1 40 Table of Contents 42 52

EMB_72

FUNCTIONAL SAFETY | SOFTWARE istanze di macchine virtuali in grado di eseguire di- versi sistemi operativi su una stessa piattaforma hardware À 9 accelerata a livello hardware grazie all’utilizzo di moderne funzioni della CPU come ARM-VE e Intel C54= % À D accelerata hardware E < - ne è diverso dalla virtualizzazione del sistema ope- rativo, in cui le istanze, o i cosiddetti contenitori, condividono un singolo kernel del sistema operati- ’introduzione degli hypervisor nell’architettu- ra software per la sicurezza non è esente da proble- N %% % # 2 effettuare la separazione e la protezione della me- N À lavoro e la gestione dei privilegi dei sistemi opera- % # 2 il software più privilegiato del sistema: nel contesto . % À lo stesso hypervisor deve essere considerato rile- * 2 schedula diversi sistemi operativi così come un ker- G 2 À tipicamente in nativi, o bare-metal (Tipo 1) e in hypervisor ospitati, o hosted &5 Q" ' 2 di tipo 1 vengono eseguiti direttamente sull’hard- ware &J % 7" % 2 $ - zionano in modo simile alle normali applicazioni . À% - % * di tipo 1 vi è anche un dominio guest iniziale con livelli di privilegi superiori e accesso dedicato alle $ M & M" < # - % # 2 + È chiaro che tali soluzioni richiederebbero anche che l’intero dominio 0 guest sia rilevante per la Oltre alla % À - curezza, il vantaggio principale della virtualizza- zione nel contesto della sicurezza è la capacità di riutilizzare algoritmi ad alte prestazioni progetta- = $ $À applicazioni dalle applicazioni di sicurezza in ese- cuzione nello stesso sistema in un RTOS di sicu- * # 2 consentire meccanismi IPC (Inter Process Commu- nication) per supportare le transizioni di dati tra un dominio di sicurezza e un dominio operativo, N . o svantaggio è che la virtualizzazione di tipo 1 9 %% % indesiderata alla gestione degli eventi, causando problemi negli scenari applicativi in tempo reale e nella capacità di prevederne l’evoluzione (deter- " * À lavoro attraverso i core del SoC diventa non banale 9 Á % Gli hypervisor di tipo 2 sono normalmente considerati di basse prestazioni e si limitano a fornire funzioni 9 al fatto che l’hypervisor non sfrutta l’accelerazio- ne hardware, non consente l’assegnazione diretta del dispositivo (pass-through) e/o funziona su un # di un microkernel con architettura a separazione permette di superare questi inconvenienti, crean- 2 * applicazioni native in questo scenario possono sod- disfare sia i requisiti di sicurezza che di protezione, N . Un esempio di questa architettura di hypervisor è ' F *85 'B*5 < - tettura alternativa di hypervisor è illustrata nella À% ? a garanzia di sicurezza fun- zionale nei sistemi ad alte prestazioni richiede la separazione tramite hardware o software - razione hardware è limitata in termini di scalabili- tà e trasporto dei dati, ma fornisce una separazione facilmente dimostrabile del dominio di sicurezza software, invece, fornisce soluzioni scalabili per prestazioni e sicurezza, ma a volte richiede una soluzione soft- ware di mezzo di un’architettura con kernel a separazio- ne fornisce il percorso meno complesso per la sepa- razione del software, consentendo l’esecuzione di applicazioni di sicurezza scalabili su core di CPU Fig. 6 – Architettura di hypervisor di tipo 2 basata su kernel a separazione 41 EMBEDDED MAGGIO

RkJQdWJsaXNoZXIy MTg0NzE=