Amazon'da bir şey satın aldığınızda müşteri verileriniz otomatik olarak güncellenir ve buluttaki binlerce sanal makinede depolanır. Amazon gibi işletmeler için milyonlarca müşterisinin verilerinin emniyetini ve güvenliğini sağlamak çok önemlidir. Bu hem büyük hem de küçük organizasyonlar için geçerlidir. Ancak şimdiye kadar bir yazılım sisteminin hatalara, bilgisayar korsanlarına ve güvenlik açıklarına karşı güvenli olduğunu garanti etmenin bir yolu yoktu.
Columbia Mühendislik araştırmacıları bu güvenlik sorununu çözmüş olabilir. Buluttaki sanal makinelerin güvenliğini matematiksel kanıt yoluyla garanti eden ilk sistem olan SeKVM'yi geliştirdiler. Araştırmacılar, 26 Mayıs 2021'de 42. IEEE Güvenlik ve Gizlilik Sempozyumu'nda sunulacak yeni bir makalede, sistem yazılımı doğrulamasında gelecekteki yeniliklerin temelini atmayı ve yeni nesil siber dirençli sistem yazılımına yol açmayı umuyor.
SeKVM, bulut bilişim için resmi olarak doğrulanan ilk sistemdir. Resmi doğrulama, yazılımın matematiksel olarak doğru olduğunu, program kodunun olması gerektiği gibi çalıştığını ve endişelenecek hiçbir gizli güvenlik hatasının olmadığını kanıtlama süreci olduğundan kritik bir adımdır.
Bilgisayar bilimi profesörü ve Yazılım Sistemleri Laboratuvarı eş direktörü Jason Nieh, "Gerçek dünyadaki çok işlemcili bir yazılım sisteminin matematiksel olarak doğru ve güvenli olduğu ilk kez gösteriliyor" dedi. "Bu, kullanıcıların verilerinin bulutta çalışan yazılım tarafından doğru şekilde yönetildiği ve güvenlik hatalarına ve bilgisayar korsanlarına karşı korunduğu anlamına geliyor."
Doğru ve güvenli sistem yazılımının oluşturulması, bilişimin en büyük zorluklarından biri olmuştur. |Nieh, 1999 yılında Columbia Mühendisliği'ne katıldığından beri yazılım sistemlerinin farklı yönleri üzerinde çalıştı. Tang Ailesi Bilgisayar Bilimleri Yardımcı Doçenti ve resmi doğrulama uzmanı Ronghui Gu, 2018 yılında bilgisayar bilimleri bölümüne katıldığında, o ve Nieh işbirliği yapmaya karar verdi. yazılım sistemlerinin resmi doğrulamasının araştırılması üzerine.
Araştırmaları büyük ilgi gördü: Her iki araştırmacı da Amazon Araştırma Ödülü'nü, Ulusal Bilim Vakfı'ndan çok sayıda bağışın yanı sıra SeKVM projesinin geliştirilmesini ilerletmek için milyonlarca dolarlık Savunma İleri Araştırma Projeleri Ajansı (DARPA) sözleşmesini kazandı. Ayrıca Nieh, bu çalışması nedeniyle Guggenheim Bursu'na layık görüldü.
Geçtiğimiz düzinelerce yıl boyunca, çok işlemcili işletim sistemlerinin doğrulanması çalışmaları da dahil olmak üzere resmi doğrulamaya büyük önem verildi. Gu, "Ancak tüm bu araştırmalar, gerçek hayatta kimsenin kullanmadığı küçük oyuncak benzeri sistemler üzerinde yapıldı" dedi. "Linux gibi yaygın olarak kullanılan bir sistem olan çok işlemcili bir ticari sistemin doğrulanmasının neredeyse imkansız olduğu düşünülüyordu."
Bulut bilişimin katlanarak büyümesi, şirketlerin ve kullanıcıların verilerini ve hesaplamalarını iş yeri dışında, buluttaki ana bilgisayarlar üzerinde çalışan sanal makinelere taşımasına olanak tanıdı. Amazon gibi bulut bilişim sağlayıcıları bu sanal makineleri desteklemek için hipervizörler dağıtıyor
Hypervisor, bulut bilişimi mümkün kılan yazılımın temel parçasıdır. Sanal makinenin verilerinin güvenliği, hipervizörün doğruluğuna ve güvenilirliğine bağlıdır. Önemlerine rağmen hipervizörler karmaşıktır; tüm bir Linux işletim sistemini içerebilirler. Koddaki tek bir zayıf bağlantı (geleneksel testlerle tespit edilmesi neredeyse imkansız olan bir bağlantı) sistemi bilgisayar korsanlarına karşı savunmasız hale getirebilir. Bir hiper yönetici %99 oranında doğru yazılmış olsa bile, bir bilgisayar korsanı yine de söz konusu %1'lik kuruluma gizlice girip sistemin kontrolünü ele geçirebilir.
Nieh ve Gu'nun çalışması, bir emtia sistemini, özellikle de Amazon gibi bulut sağlayıcıları tarafından sanal makineleri çalıştırmak için kullanılan, yaygın olarak kullanılan KVM hipervizörünü doğrulayan ilk çalışmadır. KVM olan SeKVM'nin bazı küçük değişikliklerle güvenli olduğunu ve sanal bilgisayarların birbirinden izole edilmesini garanti ettiğini kanıtladılar.
Gu'nun Ph.D.'si Xupeng Li, "Sistemimizin buluta yüklenen özel verileri ve bilişimi matematiksel garantilerle koruyabildiğini ve güvence altına alabildiğini gösterdik" dedi. öğrencisi ve makalenin ortak yazarı. "Bu daha önce hiç yapılmadı."
SeKVM, büyük sistemlerin güvenlik özelliklerini doğrulamaya yönelik yeni bir çerçeve olan MicroV kullanılarak doğrulandı. Sistemdeki küçük değişikliklerin, araştırmacıların MICR doğrulaması adını verdiği yeni bir teknik olan doğrulamayı önemli ölçüde kolaylaştırabileceği hipotezine dayanıyor. Bu yeni katmanlama tekniği, mevcut sistemi güçlendirir ve güvenliği sağlayan bileşenleri doğrulanan ve tüm sistemin güvenliğini garanti eden küçük bir çekirdeğe çıkarır.
Büyük bir sistemi yenilemek için gereken değişiklikler oldukça mütevazıdır; araştırmacılar, daha büyük sistemin küçük çekirdeği sağlamsa sistemin güvenli olduğunu ve hiçbir özel verinin sızdırılmayacağını gösterdi. Daha önce imkansız olduğu düşünülen KVM gibi büyük bir sistemi bu şekilde doğrulamayı başardılar.
Nieh, "Bir ev düşünün; alçıpandaki bir çatlak, evin bütünlüğünün risk altında olduğu anlamına gelmez" diye açıkladı. "Yapısal olarak hâlâ sağlam ve temel yapısal sistem de iyi."
Shih-Wei Li, Nieh'in Ph.D. Araştırmanın öğrencisi ve eş-başkan yazarı şunları ekledi: "SeKVM, bankacılık sistemleri ve Nesnelerin İnterneti cihazlarından otonom araçlara ve kripto para birimlerine kadar çeşitli alanlarda koruma görevi görecek."
İlk doğrulanmış ürün hipervizörü olarak SeKVM, bulut hizmetlerinin nasıl tasarlanması, geliştirilmesi, dağıtılması ve güvenilmesi gerektiğini değiştirebilir. Bir dünyada siber güvenlik giderek artan bir endişedir ve bu esnekliğe oldukça talep vardır. Büyük bulut şirketleri halihazırda bu talebi karşılamak için SeKVM'den nasıl yararlanabileceklerini araştırıyor.