Xen 4.7 пополнился возможностью горячей установки патчей и другими функциями безопасности

Коллектив открытого проекта Xen выпустил 23 июня крупный релиз одноименного гипервизора виртуализации Xen 4.7, в который включена возможность «горячей» установки исправлений и другие функции безопасности.

Xen является базовым гипервизором в инфраструктурах крупнейшего мирового провайдера публичных облаков Amazon Web Services (AWS), а также публичных облаков Rackspace, IBM и других компаний. Кроме того, Xen широко применяется в частных облаках и в продуктивных средах предприятий.

Одной из важнейших сторон любой современной технологии является постоянная необходимость исправления уязвимостей безопасности. До версии Xen 4.7 при установке патча для Xen требовался перезапуск системы, но теперь, благодаря новой функции Live Patching, эта необходимость отпадает.

Идея горячей установки патчей в мире Open Source не нова. При наличии в системе такого функционала для активации патча не нужно останавливать работу сервиса и осуществлять перезагрузку, патч может устанавливаться и активироваться прямо на ходу. В ядре Linux технология горячей установки патчей впервые появилась в составе обновления Linux 4.0 в апреле 2015 г.

«В проекте Xen технология горячей установки патчей реализована совершенно независимым образом, хотя и основана на идеях, использованных в других реализациях Live Patching для Linux, и вкладе участников сообщества Xen Project, — сообщил Джеймс Балпин, член консультативного совета Xen Project и старший директор по технологии и главный архитектор XenServer в компании Citrix Systems.

Возможность горячей установки патчей очень важна для пользователей Xen. В октябре 2014 г. Amazon, Rackspace и IBM Softlayer пришлось перезапускать свои облачные серверы для активации критического патча. Речь идет о проблеме безопасности CVE-2014-7188, связанной с использованием оперативной памяти. Хотя этот дефект безопасности держался в секрете, пока провайдеры публичных облаков не установили нужное исправление, установка потребовала некоторого времени и могла нарушать работу сервисов. В Xen 4.7 и последующих релизах оперативное исправление проблем типа CVE-2014-7188 будет создавать для пользователей Xen гораздо меньше хлопот.

Устранение в публичных облаках большинства уязвимостей вроде CVE-2014-7188 станет простым делом и будет происходить без перезапуска сервисов, пояснил Балпин: «С появлением Live Patching решение о перезагрузке будет на усмотрении администраторов облачных сервисов».

Xen 4.7 включает функцию, которая позволяет легко изымать из системы ненужные компоненты с помощью средства под названием Kconfig. Основная идея функции удаления состоит в том, что оставляя только компоненты, нужные для конкретных условий работы системы, мы сужаем поле для потенциальных атак.

«Раньше для выбора рабочих компонентов пользователям надо было вручную редактировать файл конфигурации, — сказал Балпин. — Теперь им достаточно использовать более удобную инфраструктуру Kconfig».

По его словам, инсталлируемая по умолчанию конфигурация Xen содержит компоненты, которые, по мнению разработчиков, могут пригодиться среднему пользователю, и такая конфигурация полностью поддерживается upstream-проектом.

«Спектр применения разработок проекта Xen все ширится, и в него входят публичные облака, традиционная виртуализация серверов, а также встроенные сценарии в автомобильной и авиационной индустрии и других отраслях, — сказал Балпин. — Хотя во всех этих случаях используются базовые функции гипервизора, необходимый комплект драйверов, планировщиков и других компонентов зависит от конкретной ситуации».