Los investigadores de Microsoft Research han construido un prototipo de una nueva tecnología, llamada Haven, que busca reforzar la seguridad de aplicaciones basadas en la nube.
Esta tecnología se integra en el proyecto Drawbridge, un proyecto de investigación y desarrollo sobre sistemas operativos y sus tecnologías. Haven, llamada así por su propio paper, es una tecnología que buscar «acorazar» las futuras apps de la nube. Es un punto importante, puesto que la seguridad es una de las mayores inquietudes de este paradigma informático basado en entornos remotos. Microsoft sabe cuál es la tendencia del futuro de la computación y no está dejando pasar la oportunidad de desarrollar tecnologías pioneras que resulten beneficiosas.
Haven se ha dado a conocer durante el 11th USENIX Symposium en diseño de sistemas operativos e implementación, que ha tenido lugar esta semana en Broomfield (EEUU).
Tal y como los investigadores de Microsoft, Andrew Baumann, Marcus Peinado y Galen Hunt, han explicado, actualmente los proveedores de servicios cloud pueden tener acceso total a los datos de los usuarios. Pero, vía Haven, Microsoft podría eliminar este acceso sin restricciones, algo de especial interés si lo relacionamos con el espionaje de organizaciones gubernamentales.
Según los investigadores, Haven «implementa una ejecución blindada de aplicaciones de servidor sin modificaciones en un huésped que no es de confianza«. Esto significaría «un paso más hacia un modelo verdadero de computación «útil» en la nube, donde las herramientas proporcionan recursos (procesadores, almacenamiento y redes) sin tener acceso a los datos del usuario«.
Existe un número importante de proyectos, aparte de Haven, destinados a esta misma premisa. Los investigadores han citado algunos como XOMOS, Proxos, Overshadow, CloudVisor, SecureME, InkTag o Virtual Ghost. Pero también han afirmado que estos proyectos son vulnerables a través de la interfaz de llamadas al sistema, porque están basados solamente en proteger la memoria de la aplicación. «Por diseño, Haven impide este tipo de vulnerabilidades, a través de LibOS (library OS), un módulo de interfaz para el huésped blindado y sustancialmente menor (sobre 20 llamadas de sistema) mutuamente «desconfiado»«.
Como hemos aclarado antes, Haven se ha implementado en Drawbridge, una tecnología que siembra «una forma de virtualización que busca reemplazar la necesidad de una máquina virtual para ejecutar software entre plataformas dispares«. Drawbridge consiste en dos elementos principales: los picoprocesos y la librería LibOS. Los picoprocesos son un contenedor de aislamiento construido a partir de un espacio de direcciones de hardware directamente, sin tener acceso a los servicios tradicionales del sistema operativo o las llamadas al sistema.
Haven y Drawbridge han sido desarrollados por algunos de los investigadores que trabajaron en el microkernel Singularity. Desde el cual, se mueve Midori, un nuevo concepto de sistema operativo, que ya hemos mencionado en alguna ocasión.
Como ocurre con la investigación en general, y en particular con Microsoft Research, no sabemos cuando estas tecnologías formarán parte de sistemas operativos comerciales como Windows. Sin embargo, hay constancia de picoprocesos en Windows 8.1, aunque Microsoft no ha afirmado nada al respecto.
