sHype: IBM will Sicherheit schon im Hypervisor

07.02.2007
Um die zunehmend virtualisierte Infrastruktur von Rechenzentren abzusichern, setzen Forscher der IBM bereits beim Hypervisor an.

Dieses Konzept bezeichnet der Hersteller als "sHype" (kurz für Secure Hypervisor). Den relativ kompakten Code einer Virtualisierungsoftware abzuschotten sei weit einfacher als der in der traditionellen IT-Sicherheit übliche Strom von Patches und Updates, den Betriebssysteme und Application Stack benötigten.

Bislang unterstützt sHype nur x86-basierende Server. Die Software wurde bereits bei ausgewählten Kunden getestet und außerdem auch in Teilen an die Open-Source-Community gegeben. Dort haben sie unter anderem bereits Eingang in den Hypervisor-Kernel "Xen" gefunden. "Dank der Mandatory Access Control (MAC) von sHype kann Xen ein einheitliches Security-Framework für die Virtualisierung von Windows und Linux anbieten, ohne dabei Performance zu opfern", erklärte der Xen-Projektleiter und Xensource-Gründer Ian Pratt.

sHype arbeitet laut IBM mit quelloffenen wie kommerziellen Hypervisors zusammen und etabliert dabei eine virtuelle Maschine, die als "Sicherheits-Vorarbeiter" des Rechenzentrums fungiert. Dieser arbeitet zunächst mit voreingestellten Konfigurationen, Geschäftsregeln und Ausnahmen, die ein Kunde festlegt, um alle Inhalte abzusichern. Anschließend stellt er automatisch Regeln auf, die sowohl Workloads als auch die dafür benötigten physikalischen und virtuellen Ressourcen bewerten, einstufen und kodieren. Sobald Workloads und Ressourcen miteinander verknüpft sind, sei die Integrität von Daten und Ressourcen gesichert und lasse sich durch die Hypervisors besser verwalten, so IBM weiter.

Wichtige Bestandteile von sHype seien bereits mit verschiedenen Hypervisors integriert worden, um die Flexibilität der Architektur und ihre Security-Fähigkeiten zu demonstrieren. IBM arbeitet nach eigenen Angaben außerdem mit Industriegruppen zusammen, um sHype möglichst weitgehend zu standardisieren und so die Sicherheitsverwaltung in heterogenen virtuellen Umgebungen zu vereinfachen. (tc)