Microsoft otwiera źródła OpenHCL – nowego „paravisora” opartego na Linuksie
Na ostatniej konferencji Linux Plumbers Conference, która odbyła się w Wiedniu, Microsoft ogłosił ważną nowość dla świata technologii open source. Chris Oo, starszy inżynier oprogramowania w Microsoft, poinformował, że firma decyduje się na otwarcie źródeł OpenHCL – narzędzia opartego na Linuksie, które może zrewolucjonizować podejście do tzw. „confidential computing”. OpenHCL, znany jako „paravisor”, ma szansę stać się kluczowym elementem w zakresie wirtualizacji i zabezpieczania danych na różnych platformach chmurowych.
Czym jest „confidential computing”?
Aby zrozumieć znaczenie tej nowości, warto najpierw zrozumieć, czym jest confidential computing oraz paravisor. Konsorcjum Confidential Computing Consortium (CCC) definiuje confidential computing jako technologię, która ma na celu zabezpieczanie danych nie tylko podczas ich przesyłania czy przechowywania, ale również podczas ich przetwarzania. W tradycyjnych modelach bezpieczeństwa dane są szyfrowane w stanie „spoczynku” (na dyskach) i podczas transferu (w sieci), ale podczas przetwarzania – na przykład w pamięci operacyjnej – są podatne na ataki.
Właśnie tutaj z pomocą przychodzi confidential computing, który zabezpiecza dane w pamięci, co jest szczególnie istotne w świecie chmury obliczeniowej, gdzie różne maszyny wirtualne (VM) i kontenery mogą współdzielić zasoby serwerowe. Ataki typu „VM escape” mogłyby umożliwić atakującemu uzyskanie dostępu do danych innej maszyny wirtualnej na tym samym serwerze, co prowadzi do poważnych naruszeń bezpieczeństwa.
Paravisor – co to takiego?
Paravisor, jakim jest OpenHCL, to specjalizowana warstwa oprogramowania działająca w wirtualnej maszynie (VM), która ma wyższe uprawnienia niż system operacyjny gościa. Działa jak swojego rodzaju pośrednik, zapewniając usługi dla maszyn wirtualnych, takie jak wirtualne TPM (Virtual Trusted Platform Module) oraz emulacja starszych urządzeń, jak porty szeregowe. Paravisor odgrywa kluczową rolę w tłumaczeniu różnych interfejsów urządzeń, na przykład tłumacząc NVMe na parawirtualizowaną SCSI, co umożliwia maszynom wirtualnym korzystanie z nowoczesnych urządzeń I/O bez potrzeby modyfikacji w systemie operacyjnym.
Historia i znaczenie OpenHCL
Choć OpenHCL dopiero teraz jest otwierany na świat open source, narzędzie to było już wcześniej wykorzystywane przez Microsoft w ramach swojej chmurowej platformy Azure Confidential VMs. OpenHCL, napisany w języku Rust, korzysta z zaawansowanych mechanizmów bezpieczeństwa tego języka, takich jak ochrona przed przepełnieniami bufora i warunkami wyścigu, co czyni go idealnym rozwiązaniem w tak krytycznym obszarze, jak wirtualizacja.
Jednym z najważniejszych atutów OpenHCL jest jego zdolność do poprawy wydajności systemu bez konieczności modyfikowania systemu operacyjnego gościa. Dzięki zastosowaniu tej technologii maszyny wirtualne na platformie Azure mogą korzystać z ulepszeń wydajności, takich jak te dostarczane przez technologię Azure Boost, bez konieczności wprowadzania zmian w systemie operacyjnym. To ważne w kontekście confidential computing, który zwykle wiąże się z pewnym spadkiem wydajności (3-5% według niektórych szacunków).
Otwarcie źródeł – krok ku przyszłości
Otwarcie kodów źródłowych OpenHCL jest nie tylko wyrazem zaangażowania Microsoft w społeczność open source, ale także krokiem w kierunku przyspieszenia innowacji w dziedzinie wirtualizacji i zabezpieczania danych. Umożliwi to szersze wykorzystanie tej technologii nie tylko w usługach Microsoft, ale także na innych platformach, co może przyspieszyć adopcję confidential computing w różnych sektorach i środowiskach chmurowych.
Warto jednak pamiętać, że Microsoft nie jest jedynym graczem na rynku paravisorów. Intel i ARM również rozwijają swoje odpowiedniki, co sugeruje, że rywalizacja w tej dziedzinie stanie się jeszcze bardziej intensywna. Mimo to, decyzja Microsoftu o otwarciu kodów OpenHCL to ogromny krok naprzód w kierunku stworzenia w pełni bezpiecznego stosu technologii confidential computing opartego na oprogramowaniu open source i Linuksie.
Podsumowanie
OpenHCL otwiera nowy rozdział w świecie wirtualizacji i confidential computing. Dzięki otwarciu źródeł przez Microsoft, technologia ta może stać się kluczowym elementem w budowaniu bezpiecznych, chmurowych środowisk obliczeniowych. To, jak szybko zostanie zaadaptowana i jakie innowacje przyniesie, zależy w dużej mierze od aktywności społeczności open source, która teraz ma pełen dostęp do tej zaawansowanej technologii.
