Microsoft-Forscher entwickeln App-Abschirmtechnik für die Cloud

Microsoft Research hat auf dem 11. USENIX Symposium on Operating Systems Design and Implementation, das derzeit in Broomfield (Colorado) stattfindet, eine Technik auf Basis seines Betriebssystemskonzepts Drawbridge vorgestellt, die das Vertrauen der Nutzer in die Cloud stärken soll. Der Prototyp „Haven“ erlaubt das Abschirmen von Anwendungen in nicht vertrauenswürdigen Cloudumgebungen. Einsatzzweck und Aufbau erläutern die Microsoft-Forscher Andrew Baumann, Marcus Peinado und Galen Hunt in dem Artikel „Shielding applications from an untrusted cloud with Haven“ (PDF).

Demnach haben Cloudanbieter aktuell vollen Zugriff auf Nutzerdaten. Haven soll diesen Zugriff einschränken, was vor allem für Nutzer interessant sein dürfte, die durch die Enthüllungen von NSA-Whistleblower Edward Snowden ihr Vertrauen in Clouddienste verloren haben.

Haven „implementiert eine abgeschirmte Ausführung nicht modifizierter Serveranwendungen in einem nicht vertrauenswürdigen Cloud-Host“, beschreiben die Microsoft-Forscher die Technik. Das bringe Nutzer „einen Schritt näher zu einem echten ‚Utility Computing‘-Modell für die Cloud, bei dem der Versorger die Ressourcen liefert (Prozessorkerne, Storage und Networking), aber keinen Zugriff auf Nutzerdaten hat“.

Es gebe noch eine Reihe weiterer aufregender Ansätze zum Abschirmen von Apps in nicht vertrauenswürdigen Betriebssystemen, so die Forscher weiter. Als Beispiele nennen sie XOMOS, Proxos, Overshadow, CloudVisor, SecureME, InkTag und Virtual Ghost. Doch Systeme, die allein darauf basierten, den Anwendungsspeicher vor einem nicht vertrauenswürdigen OS zu schützen, seien anfällig für Iago-Attacken durch die Systemaufruf-Schnittstelle.

„Haven schließt Iago-Attacken von vornherein aus, indem es Library OS, ein Abschirmmodul und ein deutlich kleineres (rund 20 Aufrufe), gegenseitig misstrauendes Host-Interface nutzt“, erklären die Microsoft-Forscher. Es mache mithilfe von SGX auch einen vertrauenswürdigen Hypervisor überflüssig. SGX steht für Intels Software Guard Extensions, eine Sammlung neuer Instruktionen und Speicherzugriffsänderungen, die Anwendungen vor Schadcode mit erhöhten Rechten oder Hardware-Angriffen schützen soll.

Haven setzt auf Drawbridge auf, „einer Form der Virtualisierung, die die Notwendigkeit virtueller Maschinen ersetzen soll, um Software auf grundverschiedenen Plattformen auszuführen“. Drawbridge besteht aus zwei Kernelementen: dem Picoprozess und dem Library OS. Der Picoprozess ist ein sicherer Isolationscontainer auf Basis eines Hardware-Adressraums, aber ohne Zugriff auf herkömmliche OS-Dienste oder Systemaufrufe.

Haven und Drawbridge wurden teilweise von denselben Forschern entwickelt, die schon an Microsofts Mikrokernel-basierten Betriebssystem Singularity gearbeitet haben. Von diesem hat wiederum das Betriebssystemprojekt Midori Anregungen übernommen. Wie bei allen Microsoft-Research-Projekten ist nicht sicher, ob und wann ein bestimmtes Projekt tatsächlich Marktreife erlangt.

[mit Material von Mary Jo Foley, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.