Embedded Security

Sicherheit durch Hypervisor und Hardware-Virtualisierung

| Autor / Redakteur: Majid Bemanian* / Margit Kuther

Hardwaregestützte Virtualisierung: sie ermöglicht die effektive Trennung zwischen Gast und Root
Hardwaregestützte Virtualisierung: sie ermöglicht die effektive Trennung zwischen Gast und Root (Bild: Imagination Technologies)

Das Internet der Dinge erfordert die Vernetzung verschiedenster Komponenten und Systeme. Gleichzeitig muss die Sicherheit gewahrt bleiben. Ein Spagat, den es zu bewältigen gilt.

Vernetzte Einrichtungen im Internet der Dinge (Internet of Things; IoT), in Gateway Routern, IPTV, Mobilgeräten und Automotive-Systemen müssen daraufhin ausgelegt sein, außergewöhnliche Anwendungen, verschiedene Inhalte und Software-Updates von Dienstleistern und Betreibern im Feld zu unterstützen.

Gleichzeitig sind die Privatsphäre und der Datenschutz zu gewährleisten. Da heute verschiedene Anwendungen und die dazugehörigen Daten alle auf dem gleichen SoC koexistieren, müssen sie vor externen Hacker-Angriffen als auch voneinander geschützt werden.

Im Automotivebereich wird die Kommunikation immer enger mit Smartphones gekoppelt, was Dienste von Drittanbietern in die Automotive-Infrastruktur erfordert. Mit der Unterstützung kommender Anwendungen wie automatisches Einparken und autonomes Fahren muss ein hochsicherer Betrieb gewährleistet sein, um die ADAS-Anforderungen (Advanced Driver Assistance Systems) zu erfüllen.

Statisch basierte Ansätze für Embedded-Sicherheitssysteme, die sichere und nicht sichere Bereiche durch Partitionierung separater Hardware-Subsysteme für jeden Bereich definieren, sind heute generell sehr wirksam. Die heutigen Ansätze sind allerdings CPU-zentrisch-binär – mit einem sicheren Bereich und einem nicht sicheren Bereich – und schwierig zu implementieren.

Diese Lösungen lassen sich nicht für die anspruchsvollen Anwendungen und Dienstleistungen skalieren, die mit den kommenden vernetzten Einrichtungen und der Cloud einhergehen. Daher sind besser skalierbare kosteneffiziente Ansätze erforderlich, um die Anforderungen neuerer Systeme zu erfüllen, auf denen mehrere Anwendungen über verschiedene sichere Umgebungen/Domains laufen.

Hardware-Virtualisierung, Basis für Embedded-Sicherheit

Hardware-Virtualisierung kann die erforderlichen vertrauenswürdigen skalierbaren Umgebungen für sichere Embedded-Systeme ermöglichen. Virtualisierung erzeugt mehrere isolierte Umgebungen, die verschiedene Gast-Betriebssysteme und/oder Anwendungen über eine gemeinsame Hardware-Ressource wie ein CPU-Subsystem betreiben.

Diese Technik kommt bereits in Datencentern und Servern zum Einsatz und kann eine kosten- und stromsparende Grundlage für mehr Sicherheit in zahlreichen Einrichtungen bieten, einschließlich Embedded-Systemen.

Mit Hardware-Virtualisierungssupport in der CPU, GPU und in anderen Prozessoren eines SoC können Unternehmen mehrere isolierte Domains schaffen, in denen jede Anwendung von der anderen geschützt ist. Bild 1 zeigt Imaginations hardwaregestützte Virtualisierung OmniShield, die ein System mit mehreren Domains unterstützt.

Der Hypervisor, Verwalter der SoC-Ressourcen

Für eine Embedded-Anwendung ist der Hypervisor ein kleiner privilegierter Code, der sich über der Hardware befindet und die SoC-Ressourcen verwaltet, indem er Zugriffrechte für jede Ausführungsdomäne definiert, genannt Virtual Machines (VMs) oder Guests (Gäste).

Mit Imaginations OmniShield-fähigen CPUs und GPUs können 255 VMs vom Single-Core bis zu mehreren Cores innerhalb eines Clusters oder mehrerer Cluster definiert werden. Unternehmen haben hohes Interesse daran, in vertikalen Segmenten das Konzept hardwaregestützter Virtualisierung zu verwenden, um mehrere unabhängige Domains bereitzustellen, die voneinander isoliert sind.

Damit erhöht sich die Sicherheit und Zuverlässigkeit, die Programmierung vereinfacht sich, genauso wie die letztendliche Umsetzung der Anwendung. Es bleibt allerdings die Frage, wie Embedded-Sicherheit mittels Hypervisor garantiert wird und wie diese sicher mit der Hardware verankert werden können, um vertrauenswürdig zu erscheinen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43651299 / Cloud und Virtualisierung)