硬件辅助虚拟化为在虚拟机管理程序上高效安全地运行客户操作系统提供了良好的途径。
那些指令集(例如Intel的VT-x,AMD的AMD-V和扩展页表扩展)是否为场景提供了价值 其他 比运行客户OS批发?例如,它们是否可以用于沙盒进程或防止内核模式代码执行它们不应该做的事情?
硬件辅助虚拟化为在虚拟机管理程序上高效安全地运行客户操作系统提供了良好的途径。
那些指令集(例如Intel的VT-x,AMD的AMD-V和扩展页表扩展)是否为场景提供了价值 其他 比运行客户OS批发?例如,它们是否可以用于沙盒进程或防止内核模式代码执行它们不应该做的事情?
浏览英特尔自己的页面 “硬件辅助虚拟化” ,他们提到了几个有趣的应用:
1.工业系统:虚拟化使系统能够实现 同时运行实时和通用操作系统, 每个都在英特尔多核处理器的专用处理器内核上。
这与运行guest-OS不同。在这里,VT-x功能可以用于并行运行两个不同的操作系统,这样我们就可以结合两者的优点来实现我们的目标。例如,您需要非常高精度的实时数据监控的场景, 和 非常高速的处理:在这种情况下,数据采集可以完全委托给在其中一个核上运行的RTOS,而另一个运行GPOS来处理数据。
2.医疗器械:保护应用程序和患者数据 对医疗诊断设备至关重要。需要的应用程序 使用Intel VT可以隔离更高级别的安全性 保护硬件中的内存空间,有助于防止攻击 恶意软件。因此,软件在安全分区中运行 只能访问自己的代码和数据区域,无法分页 在其内存边界之外,因为硬件排除了 越权存取。
正如他们所提到的,VT中实现的内存空间保护允许软件仅运行自己的代码,并且只访问自己的内存空间。这在电子安全方面具有很大的潜力。
浏览英特尔自己的页面 “硬件辅助虚拟化” ,他们提到了几个有趣的应用:
1.工业系统:虚拟化使系统能够实现 同时运行实时和通用操作系统, 每个都在英特尔多核处理器的专用处理器内核上。
这与运行guest-OS不同。在这里,VT-x功能可以用于并行运行两个不同的操作系统,这样我们就可以结合两者的优点来实现我们的目标。例如,您需要非常高精度的实时数据监控的场景, 和 非常高速的处理:在这种情况下,数据采集可以完全委托给在其中一个核上运行的RTOS,而另一个运行GPOS来处理数据。
2.医疗器械:保护应用程序和患者数据 对医疗诊断设备至关重要。需要的应用程序 使用Intel VT可以隔离更高级别的安全性 保护硬件中的内存空间,有助于防止攻击 恶意软件。因此,软件在安全分区中运行 只能访问自己的代码和数据区域,无法分页 在其内存边界之外,因为硬件排除了 越权存取。
正如他们所提到的,VT中实现的内存空间保护允许软件仅运行自己的代码,并且只访问自己的内存空间。这在电子安全方面具有很大的潜力。
这些指令集(例如Intel的VT-x,AMD的AMD-V和扩展页表扩展)是否为运行客户操作系统批发以外的方案提供了价值?
虚拟化扩展的另一个用例是运行a 裸机管理程序 (也叫 1型管理程序)。除了能够在顶部运行多个操作系统之外,您还可以直接在虚拟机管理程序之上运行裸机应用程序(不在客户机操作系统实例中) 并肩 常规虚拟化操作系统。管理程序可以保证安全性,使这些应用程序可以运行医疗设备等关键系统。如果客户操作系统崩溃,管理程序将确保裸机应用程序不受影响。
例如,它们可以用于沙箱流程吗?
它们可以用于沙盒进程,但这也是常规操作系统的功能。
或者防止内核模式代码片段做他们不应该做的事情?
这实际上是虚拟客户机操作系统尝试执行时发生的情况 敏感指示,这是可以的说明 改变 可以在中运行的机器的执行 非特权模式 的架构。