Virtualisierungstechnik

Ein Kommunikationsgerät erhält zwei Persönlichkeiten

02.02.12 | Autor / Redakteur: David Kleidermacher * / Franz Graser

Verwundbar: Der Typ-2-Hypervisor erlaubt die Virtualisierung diverser Gastsysteme. (Green Hills Software)
Bildergalerie: 3 Bilder
Verwundbar: Der Typ-2-Hypervisor erlaubt die Virtualisierung diverser Gastsysteme. (Green Hills Software)

Immer mehr Angestellte möchten im Beruf das privat genutzte Smartphone oder Tablet nicht missen. Um die IT-Sicherheit nicht zu kompromittieren, brauchen Unternehmen eine Dual-Persona-Strategie.

Sicherheitsbewusste Unternehmen geben an ihre Mitarbeiter eigens zugelassene Geräte aus und verbieten die private Nutzung von Diensthandys und die dienstliche Nutzung von Privathandys. Darüber hinaus nutzen immer mehr IT-Abteilungen Unternehmensmanagement-Tools, um mobile Geräte zu kontrollieren.

Die Nachteile sind offensichtlich: Die Mitarbeiter müssen zwei Smartphones mitführen – eines für die Firma und ein privates. Und falls die Nutzung des Diensthandys für private Zwecke erlaubt ist, fehlt den Nutzern die Privatsphäre. Meist stehen auch nur sehr wenige Geräte zur Wahl.

Immer mehr Firmen setzen daher auf eine Politik namens Bring Your Own Device: Man erlaubt dem Mitarbeiter, ein selbst gewähltes Gerät zu nutzen, das er ohne Einschränkungen privat verwendet und gleichzeitig für geschäftliche Aktivitäten nutzt, die von der Unternehmens-IT verwaltet werden.

Die Unabhängigkeit der privaten und der Unternehmensumgebung führte zu dem Begriff Dual Persona. Eine zentrale Voraussetzung für ein solches Gerät ist, dass die Kosten- und Leistungsmerkmale (Datenanbindung, Grafik, Batterielebensdauer) im Vergleich zur herkömmlichen Nutzung nicht wesentlich beeinträchtigt sind.

Die folgenden Dual-Persona-Ansätze haben sich heute etabliert:

  • Dual Boot
  • Webtop
  • Typ-2-Hypervisor
  • Typ-1-Hypervisor

Das Dual-Boot-Konzept wird bereits bei einigen Laptops und Netbooks angewendet. In einem Dual-Boot-Szenario lässt sich ein zweites Betriebssystem, meist eine abgespeckte Linux-Variante, zusammen mit dem Haupt-Betriebssystem der Plattform betreiben. Das abgespeckte System wird meist nur für das Internet-Browsing verwendet und soll es dem Anwender erlauben, nach dem Booten innerhalb weniger Sekunden eine Internetverbindung zu erhalten. Das sekundäre Betriebssystem befindet sich in einem separaten Speicher und läuft nie gleichzeitig mit dem primären OS. In einigen Fällen wird diese abgespeckte Umgebung auf einem zweiten Mikroprozessor ausgeführt, z. B. einem ARM-SoC, der unabhängig vom Intel-Hauptprozessor des Netbooks läuft.

Dual Boot trennt rigoros, zwingt aber zu Neustarts

Das sekundäre Betriebssystem ist bezüglich der Sicherheit sehr gut isoliert, was sowohl das Unternehmen als auch der Anwender schätzen. Der Nachteil des Re-Bootens und die fehlende Möglichkeit, nahtlos zwischen den Persönlichkeiten hin- und herzuschalten, schränkt die Dual-Boot-Technik jedoch stark ein. Da die Consumer-Persona nur wenig mehr als einfaches Internet-Surfen zulässt, kann sie den vom Anwender gewünschten Funktionsumfang kaum bieten.

Das Webtop-Konzept bietet ebenfalls eine eingeschränkte Browsing-Umgebung, die unabhängig von der primären Anwenderumgebung existiert. Anstelle eines Dual-Boot läuft der Webtop als Applikation auf dem primären Betriebssystem. Ein Beispiel ist Motorolas 4G-Smartphone Atrix. Dessen primäre Consumer-Persona ist ein voll ausgestattetes Android-Betriebssystem. Die Unternehmens-Persona (der Webtop) ist ein Desktop-gleicher Firefox-Browser, der gestartet wird, wenn das Atrix optional mit Tastatur, Maus und Bildschirm verbunden wird.

Da die Unternehmens-Persona eine Anwendung ist, ist sie schlecht von der Consumer-Persona zu isolieren. Praktisch jedes Smartphone, das bis heute entwickelt wurde, wurde auch „gerootet“. Beim Rooten nutzen Hacker die Schwächen einer Plattform aus, um Superuser-Privilegien zur Anpassung der Geräte zu erhalten. Mit anderen Worten: Ein gerootetes Android-Dateisystem oder sogar der Kernel selbst können verändert oder komplett ersetzt werden.

Deswegen müssen IT-Sicherheitsbeauftragte davon ausgehen, dass die Persona manipuliert wurde. Der Schutz des Unternehmens erfordert dann, dass die Consumer-Persona und seine potenziell gefährliche Software streng von der Unternehmens-Persona abgeschottet sind. Ebenso möchten die Anwender die Gewissheit haben, dass das Unternehmen keinen Zugriff auf die Consumer-Persona hat. Der Webtop-Ansatz erfüllt diese Anforderung nicht.

Webtop-Lösungen bieten nur begrenzte Funktionalität

Darüber hinaus stellt die begrenzte Unternehmens-Persona des Webtops (ein Web-Browser und wenig mehr) keine voll funktionsfähige Plattform dar. Das Atrix erlaubt der Firmen-Persona zwar, mit einem entfernten Desktop verbunden zu werden. Offline-Anwender (z. B. in einem Flugzeug) können aber nicht arbeiten, was den Zweck der Unternehmensmobilität unterwandert.

Typ-2-Hypervisoren ähneln Webtops, da die sekundäre Persona als Applikation auf dem primären Betriebssystem lebt. Anstatt jedoch nur einen Browser zu hosten, ist die sekundäre Persona ein vollwertiges Gast-Betriebssystem. Es läuft in einer virtuellen Maschine, die von der Hypervisor-Anwendung erstellt wird (Bild 1). Der Hypervisor verwendet das primäre Betriebssystem für das I/O-Handling. Der Virtualisierungsansatz erfüllt die Anforderungen, eine komplett funktionelle Umgebung für beide Personas bereitzustellen.

Das Typ-2-Modell bietet jedoch keine starke Isolierung. Wird das Primär-OS gerootet, sind Datenklau sowie die Kontrolle oder sogar die Zerstörung der zweiten Persona möglich. Hinzu kommt, dass zahlreiche Hypervisor-Sicherheitslücken entdeckt wurden, die zu Informationslecks zwischen den Persönlichkeiten führen.

Bei Typ-1-Hypervisoren sind die Persönlichkeiten funktional vollständig. Da der Hypervisor direkt auf der Hardware läuft, wird die Isolierung nicht durch Schwächen im Persona-Betriebssystem verletzt. Ein Typ-1-Hypervisor stellt somit den besten Ansatz bei Funktionalität und Sicherheit dar. Der Hypervisor bleibt aber im Prinzip weiter verletztlich, denn nicht alle Typ-1-Hypervisoren bieten ein hohes Maß an Sicherheit.

Eine spezielle Variante – der Mikrokernel-basierte Typ-1-Hypervisor – eignet sich aber gerade für anspruchsvolle Sicherheitsanwendungen. So bietet der Integrity-Multivisor von Green Hills Software eine hohe Persona-Isolation mittels des Integrity-Mikrokernels. Der nach EAL 6+ zertifizierte Kernel erfüllt den höchsten Common-Criteria-Sicherheitsgrad, der je für eine Software vergeben wurde. Er eignet sich für das Management von Informationen, deren Vertraulichkeit und Integrität geschützt werden muss, selbst wenn eine „Bedrohung vorliegt, bei der die Wahrscheinlichkeit einer versuchten Beeinträchtigung hoch ist.“ Neben isolierten virtuellen Maschinen bietet der Microkernel eine native POSIX-API nach offenem Standard, um speicherplatzeffiziente sicherheitskritische Prozesse entwickeln zu können. Die Typ-1-Architektur ist in Bild 2 dargestellt.

Mobilprozessoren werden fit für Virtualisierung

Bleibt die Frage, wie virtualisierte Persönlichkeiten praktisch eingesetzt werden können. Anders als Desktop- und Server-CPUs verfügen Mobilprozessoren nicht über Hardware-Virtualisierungseigenschaften. Die Emulation der Hardware per Software ist aber teuer und wird vom Markt nur langsam angenommen.

Die gute Nachricht ist, dass viele aktuelle Smartphones und Tablet-PCs die TrustZone-Technik von ARM unterstützen, die eine Form der Highspeed-Virtualisierung bereitstellt. Dazu kommt, dass ARMs Virtualisierungserweiterung, also ein kompletter Hypervisor-Modus für mobile ARM-Prozessoren, ab 2012 zur Verfügung steht. Die Zukunft mitgebrachter eigener Geräte im Betrieb sieht also rosig aus. //FG

* * David Kleidermacher ... ist Chief Technology Officer bei Green Hills Software, Santa Barbara, Kalifornien.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein:
Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31147220) | Archiv: Vogel Business Media

Softwareengineering-Report abonieren

4 mal jährlich: Die kostenlose Pflichtlektüre für Embedded­-Software- und Systems-Entwickler, von Analyse bis Wartung und Betrieb

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.
Heftarchiv
ELEKTRONIKPRAXIS 18/2014

ELEKTRONIKPRAXIS 18/2014

Chipentwicklung gemeinsam mit dem Kunden

Weitere Themen:

Spannungswandler als LED-Treiber
Ausfallsicherheit bei NAND-Speicher
Sonderteil „Elektronik hilft“

zum ePaper

zum Heftarchiv

ELEKTRONIKPRAXIS 17/2014

ELEKTRONIKPRAXIS 17/2014

Test der Ethernet-Konformität mit dem Oszilloskop

Weitere Themen:

Beschleunigung mit MEMS messen
Vom Touch zur Gestensteuerung
Sieben Vorteile durch Laserlöten

zum ePaper

zum Heftarchiv