«
Bare Metal
זמן ריצה
.5
איור
בעלתמורכבות עצומה, כי היא יכולה להיות
פרוצה לערוצי תקשורת מרובים מהצד של
הביטחון ומצבים לא דטרמיניסטיים בלתי
ניתנים לחישוב מראש.
זמן ריצה אוטונומי
אוטונומיית סביבות ריצת יישומים היא
Hypervisor
היבט מכריע של פלטפורמת
ליבת ההפרדה. האוטונומיה של זמן ריצת
אורח משפר מאוד את היכולת להוכיח
את מצבי המערכת של מערכת מוגדרת
תוכנה. עם זמן ריצה אוטונומי, רכיבי
תוכנה יכולים לצאת מהיקף בחינת הוכחת
התוכנה. אם היישומים לא היו אוטונומיים
באמת, ובמקום זאת היו תלויים במנהל
משאבים מרכזי ובמערכת שירותי מערכת,
אזי היקף תרגיל ההוכחה היה צריך לקחת
בחשבון את כל הקשרים שיש בתוכנת
הבקרה המרכזית עם כל השחקנים
במערכת.
קח לדוגמה תכנון מערכתי של מערכת כלי
רכב, שבו יש להפריד בין שני יישומים.
יישום שפועל מול האינטרנט לעומת יישום
Hypervisor
. ב
CAN
שפועל מול ממשק
ליבת ההפרדה, אלה שני יישומים שיכולים
לרוץ עם אפס קישורים לוגיים אחד
לשני, ובכך מסירים כל פוטנציאל מבוסס
תוכנה שיכול לעקוף את ההפרדה. גם על
,
least
privilege
מערכת ההפעלה מבוססת
התהליכים נתונים לחסדיהם של מדיניות
ההרשאות של מערכת ההפעלה, מה שגורם
למצב בו קשה להוכיח כי היישומים הם
באמת נפרדים. כפי שניתן לראות בקליפ
Greenberg
של הג'יפ הידוע לשמצה (,
), התוקפים השתמשו בשירותי
2015
מערכת הפעלה מרכזיים המבוססים
על מיקרו-קרנל כדי להנדס לאחור את
מדיניות קביעת התצורה של המערכת,
ולמצוא פתח המאפשר לאינטרנט שפונה
. ב
CAN
אל היישום לשלוט בממשק ה
ליבת ההפרדה, המערכת יכולה
Hypervisor
מעולם
CAN
להיות מוגדרת כך הממשק ה
לא ממופה לתחום האינטרנט, מה שהופך
בלתי אפשרי
CAN
את השליטה פיזית ב
מנקודת המבט של תחום האינטרנט.
אכיפת בידוד
runtimes
ללא בידוד משאבים, אוטונומית
ליבת
Hypervisor
לא ניתנת להשיגה.
ההפרדה מסתמכת במפורש על ההתקדמות
האחרונה של זיכרון המעבד ושל רכיבי
בקר / פלט כדי לתמוך בווירטואליזציה
בסיוע חומרה. התקדמות זו
CPU
של
מאפשרת
CPU
תחת וירטואליזציה של
ליבת ההפרדה להקצות
Hypervisor
ל
חלקים של משאבי חומרה לסביבת
האורח כדי לנהל באופן מקומי ללא סיוע
ליבת ההפרדה. הקצאות
Hypervisor
של
חומרה אלה כוללות את היכולת של
האורחים לשלוט באופן עצמאי בממשק
שלהם, בזיכרון המערכת ובבקרי
CPU
ה-
ליבת ההפרדה,
Hypervisor
ציוד היקפי. ב
הקצאת משאבים לסביבות אורח נאכפים
למעשה על ידי פוליסות בלתי ניתנות לשינוי
. מודל זה
CPU
המוגדרות ע"י בקרי ה-
שונה בצורה דרמטית מהארכיטקטורה שבו
יישומים יסתמכו על הקרנל כדי לנהל זיכרון,
. רבים
I
/
O
הקשרים, וקישוריות הברוקר ל
ממודלי מערכות הפעלה אלו מסתמכים אך
ורק על מדיניות מבוססת תוכנה שעלולה
להיות מטופלת על ידי תוכנה שמקבלת
.
OS
או
CPU
הרשאות אדמיניסטרטור של
Runtime
ארכיטקטורה
הטרוגנית
ארכיטקטורת ריצה הטרוגנית מבוזרת של
ליבת ההפרדה הוא המאפיין
Hypervisor
הבולט ביותר של ארכיטקטורה הומוגנית
מרכזית, וניתן לראות בדרך כלל במערכת
ההפעלה מבוסס מיקרו-קרנל.
בהתבסס על בידוד המשאבים ועל מאפייני
New-Tech Military Magazine l 54