Исследователи Колумбийского университета разработали гипервизор SeKVM — решение коммерческого класса на базе KVM с доказаной безопасностью. Для этого они использовали собственный способ проверки гипервизоров, значительно сокращающий трудозатраты. По словам Ронхуи Гу (Ronghui Gu), одного из соавторов, SeKVM станет основой будущих инноваций в области проверки систем и даже приведёт к появлению нового поколения устойчивого к киберугрозам системного ПО.

Проверка безопасности гипервизоров до сих пор считалась достаточно сложной задачей. Взломщики, успешно использующие уязвимости, могут получить неограниченный доступ к данным миллионов клиентов облачных провайдеров «Достаточно одного слабого звена в коде, которое практически невозможно обнаружить с помощью традиционного тестирования, чтобы система стала уязвимой для хакеров», — говорит Гу.

Архитектура SeKVM

В теории ученые могут формально проверить программное обеспечение, чтобы математически доказать, что его код безопасен при любых сценариях работы. Однако большинство проверенных гипервизоров зачастую намного проще своих коммерческих аналогов, поскольку они не ориентированы на практическое применение. Напротив, современные коммерческие гипервизоры редставляют собой огромные куски ПО, часто включающие целое ядро ОС, что может сделать их проверку на первый взгляд неразрешимой задачей.

Например, для проверки 6,5 тыс. строк кода гипервизора CertiKOS потребовалось три человеко-года, а для проверки 9 тыс. строк кода seL4 — 10 человеко-лет. Причём оба были специально разработаны так, чтобы можно было проверить их безопасность. Для сравнения, широко используемый на практике гипервизор KVM с открытым исходным кодом, интегрированный в ядро Linux, имеет более 2 млн строк кода.

Для упрощения задачи ученые из Колумбийского университета разработали новый способ проверки коммерческих гипервизоров — микроверификацию. В этом случае гипервизор разбивается на небольшое ядро и набор недоверенных сервисов, а затем доказывает безопасность только ядра. Если оно не имеет уязвимостей, и является посредником во всех взаимодействиях гипервизора с виртуальными машинами, то в этом случае гипервизор тоже считается безопасным.

На основе микроверификации ученые разработали программное обеспечение под названием MicroV для проверки крупных гипервизоров и применили его для создания безопасного ядра SeKVM длиной всего 3800 строк кода, на проверку которого потребовалось порядка двух человеко-лет.

В реальных нагрузках SeKVM работает так же, как и обычный KVM, теряя не более 10% производительности на родном оборудовании, но обеспечивая при этом более высокий уровень безопасности. В будущем на основе данной концепции планируется создать средства защиты и в других областях — от банковских систем и устройств IoT до автономных транспортных средств и криптовалют.

Бренд Raritan, принадлежащий Legrand, анонсировал переключатели семейства MasterConsole Digital-DUAL KVM, предназначенные для работы с серверами и станциями. Устройства позволяют использовать один комплект из мыши и клавиатуры для взаимодействия с несколькими вычислительными системами.

В частности, представлены модели MCD-104-DUAL и MCD-108-DUAL. Первая снабжена восемью портами, вторая — шестнадцатью. К обеим можно подключить сразу два монитора, причём переключаться между каналами можно с помощью мыши, подведя её к левому или правому краю экрана.

Удалённые устройства подключаются с помощью кабелей Cat.5/6/6e и модулей MDCIM (DVI/HDMI/DP + USB) или MDUTP (D-Sub + USB + 3,5-мм аудио). Максимальное расстояние до удалённой системы и поддерживаемое разрешение зависят от типа модуля и подключения.

Разработчик подчёркивает, что устройства просты в использовании и настройке. Они хорошо подходят для организации работы в вещательных центрах, контрольных комнатах, финансовых залах и пр. Новинки могут применяться в составе двухуровневых каскадов с поддержкой до 64 подключений. Более подробную информацию об изделиях можно найти на этой странице.

Любая серверная система обязательно располагает средствами удалённого управления — это аксиома, поскольку физический доступ к серверу не всегда возможен и может быть крайне неудобным и затратным по времени. Часто для этой цели используются дополнительные устройства, называемые IP-KVM (от слов keyboard, video, mouse).

KVM-коммутаторы обычно не являются открытыми, что влечёт за собой ряд неудобств. Но идеология «открытости» проникает и в эту сферу, тем более что для реализации KVM существует отличная основа в виде плат Raspberry Pi, обладающих достаточными вычислительными мощностями для кодирования и трансляции видеосигнала по сети.

Интерфейс Pi-KVM прост и интуитивен

«Малина» проникает повсюду: на базе этих недорогих и универсальных плат сегодня существует множество проектов, от вычислительных кластеров до систем умного дома. Вполне логично использовать Raspberry Pi и для реализации KVM, особенно последнюю на сегодня четвёртую версию с процессорными ядрами Cortex-A72. Этой цели и добился открытый проект Pi-KVM, у которого сегодня состоялся первый публичный релиз. Деталей требуется немного, проект очень прост в реализации и затраты укладываются в суммы от $30 до $100 — очень неплохо на фоне стоимости фирменных KVM от $500.

Реализация Pi-KVM в силу своей природы позволяет производить операции с питанием сервера, можно зайти в интерфейс настроек BIOS/UEFI, установить операционную систему, сэмулировать внешний CD/DVD/USB-накопитель, использовать смонтированный на нём образ, при нужде перезагрузиться — всё, чего не позволяют чисто программные средства, вроде VNC.

Программная часть Pi-KVM использует ARM-дистрибутив Arch Linux, идеология которого изначально предусматривает модульность и конфигурируемость. Она дополнена необходимыми для реализации функций KVM пакетами, в частности, демоном kvmd. Вся программная часть написана на Python и имеет лицензию GPLv3.

Raspberry Pi 4

Со стороны оператора доступ к серверу предоставляется либо через веб-интерфейс любого популярного браузера, но поддерживается также и протокол VNC, чрезвычайно популярный в системах удалённого управления. Flash или Java не используются. Видео сжимается на лету с помощью uStreamer, быстрого кодера, написанного на Си и передающего данные в режиме MJPG-HTTP.

Поскольку от Java разработчики отказались полностью, устройство отличается низкой латентностью в работе — задержка видеосигнала составляет порядка 100 миллисекунд, чего более чем достаточно для выполняемых Pi-KVM задач. Интерфейсы клавиатуры и мыши эмулируются полностью, включая управление состоянием индикаторных светодиодов. Управление питанием сервера реализовано путём подключения Pi-KVM к соответствующим ATX-контактам на системной плате, но также поддерживается и Wake-on-LAN.

Вопросу безопасности уделено серьёзное внимание и аутентификацию пользователя можно осуществлять рядом способов, от классической парольной до использования PAM и выделенного сервера паролей. В настоящее время Pi-KVM может базироваться на моделях Pi 2, 3, 4 и ZeroW, поддерживаются различные устройства видеозахвата, но разработчики сейчас заняты созданием специальной платы расширения для Raspberry Pi 4, что сделает Pi-KVM ещё более удобным.

Проект платы расширения Pi-KVM

Проект полностью открытый и все данные содержатся в репозитории на GitHub. Там же доступен удобный сборщик проекта. Однако создатели Pi-KVM также планируют продавать разработанный ими комплекс. Предварительные заказы можно будет сделать в четвертом квартале текущего года, стоимость, как и было сказано, составит около $100. Устройство может стать достаточно популярным благодаря сочетанию возможностей и цены.

Российская компания «РОСА» (ООО «НТЦ ИТ РОСА»), занимающаяся разработкой системного программного обеспечения, в том числе по требованиям отечественного законодательства в области защиты информации, объявила о доступности корпоративной аудитории обновлённой платформы виртуализации ROSA Virtualization 2.0.

Система ROSA Virtualization предназначена для управления программными гипервизорами KVM и виртуальными машинами (ВМ) в облачной инфраструктуре. Решение поддерживает до тысячи ВМ и может использоваться не только в коммерческих центрах обработки данных, но и в ЦОД государственных органов.

Новая версия платформы ROSA Virtualization 2.0 обеспечивает централизованное управление виртуализованной инфраструктурой с возможностью «живой миграции» (то есть без остановки работы) виртуальных машин между физическими серверами. Кроме того, платформа обеспечивает высокую доступность виртуальных машин за счёт объединения физических серверов в кластеры.

В числе прочих особенностей ROSA Virtualization 2.0 называются:

• новые инструментальные панели для контроля и мониторинга состояния ВМ;
• возможность проброса периферийных PCI-устройств сервера, включая платы доверенной загрузки, в виртуальное окружение;
• поддержка технологии NVIDIA GRID vGPU, позволяющей разделить физический графический процессор GPU на логические экземпляры и использовать их в виртуальной машине, обеспечивая, таким образом, полноценное графическое ускорение без привязки выделенной графической карты;
• возможность создания пулов ВМ и инфраструктуры виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI);
• поддержка современных серверных систем с новейшими процессорами Intel и AMD;
• включение драйвера VGA для консоли VNC.

Кроме того, обновлённая версия ROSA Virtualization 2.0 получила возможность объединения виртуальных машин через SDN-сети и поддержку формата виртуальных дисков qcow2. Также разработчиками добавлена поддержка конвертации виртуальных машин VMware, содержащих мгновенные снимки состояния (snapshot), и реализована поддержка импорта и экспорта шаблонов ВМ в формате OVA.

Получить дополнительные сведения о системе виртуализации и узнать об условиях приобретения продукта можно на сайте rosalinux.ru/products/rosa-virtualization.

Продолжается раскрытие подробностей о ядре Linux 5.6. В гипервизоре KVM появилась защита от комбинированной атаки Spectre-V1/L1TF. Подобная защита уже реализована в Xen, там недавно выпустили патч XSA-289.

Как отмечается, атаки Spectre V1 и L1TF могут использоваться вместе, чтобы упростить и значительно ускорить сбор данных из кеш-памяти процессора. При этом важно, что атака использует многопоточность Hyper Threading, то есть под угрозой только процессоры Intel.

На данный момент работа продолжается, поскольку ещё не все бреши закрыты полностью, ведь многие процессоры Intel попросту не имеют аппаратной защиты, а программные «заплатки» реализуют её лишь частично. В числе доработок запланировано значительное переписывание кода ядра KVM, хотя точных сроков пока никто не называет. Это, в частности, связано и с тем, что наслоение патчей от уязвимостей негативно сказывается на итоговой производительности, а сам код излишне усложняется.

Отметим, что это не единственная уязвимость в «синих» чипах. Недавно сообщалось об уязвимости CacheOut с официальным обозначением CVE-2020-0549. Это атака на кеш, которая позволяет получить конкретные данные из памяти, а не «цифровой мусор» и разрозненные элементы. На данный момент нет ни патча, ни обновления микрокода для решения этой проблемы.

Intel предложила новый инструментарий Software Development Kit (SDK) для дата-центров, дополняющий продукт Data Center Manager (DCM), ключевой ингредиент более чем 80% сегодняшних решений Data Center Infrastructure Management (DCIM). Компания анонсировала Virtual Gateway, кроссплатформенный Keyboard-Video-Mouse (KVM) SDK, позволяющий поставщикам решений предлагать расширенные возможности диагностики и устранения проблем оборудования ЦОД.

Это виртуальное решение, не привязанное к конкретному оборудованию, предназначено тем, кто имеет устройства от множества производителей, а таких большинство. Предоставляя обзор и управление IT-активами, консолидированный централизованный доступ к стойкам, блейд-серверам, сетям и системам хранения через один концентратор, Intel Virtual Gateway может поддерживать до 10 тыс. управляемых устройств и 50 одновременных сеансов удаленного доступа. Компания позиционирует Virual Gateway как естественное дополнение к управлению электропитанием ЦОД. Первой интегрировала Virtual Gateway в свой продукт для дата-центров StruxureWare компания Schneider-Electric.

«С ростом числа ЦОД и IT-устройств, управляемых China Telecom, перед нами стояла задача настройки и управления важным оборудованием в нашей среде. Большинство решений для удаленного управления были аппаратными, дорогими или проприетарными. Решение ZZnode ALOES vKVM, основанное на технологии Intel Virtual Gateway, обеспечивает нам обзор и удаленный доступ в необходимых масштабах», - сказал Чжао Мин (Zhao Ming), операционный менеджер China Telecom Cloud Computing Co.

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Технологии виртуализации: тенденции и перспективы развития в корпоративном секторе рынка;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• datacenterknowledge.com

Компания ATEN анонсировала новые KVM-переключатели CS1182 и CS1184 для безопасного переключения между компьютерами в пределах защищенных сетей. Различия между представленными моделями заключаются в количестве имеющихся портов USB. В случае с CS1182, как можно догадаться из названия, имеется 2 порта, CS1184 получил 4.

Переключатели прошли сертификацию NIAP и удовлетворяют требованиям Evaluation Assurance Level2 + (EAL2+). Аппаратное обеспечение безопасных KVM-переключателей CS1182/CS1184 включает средства обнаружения несанкционированного вскрытия системы доступа, проникновения в шасси, а также дополнительную защиту от взлома сети со стороны устройства. В то время как программное обеспечение безопасности включает в себя ограничения по USB-подключению, - не HIDs (Human Устройства Interface) подключения игнорируются при переключении через изолированный канал для каждого порта, что делает невозможным передачу данных между безопасными и незащищенными компьютерами, автоматически очищая буфер клавиатуры. Объединение физической безопасности с контролируемым USB-подключением, KVM-переключателей CS1182 и CS1184 предоставляет средства для консолидации нескольких рабочих станций различных уровней классификации безопасности с одной KVM-консоли. Устройство традиционно найдёт своё применение в различных правительственных и военных организациях с повышенным уровнем секретности.

Источник:

• tmcnet.com

Emerson Network Power анонсировала два KVM-переключателя SwitchView SC600 и SC700, соответствующих высокому стандарту безопасности EAL2+ Common Criteria. Как сообщается, в отрасли KVM предложение Emerson является первым решением, удостоившимся сертификата защищённости такого уровня.

Сертификат Common Criteria, утвержденный организацией International Standards Organization (ISO 15408), является общепризнанным отраслевым стандартом оценки защищенности программных продуктов и оборудования. Наличие такого сертификата означает, что предлагаемое решение в полной мере отвечает предельно высоким требованиям к безопасности, предъявляемыми правительственными организациями.

KVM-переключатель позволяет консолидировать несколько рабочих станций, управляемых одним комплектом устройств ввода-вывода. Обе представленные модели оснащаются портами USB для подключения клавиатуры и мыши и двумя разъёмами DVI для мониторов. В соответствии с требованиями EAL2+, оборудование исключает использование USB портов для подключения накопителей, принтеров, фотоаппаратов и других несанкционированных устройств, и может применяться для организации работы на объектах повышенной секретности.

Источник:

• prweb.com

Компания Raritan объявила об усовершенствовании переключателя KVM-over-IP. Теперь IT-специалисты смогут получить безопасный доступ к серверу (вплоть до настроек BIOS), использующему программное обеспечение Raritan Dominion KX II 2.4 и CommandCenter-Secure Gateway 5.2, при помощи смартфона или планшетного ПК.

Dominion KX II позволяет смартфонам или планшетам при помощи браузера получить доступ к консоли управления оборудования. Переключатель KVM-over-IP обеспечивает доступ к клавиатуре, монитору и мыши (KVM) компьютера из любого места и в любое время по основному (in-band) или дополнительному (out-of-band) каналам связи. С помощью переключателя KVM-over-IP можно обслуживать устройства, удалённые на большие расстояния, и управлять ими, повысить качество управления компьютерами при поддержке ключевых служб и сократить общую стоимость владения (TCO). Переключатели KVM-over-IP обеспечивают управление серверами и другими сетевыми устройствами на уровне BIOS из любой географической точки: надежность управления всей ИТ-инфраструктурой, в том числе филиалами и удаленными центрами обработки данных, централизованно, из единого интерфейса, не уступает локальным методам.

Интересной особенностью технологии KVM-over-IP, разработанной Raritan, является возможность передачи цифрового аудиосигнала через IP-сети. Благодаря этому, администраторы получают возможность получать звуковые уведомления от удалённо запущенных приложений и управлять этими приложениями в любое время и из любого места.