиной (VM - virtual machine). Виртуальная машина может обращаться к виртуальным ресурсам. Попытки обращения виртуальных машин к виртуальным ресурсам контролируются подсистемой безопасности. При этом, с точки зрения подсистемы безопасности, виртуальная машина является субъектом операции обращения, а ресурс, к которому она обращается, объектом. Подсистема безопасности содержит несколько (один или более) различных элементов, называемых модулями безопасности. Когда монитор виртуальной машины организовывает доступ к ресурсам системы, модули безопасности принимают решение о доступе субъектов к объектам на основе загруженной политики безопасности. Подсистема безопасности получает эти решения в определенной последовательности и принимает на их основе окончательное решение. В существующих системах виртуализации последовательность опроса модулей безопасности жестко закодирована. Аспект производительности не учитывается или она определяется эмпирически при определении данной последовательности. Поскольку решения могут приниматься очень часто и последовательность опроса модулей безопасности может быть неоптимальной, то это может привести к значительному ухудшению характеристик системы: уменьшению общей производительности и времени отклика.
Известна система виртуализации Xen c sHype подсистемой безопасности, разработанной фирмой IBM (см. Research Report RC23629: R.Sailer, Т.Jaeger, Е.Valdez, R.Perez, S.Berger, J.L Griffin, L. van Doorn: Building a MAC-based Security Architecture for the Xen Opensource Hypervisor [1] и Research Report RC23511: R.Sailer, E.Valdez, T.Jaeger, R.Perez, L. van Doorn, J.L.Griffin, S.Berger: sHype: Secure Hypervisor Approach to Trusted Virtualized Systems [2]). Архитектура sHype (фирмы IBM) поддерживает реализацию различных модулей безопасности (Chinese Wall, Biba, Bell-LaPadula и т.д.).
Наиболее близкой к заявленному изобретению является система безопасности виртуализованной компьютерной системы, описанная в патенте ЕР 2037657 [3], содержащая аппаратную часть, связанную, по меньшей, с одной виртуальной машиной через монитор виртуальной машины, при этом виртуальная машина выполнена с возможностью направления запроса доступа в монитор виртуальной машины, выполненный с возможностью обработки запроса доступа. Данная система выбрана в качестве прототипа заявленного изобретения.
Описанная выше архитектура систем аналога и прототипа предполагает, что последовательность получения решений от модулей безопасности основана на требуемой безопасности и жестко закодирована. Аспект производительности не учитывается или она определяется эмпирически, что может не соответствовать реальному состоянию. В системах с такой архитектурой может произойти ухудшение общей производительности системы и времени отклика системы, особенно если используется несколько сложных модулей безопасности. Кроме того, данная архитектура не обеспечивает функциональности для регистрации событий, происходящих в системе безопасности.
Задачей заявленного изобретения является создание системы безопасности виртуализованной компьютерной системы с увеличенной производительностью и уменьшенным временем отклика.
Поставленная задача решена за счет формирования оптимизированной последовательности опроса модулей безопасности и опроса модулей в данной последовательности, при этом опрос всех модулей не требуется, если после опроса некоторых модулей полученной информации достаточно для принятия решения. Кроме того, в подсистему безопасности добавлена возможность регистрации происходящих в ней событий. Функции регистрации событий облегчают администрирование подсистемы безопасности.
Технический результат достигается благодаря созданию системы безопасности виртуализованной компьютерной системы, содержащей аппаратную часть, связанную с, по меньшей мере, одной виртуальной машиной через монитор виртуальной машины, который содержит модуль управления политиками безопасности, соединенный с подсистемой безопасности, содержащей соединенные между собой настроечный модуль и, по меньшей мере, один модуль безопасности, соединенный с виртуальной машиной, причем виртуальная машина выполнена с возможностью направления запроса доступа в монитор виртуальной машины, выполненный с возможностью обработки запроса доступа, при этом подсистема безопасности выполнена с возможностью опроса модулей безопасности, получения от них решений о допуске и с возможностью принятия на основе полученных решений о допуске окончательного решения о допуске, а настроечный модуль выполнен с возможностью реализации функции настройки сбора информации о количестве опросов каждого модуля безопасности и времени, израсходованном на каждый из опросов, и с возможностью определения на основе собранной информации оптимальной последовательности опроса модулей безопасности, при которой часто вызываемые модули и модули, на которые тратится мало времени, вызывают в числе первых.
Для лучшего понимания заявленного изобретения далее приводится его подробное описание с соответствующими чертежами.
Фиг.1. Общая схема системы безопасности виртуализованной компьютерной системы согласно изобретению.
Фиг.2. Подробная схема системы безопасности виртуализованной компьютерной системы согласно изобретению.
Фиг.3. Алгоритм работы системы безопасности виртуализованной компьютерной системы согласно изобретению.
Рассмотрим принцип функционирования заявленного изобретения. Заявленная система безопасности виртуализованной компьютерной системы (Фиг.1-3) содержит аппаратную часть 1, связанную с, по меньшей мере, одной виртуальной машиной 2 через монитор 3 виртуальной машины, который содержит модуль 4 управления политиками безопасности, соединенный с подсистемой 5 безопасности, содержащей соединенные между собой настроечный модуль 6 и, по меньшей мере, один модуль 7 безопасности, соединенный с виртуальной машиной 2. Настроечный модуль 6 обеспечивает функции настройки и регистрации событий. Функции обоих типов могут быть независимо активированы или деактивированы модулем 4 управления политиками безопасности. Функции настройки имеют несколько режимов.
Выключен - подсистема 5 безопасности работает в обычном режиме (как если бы в системе не существовало функций настройки).
Включен - подсистема 5 безопасности постоянно выполняет самонастройку (описанную ниже в этом разделе).
Автоматический режим - изначально включена самонастройка подсистемы 5. Настроечный модуль 6 проверяет накладные расходы на выполнение самонастройки. Если накладные расходы самонастройки превышают ее выгоду ( то есть определяют целесообразность использования самонастройки), то самонастройку выключают совсем или на определенный период времени.
На каждый запрос доступа модули 7 безопасности возвращают решение о доступе. Когда функция застройки включена, настроечный модуль 6 собирает информацию о запросах решения о доступе. Для каждого возвращенного решения о доступе данная информация содержит количество опросов модулей безопасности и время, израсходованное каждым модулем на выработку его решения. Затем по запросу или через определенный временной интервал (то есть периодически) настроечный модуль определяет оптимальную последовательность опроса модулей 7 безопасности, которая имеет минимальное ожидаемое время выполнения. Таким образом, часто вызываемые модули 7 безопасности и модули, на выполнение которых тратится мало времени, будут вызваны в числе первых в последовательности опроса модулей безопасности. При этом на перестановку модулей 7 безопасности в последовательности опроса могут накладываться определенные ограничения.
Функции регистрации событий подсистемы 5 безопасности могут быть включены или выключены в зависимости от потребностей. Это дает возможность собирать некоторую информацию: субъекты, объекты, решения модулей и окончательные решения. Данная информация может быть использована для профилирования и трассировки подсистемы безопасности, а также для определения правильной конфигурации подсистемы безопасности и ее проверки.
Рассмотрим предпочтительный вариант выполнения заявленного изобретения. Система виртуализации (Фиг.1) представляет собой набор виртуальных машин 2, работающих на любом оборудовании с любой архитектурой 1 и в любых операционных системах. Каждая виртуальная машина 2 независима и защищена от остальных. Монитор 3 виртуальной машины обеспечивает правильную работу данного набора виртуальных машин 2. Вся информация по безопасности, предназначенная для виртуальных машин 2 и других ресурсов, находится внутри монитора 3 виртуальной машины и защищена от виртуальных машин 2.
Каждая виртуальная машина 2 может получить доступ к различным объектам (виртуальным ресурсам), которые соответствуют реальным ресурсам аппаратной части 1 системы. Когда виртуальная машина 2 пытается получить доступ к объекту, запрос доступа посылают в подсистему 5 безопасности монитора 3 виртуальной машины (Фиг.2). Подсистема 5 безопасности опрашивает модули 7 безопасности и принимает окончательное решение. Опрос всех модулей 7 безопасности в определенной последовательности может не требоваться - окончательное решение доступно с того момента, когда информации, полученной от опрошенных модулей 7 безопасности, становится достаточно для принятия окончательного решения.
Подсистема 5 безопасности содержит настроечный модуль 6, который выполняет настроечные функции (для самонастройки подсистемы безопасности) и функции регистрации событий (для профилирования/трассировки подсистемы безопасности). Функции обоих типов могут быть независимо активированы или деактивированы модулем управления политиками безопасности.
На каждый запрос доступа модули 7 безопасности возвращают решение о доступе. Когда настроечные функции включены, настроечный модуль 6 собирает информацию о запросах решения о доступе. Для каждого возвращенного решения о доступе эта информация содержит количество опросов модулей 7 безопасности и время, затраченное каждым модулем на выработку решения. Затем по запросу или через временной интервал (то есть периодически) настроечный модуль определяет оптимальную последовательность опроса модулей 7 безопасности, которая имеет минимальное ожидаемое время выполнения. Таким образом, часто вызываемые модули 7 и модули 7, на выполнение которых тратится мало времени, будут опрашиваться в числе первых в последовательности опроса модулей безопасности. При этом на перестановку модулей 7 безопасности в последовательности опроса могут накладываться определенные ограничения.
Таким образом, настроечные функции повышают производительность подсистемы безопасности.
Если регистрация событий активирована, то она дает возможность собирать информацию: субъекты, объекты, решения модулей и окончательные решения. Данная информация может быть использована для профилирования и трассировки подсистемы безопасности, а также может помочь при создании правильной конфигурации подсистемы безопасности.
Предложенная система обеспечивает высокую производительность подсистемы безопасности. Кроме того, она предлагает дополнительную функциональность - возможность регистрации событий подсистемы безопасности. Данная информация может быть очень полезна для правильного конфигурирования подсистемы безопасности в системе виртуализации.
Хотя указанный выше вариант выполнения изобретения был изложен с целью иллюстрации настоящего изобретения, специалистам ясно, что возможны разные модификации, добавления и замены, не выходящие из объема и смысла настоящего изобретения, раскрытого в прилагаемой формуле изобретения.
Claims (1)
- Система безопасности виртуализованной компьютерной системы, содержащая аппаратную часть, связанную с, по меньшей мере, одной виртуальной машиной через монитор виртуальной машины, который содержит модуль управления политиками безопасности, соединенный с подсистемой безопасности, содержащей соединенные между собой настроечный модуль и, по меньшей мере, один модуль безопасности, соединенный с виртуальной машиной, причем виртуальная машина выполнена с возможностью направления запроса доступа в монитор виртуальной машины, выполненный с возможностью обработки запроса доступа, при этом подсистема безопасности выполнена с возможностью опроса модулей безопасности, получения от них решений о допуске и с возможностью принятия на основе полученных решений о допуске окончательного решения о допуске, а настроечный модуль выполнен с возможностью реализации функции настройки: сбора информации о количестве опросов каждого модуля безопасности и времени, израсходованном на каждый из опросов, и с возможностью определения на основе собранной информации оптимальной последовательности опроса модулей безопасности, при которой часто вызываемые модули и модули, на которые тратится мало времени, вызывают в числе первых.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2009123225/08A RU2406138C1 (ru) | 2009-06-18 | 2009-06-18 | Система безопасности виртуализованной компьютерной системы |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2009123225/08A RU2406138C1 (ru) | 2009-06-18 | 2009-06-18 | Система безопасности виртуализованной компьютерной системы |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2406138C1 true RU2406138C1 (ru) | 2010-12-10 |
Family
ID=46306569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2009123225/08A RU2406138C1 (ru) | 2009-06-18 | 2009-06-18 | Система безопасности виртуализованной компьютерной системы |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2406138C1 (ru) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012103517A1 (en) * | 2011-01-27 | 2012-08-02 | L-3 Communications Corporation | Internet isolation for avoiding internet security threats |
RU2640300C2 (ru) * | 2013-02-22 | 2017-12-27 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Движок интроспекции памяти для защиты целостности виртуальных машин |
US10554475B2 (en) | 2017-06-29 | 2020-02-04 | L3Harris Technologies, Inc. | Sandbox based internet isolation in an untrusted network |
US10558798B2 (en) | 2017-06-29 | 2020-02-11 | L3Harris Technologies, Inc. | Sandbox based Internet isolation in a trusted network |
US10931669B2 (en) | 2017-09-28 | 2021-02-23 | L3 Technologies, Inc. | Endpoint protection and authentication |
US10992642B2 (en) | 2017-09-22 | 2021-04-27 | L3 Technologies, Inc. | Document isolation |
US11044233B2 (en) | 2017-09-28 | 2021-06-22 | L3 Technologies, Inc. | Browser switching system and methods |
US11120125B2 (en) | 2017-10-23 | 2021-09-14 | L3 Technologies, Inc. | Configurable internet isolation and security for laptops and similar devices |
US11170096B2 (en) | 2017-10-23 | 2021-11-09 | L3 Technologies, Inc. | Configurable internet isolation and security for mobile devices |
US11178104B2 (en) | 2017-09-26 | 2021-11-16 | L3 Technologies, Inc. | Network isolation with cloud networks |
US11184323B2 (en) | 2017-09-28 | 2021-11-23 | L3 Technologies, Inc | Threat isolation using a plurality of containers |
US11223601B2 (en) | 2017-09-28 | 2022-01-11 | L3 Technologies, Inc. | Network isolation for collaboration software |
US11240207B2 (en) | 2017-08-11 | 2022-02-01 | L3 Technologies, Inc. | Network isolation |
US11336619B2 (en) | 2017-09-28 | 2022-05-17 | L3 Technologies, Inc. | Host process and memory separation |
US11374906B2 (en) | 2017-09-28 | 2022-06-28 | L3 Technologies, Inc. | Data exfiltration system and methods |
US11552987B2 (en) | 2017-09-28 | 2023-01-10 | L3 Technologies, Inc. | Systems and methods for command and control protection |
US11550898B2 (en) | 2017-10-23 | 2023-01-10 | L3 Technologies, Inc. | Browser application implementing sandbox based internet isolation |
US11601467B2 (en) | 2017-08-24 | 2023-03-07 | L3 Technologies, Inc. | Service provider advanced threat protection |
-
2009
- 2009-06-18 RU RU2009123225/08A patent/RU2406138C1/ru not_active IP Right Cessation
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9942198B2 (en) | 2011-01-27 | 2018-04-10 | L3 Technologies, Inc. | Internet isolation for avoiding internet security threats |
US10601780B2 (en) | 2011-01-27 | 2020-03-24 | L3Harris Technologies, Inc. | Internet isolation for avoiding internet security threats |
WO2012103517A1 (en) * | 2011-01-27 | 2012-08-02 | L-3 Communications Corporation | Internet isolation for avoiding internet security threats |
RU2640300C2 (ru) * | 2013-02-22 | 2017-12-27 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Движок интроспекции памяти для защиты целостности виртуальных машин |
US10554475B2 (en) | 2017-06-29 | 2020-02-04 | L3Harris Technologies, Inc. | Sandbox based internet isolation in an untrusted network |
US10558798B2 (en) | 2017-06-29 | 2020-02-11 | L3Harris Technologies, Inc. | Sandbox based Internet isolation in a trusted network |
US11240207B2 (en) | 2017-08-11 | 2022-02-01 | L3 Technologies, Inc. | Network isolation |
US11601467B2 (en) | 2017-08-24 | 2023-03-07 | L3 Technologies, Inc. | Service provider advanced threat protection |
US10992642B2 (en) | 2017-09-22 | 2021-04-27 | L3 Technologies, Inc. | Document isolation |
US11178104B2 (en) | 2017-09-26 | 2021-11-16 | L3 Technologies, Inc. | Network isolation with cloud networks |
US11336619B2 (en) | 2017-09-28 | 2022-05-17 | L3 Technologies, Inc. | Host process and memory separation |
US11184323B2 (en) | 2017-09-28 | 2021-11-23 | L3 Technologies, Inc | Threat isolation using a plurality of containers |
US11223601B2 (en) | 2017-09-28 | 2022-01-11 | L3 Technologies, Inc. | Network isolation for collaboration software |
US11044233B2 (en) | 2017-09-28 | 2021-06-22 | L3 Technologies, Inc. | Browser switching system and methods |
US11374906B2 (en) | 2017-09-28 | 2022-06-28 | L3 Technologies, Inc. | Data exfiltration system and methods |
US11552987B2 (en) | 2017-09-28 | 2023-01-10 | L3 Technologies, Inc. | Systems and methods for command and control protection |
US10931669B2 (en) | 2017-09-28 | 2021-02-23 | L3 Technologies, Inc. | Endpoint protection and authentication |
US11170096B2 (en) | 2017-10-23 | 2021-11-09 | L3 Technologies, Inc. | Configurable internet isolation and security for mobile devices |
US11120125B2 (en) | 2017-10-23 | 2021-09-14 | L3 Technologies, Inc. | Configurable internet isolation and security for laptops and similar devices |
US11550898B2 (en) | 2017-10-23 | 2023-01-10 | L3 Technologies, Inc. | Browser application implementing sandbox based internet isolation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2406138C1 (ru) | Система безопасности виртуализованной компьютерной системы | |
US10581890B2 (en) | Container data offline and online scan in a cloud environment | |
Hizver et al. | Real-time deep virtual machine introspection and its applications | |
CN102262557B (zh) | 通过总线架构构建虚拟机监控器的方法及性能服务框架 | |
CN101405712B (zh) | 利用虚拟化技术来加速域特定运行时环境的框架 | |
US8584229B2 (en) | Methods and apparatus supporting access to physical and virtual trusted platform modules | |
US8443363B1 (en) | Coordinated virtualization activities | |
Xiao et al. | Security implications of memory deduplication in a virtualized environment | |
US9304849B2 (en) | Implementing enhanced error handling of a shared adapter in a virtualized system | |
US7904903B2 (en) | Selective register save and restore upon context switch using trap | |
US9164809B2 (en) | Virtual processor provisioning in virtualized computer systems | |
US8191062B2 (en) | System for processor frequency governors to govern a processor frequency by deriving CPU utilization information based on the state of virtual machine monitor | |
US20080065854A1 (en) | Method and apparatus for accessing physical memory belonging to virtual machines from a user level monitor | |
US20140082620A1 (en) | Systems and methods for triggering scripts based upon an alert within a virtual infrastructure | |
EP2239662A2 (en) | System management mode inter-processor interrupt redirection | |
US9032399B1 (en) | Measurement of input/output scheduling characteristics in distributed virtual infrastructure | |
KR101920980B1 (ko) | 멀티-운영 체제 디바이스들에 대한 액세스 격리 | |
CN103744716B (zh) | 一种基于当前vcpu调度状态的动态中断均衡映射方法 | |
US7539986B2 (en) | Method for guest operating system integrity validation | |
US9684517B2 (en) | System monitoring and debugging in a multi-core processor system | |
US20140372795A1 (en) | Implementing distributed debug data collection and analysis for a shared adapter in a virtualized system | |
US20080126650A1 (en) | Methods and apparatus for parallel processing in system management mode | |
US9529656B2 (en) | Computer recovery method, computer system, and storage medium | |
CN105556473A (zh) | 一种i/o任务处理的方法、设备和系统 | |
Baiardi et al. | Building trustworthy intrusion detection through vm introspection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20180619 |