Zum Inhalt

Sichere Server-Infrastruktur durch Mikrokerne: Eine Alternative zu Linux für Rechenzentren

BI Forscher Dipl.-Inf. Till Miemietz aus der Gruppe Composable Operating Systems wird im Rahmen des 19. USENIX Symposium on Operating Systems Design and Implementation (OSDI) das Paper "MettEagle: Costs and Benefits of Implementing Containers on Microkernels" vorstellen und darüber sprechen, wie das Barkhausen Institut die Sicherheit von Rechenzentren durch die Implementierung einer Container-Laufzeitumgebung auf dem L4Re-Mikrokern verbessert.

 

Worum geht es im Papier?

Wenn wir Online-Dienste wie soziale Netzwerke, Online-Banking oder Video-Streaming nutzen, greifen wir über das Internet auf Programmcode zu, der auf Servern in einem Rechenzentrum ausgeführt wird. Dabei laufen Programme verschiedener Nutzerinnen und Nutzer parallel auf demselben Server. Meist kommt dafür ein Standard-Betriebssystem wie Linux zum Einsatz. Ein zentrales Problem besteht darin, dass die Sicherheit von Linux für den Einsatz in solchen Server-Umgebungen gezielt verstärkt werden muss. Container-Technologien setzen genau hier an. Sie isolieren Anwendungen und Prozesse innerhalb eines gemeinsamen Betriebssystems. Dazu nutzen sie Sicherheitsmechanismen wie seccomp, namespaces und cgroups. Diese Ergänzungen steigern jedoch die Komplexität des Gesamtsystems und damit auch potenziell die Angriffsfläche. Im ungünstigsten Fall kann dies die Sicherheit sogar eher gefährden als verbessern.

 

Was genau wurde entwickelt?

Wir verwenden anstelle von Linux ein System auf Basis des L4Re-Mikrokerns. Dieses bietet im Gegensatz zu Linux starke Sicherheitseigenschaften by Design und benötigt kein Nachrüsten zusätzlicher Schutzmechanismen. Allerdings wurden Mikrokerne bislang nicht für typische Server-Hardware und mit Arbeitslasten eingesetzt, die typisch für Rechenzentren sind. Deshalb haben wir nicht nur eine Container-Umgebung für Mikrokerne entworfen und implementiert, sondern auch zahlreiche Leistungsoptimierungen vorgenommen. Auf diese Weise werden Mikrokerne für den Einsatz in Rechenzentren tauglich.

 

Was bedeutet das für uns?

Unsere Entwicklung schafft eine Ausführungsumgebung für Server-Programme, die durch den Einsatz eines Mikrokerns einen bedeutenden Sicherheitsgewinn gegenüber Linux bietet. Rechenzentren können dadurch besser vor Angriffen geschützt werden. Gleichzeitig besteht nun mit dem L4Re-System eine heimische Lösung, die auch die digitale Souveränität im Bereich Rechenzentren stärken kann.

 

Wo können wir mehr erfahren?

MettEagle: Costs and Benefits of Implementing Containers on Microkernels

Till Miemietz, Viktor Reusch, and Matthias Hille, Barkhausen Institut; Lars Wrenger, Leibniz-Universität Hannover; Jana Eisoldt, Barkhausen Institut; Jan Klötzke, Kernkonzept GmbH; Max Kurze, Technische Universität Dresden; Adam Lackorzynski, Technische Universität Dresden and Kernkonzept GmbH; Michael Roitzsch, Barkhausen Institut; Hermann Härtig, Barkhausen Institut and Technische Universität Dresden

Zum Seitenanfang