1 55 Table of Contents 57 68

EMB_87

EMBEDDED 87 • FEBBRAIO • 2023 56 e richiede una conoscenza approfondita dell’argo- mento • Gli attuali framework applicativi devono adattarsi e produrre documentazione sul loro utilizzo all’inter- no degli unikernel • Mancanza di certificazioni di sicurezza degli unikernel per le applicazioni mission-critical Estendere l’applicabilità degli unikernel Per superare questi limiti, in particolare l’ultimo, e uti- lizzare i vantaggi dell’approccio basato su unikernel in una gamma più ampia di applicazioni, Lynx ha condot- to un sondaggio sulle varie opzioni unikernel disponi- bili al pubblico all’inizio del 2022. È emerso che mentre molte di queste opzioni sono legate a uno specifico lin- guaggio di compilazione – come runtime.js (javascript), Clive (Go), LING (Erlang) e Mirage (Ocaml) – una di esse, ovvero OSv, è in grado di eseguire i runtime in numerosi linguaggi. Ciò ha portato a un’ulteriore esplo- razione di questa opzione. OSv è un unikernel modulare open-source progettato per eseguire una singola applicazione Linux non modi- ficata in modo sicuro su un hypervisor. È stato proget- tato per eseguire codice binario Linux x86-64 e Aarch64 non modificato, il che lo rende di fatto un unikernel compatibile con il codice binario Linux. Grazie alla sua adozione nelle applicazioni dell’infrastruttura IT, OSv dispone di un discreto numero di funzioni di osserva- bilità, tra cui registrazione, tracciamento e debug. L’u- tilizzo di una licenza BSD è semplice e sono supportati diversi protocolli e periferiche (ad esempio TCP/Ipv4, PCIe e ACPI). Quando è stata condotta l’indagine, il supporto di Ipv6 non era ancora maturo. Unikernel nelle applicazioni di sicurezza mission-critical Per Lynx, l’interesse iniziale nei confronti di unikernel riguarda principalmente la sicurezza, poiché questo approccio riduce drasticamente la superficie di attacco. Inoltre, questi tipi di applicazioni non richiedono tempi garantiti e artefatti di certificazione di sicurezza. Ad esempio, un unikernel come OSv può essere utiliz- zato per eseguire componenti di sicurezza come IDS e VPN. La figura 2 mostra come questa soluzione po- trebbe essere implementata su una scheda di svilup- po Xilinx. TIDS (Tactical Intrusion Detection System) e DAC (Dynamic Access Control) sono rilevatori di anomalie statistiche utilizzati dall’esercito america- no su alcune reti che monitorano il traffico IP e 1553. L’utilizzo di un diodo e di un filtro dati sull’unikernel consentirebbe al cliente di sostituire una macchina Fig. 2 – Implementazione dell’unikernel OS v su una scheda di sviluppo Xilinx SOFTWARE | UNIKERNEL

RkJQdWJsaXNoZXIy Mzg4NjYz