Virtualisierung: Hypervisor Xen verbessert mit Version 4.6 Sicherheit
Das Xen Project veröffentlicht die neue Version ihres Hypervisors Xen 4.6. Die Verbesserungen betreffen vorwiegend Sicherheitsfunktionen.
- Jan Bundesmann
Die neue Version des Xen Project Hypervisor, Xen 4.6, ist erschienen. Sie hat vor allem Neuerungen bei Hochverfügbarkeits- und Sicherheitsfunktionen, der Effizienz und für ARM eine Erweiterung der unterstützten Systeme im Gepäck, wie die Entwickler im Projekt-Blog mitteilen.
Das Memory-Event-Subsystem heißt jetzt VM-Event-Subsystem und unterstützt sowohl x86- als auch ARM-Plattformen. Es kann jetzt neben Speicherzugriffen Registerzugriffe abfangen. Sicherheitssystemen erlaubt das eine Gastsystem-Introspection, ohne Spuren zu hinterlassen (zero-footprint guest introspection).
Xen bietet mit XSM (Xen Security Modules) ein eigenes Sicherheits-Framework an. Um es zu nutzen, müssten Administratoren den Hypervisor jedoch mit XSM kompilieren und eine XSM FLASK (Flux Advanced Security Kernel) Policy definieren. Die aktuelle Version liefert eine Standard Policy aus, die das im April vorgestellte Xen Project Test Lab regelmäßig testet. Die Entwickler bereiten damit eine Auslieferung mit aktiviertem XSM vor.
Besitzt das Host-System ein TP-Modul, kann der Hypervisor dessen Fähigkeiten über vTPM 2.0 übernehmen. Die Unterstützung hierfür steuerten Intel und die NSA dem Projekt bei.
Durch feiner abgestuftes Memory-Locking lassen sich die Grant Tables besser skalieren. Diese steuern den Zugriff einer VM auf Speicherbereiche anderer Domänen. In einzelnen Fällen erhöht sich durch die bessere Skalierung der Intrahost Netzwerk Durchsatz um bis zu 100 %. Für Systeme mit vielen virtuellen Maschinen dient Ticket Lock als neue Methode, den Workload gleichmäßiger zu verteilen.
Komplett überarbeitet haben die Entwickler Remus, das Werkzeug für Gewährleistung der Hochverfügbarkeit. Es stellt kontinuierlich Echtzeitkopien von Virtual Machines bereit. Neu ist die Verwendung von Migration v2, das im Falle von Bandbreitenengpässen stabiler sein soll.
Auf ARM-Systemem steigt die Zahl möglicher virtueller CPUs von 8 auf 128. Das Open-Source-Konsortium Linaro lieferte den Code für OVMF (Open Virtual Maching Firmware) für ARM, das bisher nur x86-Nutzern zur Verfügung stand. Außerdem läuft Xen auf einigen neuen ARM-Plattformen: Renesas R-Car Gen2, Thunder X, Huawei hip04-d04 und Xilinx ZynqMP SoC. (jab)
