«

Bare Metal

זמן ריצה

.5

איור

בעלתמורכבות עצומה, כי היא יכולה להיות

פרוצה לערוצי תקשורת מרובים מהצד של

הביטחון ומצבים לא דטרמיניסטיים בלתי

ניתנים לחישוב מראש.

זמן ריצה אוטונומי

אוטונומיית סביבות ריצת יישומים היא

Hypervisor

היבט מכריע של פלטפורמת

ליבת ההפרדה. האוטונומיה של זמן ריצת

אורח משפר מאוד את היכולת להוכיח

את מצבי המערכת של מערכת מוגדרת

תוכנה. עם זמן ריצה אוטונומי, רכיבי

תוכנה יכולים לצאת מהיקף בחינת הוכחת

התוכנה. אם היישומים לא היו אוטונומיים

באמת, ובמקום זאת היו תלויים במנהל

משאבים מרכזי ובמערכת שירותי מערכת,

אזי היקף תרגיל ההוכחה היה צריך לקחת

בחשבון את כל הקשרים שיש בתוכנת

הבקרה המרכזית עם כל השחקנים

במערכת.

קח לדוגמה תכנון מערכתי של מערכת כלי

רכב, שבו יש להפריד בין שני יישומים.

יישום שפועל מול האינטרנט לעומת יישום

Hypervisor

. ב

CAN

שפועל מול ממשק

ליבת ההפרדה, אלה שני יישומים שיכולים

לרוץ עם אפס קישורים לוגיים אחד

לשני, ובכך מסירים כל פוטנציאל מבוסס

תוכנה שיכול לעקוף את ההפרדה. גם על

,

least

privilege

מערכת ההפעלה מבוססת

התהליכים נתונים לחסדיהם של מדיניות

ההרשאות של מערכת ההפעלה, מה שגורם

למצב בו קשה להוכיח כי היישומים הם

באמת נפרדים. כפי שניתן לראות בקליפ

Greenberg

של הג'יפ הידוע לשמצה (,

), התוקפים השתמשו בשירותי

2015

מערכת הפעלה מרכזיים המבוססים

על מיקרו-קרנל כדי להנדס לאחור את

מדיניות קביעת התצורה של המערכת,

ולמצוא פתח המאפשר לאינטרנט שפונה

. ב

CAN

אל היישום לשלוט בממשק ה

ליבת ההפרדה, המערכת יכולה

Hypervisor

מעולם

CAN

להיות מוגדרת כך הממשק ה

לא ממופה לתחום האינטרנט, מה שהופך

בלתי אפשרי

CAN

את השליטה פיזית ב

מנקודת המבט של תחום האינטרנט.

אכיפת בידוד

runtimes

ללא בידוד משאבים, אוטונומית

ליבת

Hypervisor

לא ניתנת להשיגה.

ההפרדה מסתמכת במפורש על ההתקדמות

האחרונה של זיכרון המעבד ושל רכיבי

בקר / פלט כדי לתמוך בווירטואליזציה

בסיוע חומרה. התקדמות זו

CPU

של

מאפשרת

CPU

תחת וירטואליזציה של

ליבת ההפרדה להקצות

Hypervisor

ל

חלקים של משאבי חומרה לסביבת

האורח כדי לנהל באופן מקומי ללא סיוע

ליבת ההפרדה. הקצאות

Hypervisor

של

חומרה אלה כוללות את היכולת של

האורחים לשלוט באופן עצמאי בממשק

שלהם, בזיכרון המערכת ובבקרי

CPU

ה-

ליבת ההפרדה,

Hypervisor

ציוד היקפי. ב

הקצאת משאבים לסביבות אורח נאכפים

למעשה על ידי פוליסות בלתי ניתנות לשינוי

. מודל זה

CPU

המוגדרות ע"י בקרי ה-

שונה בצורה דרמטית מהארכיטקטורה שבו

יישומים יסתמכו על הקרנל כדי לנהל זיכרון,

. רבים

I

/

O

הקשרים, וקישוריות הברוקר ל

ממודלי מערכות הפעלה אלו מסתמכים אך

ורק על מדיניות מבוססת תוכנה שעלולה

להיות מטופלת על ידי תוכנה שמקבלת

.

OS

או

CPU

הרשאות אדמיניסטרטור של

Runtime

ארכיטקטורה

הטרוגנית

ארכיטקטורת ריצה הטרוגנית מבוזרת של

ליבת ההפרדה הוא המאפיין

Hypervisor

הבולט ביותר של ארכיטקטורה הומוגנית

מרכזית, וניתן לראות בדרך כלל במערכת

ההפעלה מבוסס מיקרו-קרנל.

בהתבסס על בידוד המשאבים ועל מאפייני

New-Tech Military Magazine l 54