Experiments on KVM-based system call virtualization

Le tecnologie di virtualizzazione hanno trasformato il modo in cui i moderni sistemi informatici vengono progettati, gestiti e messi in sicurezza. Tradizionalmente, le macchine virtuali di sistema offrono un forte isolamento emulando intere piattaforme hardware, ma ciò comporta un notevole carico in termini di prestazioni e risorse. Al contrario, le macchine virtuali di processo e le soluzioni basate su container forniscono una virtualizzazione leggera e modulare, ma si basano tipicamente su meccanismi software di intercettazione delle system call che possono introdurre degradazioni di prestazione e meno garanzie di sicurezza. Questa tesi presenta una nuova architettura che colma il divario tra questi due paradigmi applicando la virtualizzazione hardware alle macchine virtuali di processo. Ispirandosi al modello VUOS, il sistema proposto esegue applicazioni Linux non modificate all’interno di una macchina virtuale minimale basata su KVM, con un hypervisor in spazio utente responsabile dell’intercettazione e della gestione delle system call. Eliminando il bisogno di un kernel nel sistema ospite e sfruttando le funzionalità di virtualizzazione hardware, questo approccio permette di ottenere sandboxing efficiente e sicuro a livello di processo, consentendo inoltre la modifica dinamica della visione di sistema dell’applicazione.