
L’hyperviseur Xen introduit la correction de sécurité sans arrêt du système en fonctionnement Géré par la Fondation Linux, le projet Xen, du nom de l'hyperviseur open source disponible sous licence GNU GPL, apporte avec la version 4.7 une brique technologique importante pour les domaines de l’Internet des objets ...et des applications embarquées dans l’automobile. il est en effet désormais possible de télécharger et d’implanter dans Xen des correctifs de sécurité sur un système en fonctionnement, et ce sans avoir à l’arrêter et à le redémarrer. On rappellera que l'hyperviseur Xen permet d'exécuter plusieurs systèmes d'exploitation, avec leurs applications associées, de manière isolée et sécurisée sur une même machine physique, L'approche va avoir un impact fort pour les utilisateurs de Xen qui pourront, qu’ils soient administrateurs de serveurs ou développeurs d’applications, suivre au plus près les évolutions en termes de sécurité de leur système fonctionnant avec Xen, sans gêner l’exploitation des applications. La nouvelle fonctionnalité disponible dans Xen 4.7 est conçue pour être compatible, selon ses promoteurs, avec l’encodage de 90% des patches de sécurité les plus utilisés actuellement. Parallèlement, Xen 4.7 introduit un mode opératoire innovant qui consiste à recompiler de manière dynamique le noyau Xen via l’utilitaire KCONFIG, avec le choix à ce niveau d’exclure des caractéristiques non utiles pour l’application, ce qui revient à créer un hyperviseur “léger” et à réduire de ce fait les surfaces d’attaques potentielles. Dans le même temps, ce mode ouvre encore d'avantage l'utilisation de Xen aux domaines de l’embarqué. Les principaux contributeurs à cette innovation ont été les sociétés AMD, ARM, Bitdefender, Bosch, Broadcom, Citrix, Fujitsu, GlobalLogic, Huawei, Intel, Linaro, Netflix, Novetta, NSA, Oracle, Red Hat, Star Lab, Suse et Xilinx avec le concours de nombreux universitaires. Au-delà de ces avancées pour la sécurité des systèmes embarqués, Xen 4.7 intègre aussi de nouvelles commandes, comme XL pour la gestion des ports USB virtualisés, ce qui permet par exemple d’ajouter ou de retirer des disques durs (réels ou virtuels via l’environnement Qemu) sans avoir à redémarrer l'application. Côté matériel, cette version 4.7 supporte les serveurs ARM qui exposent l’interface ACPI 6.0 (Advanced Configuration and Power Interface, Interface avancée de configuration et de gestion de l'énergie), ainsi que les systèmes compatibles avec l’API PSCI 1.0 (Power State Coordination Interface). Enfin, le support des architectures Xeon d’Intel est assuré, y compris les mécanismes d’accélération matérielle propres à ces processeurs (VT-d Posted Interrupts) et la technologie CDP (Code and Data Prioritization) qui permet d’isoler du code et/ou des données dans une mémoire cache L3 partagée.

L’hyperviseur Xen introduit la correction de sécurité sans arrêt du système en fonctionnement

Géré par la Fondation Linux, le projet Xen, du nom de l'hyperviseur open source disponible sous licence GNU GPL, apporte avec la version 4.7 une brique technologique importante pour les domaines de l’Internet des objets ...et des applications embarquées dans l’automobile. il est en effet désormais possible de télécharger et d’implanter dans Xen des correctifs de sécurité sur un système en fonctionnement, et ce sans avoir à l’arrêter et à le redémarrer. On rappellera que l'hyperviseur Xen permet d'exécuter plusieurs systèmes d'exploitation, avec leurs applications associées, de manière isolée et sécurisée sur une même machine physique,

L'approche va avoir un impact fort pour les utilisateurs de Xen qui pourront, qu’ils soient administrateurs de serveurs ou développeurs d’applications, suivre au plus près les évolutions en termes de sécurité de leur système fonctionnant avec Xen, sans gêner l’exploitation des applications. La nouvelle fonctionnalité disponible dans Xen 4.7 est conçue pour être compatible, selon ses promoteurs, avec l’encodage de 90% des patches de sécurité les plus utilisés actuellement.

Parallèlement, Xen 4.7 introduit un mode opératoire innovant qui consiste à recompiler de manière dynamique le noyau Xen via l’utilitaire KCONFIG, avec le choix à ce niveau d’exclure des caractéristiques non utiles pour l’application, ce qui revient à créer un hyperviseur “léger” et à réduire de ce fait les surfaces d’attaques potentielles. Dans le même temps, ce mode ouvre encore d'avantage l'utilisation de Xen aux domaines de l’embarqué.

Les principaux contributeurs à cette innovation ont été les sociétés AMD, ARM, Bitdefender, Bosch, Broadcom, Citrix, Fujitsu, GlobalLogic, Huawei, Intel, Linaro, Netflix, Novetta, NSA, Oracle, Red Hat, Star Lab, Suse et Xilinx avec le concours de nombreux universitaires.

Au-delà de ces avancées pour la sécurité des systèmes embarqués, Xen 4.7 intègre aussi de nouvelles commandes, comme XL pour la gestion des ports USB virtualisés, ce qui permet par exemple d’ajouter ou de retirer des disques durs (réels ou virtuels via l’environnement Qemu) sans avoir à redémarrer l'application. Côté matériel, cette version 4.7 supporte les serveurs ARM qui exposent l’interface ACPI 6.0 (Advanced Configuration and Power Interface, Interface avancée de configuration et de gestion de l'énergie), ainsi que les systèmes compatibles avec l’API PSCI 1.0 (Power State Coordination Interface).

Enfin, le support des architectures Xeon d’Intel est assuré, y compris les mécanismes d’accélération matérielle propres à ces processeurs (VT-d Posted Interrupts) et la technologie CDP (Code and Data Prioritization) qui permet d’isoler du code et/ou des données dans une mémoire cache L3 partagée.