Cloud

Haven: un blindaje de aplicaciones cuando la nube no es de confianza

cloud
Escrito por Marcos Merino

Busca acorazar el software restringiendo el acceso ilimitado del que actualmente disponen los proveedores de servicios cloud sobre los datos alojados.

La confianza es un requisito básico en la infraestructura de cloud computing vigente hoy en día: los usuarios de la nube confían en que el personal tanto de su proveedor como de las plataformas de hardware y software en que aquél se basa no acceda a sus datos privados (una problemática, por otra parte, que ha estado muy de actualidad en el sector tecnológico desde el escándalos de las escuchas de la NSA). Ahora, los investigadores de Microsoft Research han desarrollado el prototipo de una nueva tecnología, denominada Haven, que pretende reforzar la seguridad de aplicaciones basadas en la nube.

Esta tecnología busca acorazar dichas apps restringiendo el acceso ilimitado del que actualmente disponen los proveedores de servicios cloud sobre los datos alojados. Según los autores del paper (Andrew Baumann, Marcus Peinado y Galen Hunt), Haven “implementa un ejecución blindada de aplicaciones de servidor no modificadas en un hosting no confiable (…) suponiendo un paso adelante hacia un modelo de computación verdaderamente útil para la nube, donde existe un suministro de recursos (procesamiento, almacenamiento y red) sin tener por ello acceso a los datos del usuario”. Los autores del paper nos recuerdan, igualmente, que Haven aprovecha la protección de hardware de Intel SGX para defenderse del código malicioso y los ataques físicos.

Teóricamente, otra serie de proyectos ya en funcionamiento, como podrían ser InkTaf, Proxos, CloudVisor, VirtualGhost, XOMOS, Proxos o SecureME parten de unas premisas y funcionalidades similares. Pero los desarrolladores de Heaven afirman que, al estar estos proyectos basados únicamente en la protección de la memoria de la aplicación, siguen siendo vulnerables mediante la interfaz de llamadas al sistema: “Haven impediría esta clase de vulnerabilidades gracias al uso de LibOS (libraryOS)”. La tecnología de Haven se integraría dentro del proyecto Drawbridge, que consiste en un método de virtualización cuya objetivo es reemplazar la necesidad de una máquina virtual para ejecutar software en plataformas dispares. Este método se sostendría sobre dos elementos básicos, la citada librería LibOS y los picoprocesos (más información, en este artículo de la web de Microsoft Research).

Haven y Drawbridge son ambos proyectos de desarrollo impulsados por los creadores del microkernel multiplataforma Singularity del que deriva Midori (nada que ver con el navegador web homónimo para Linux: aquí hablamos de un nuevo concepto de sistema operativo desarrollado desde cero y originalmente incompatible con Windows, que según algunos rumores podría ser ahora parte de la estrategia de integración de sistemas operativos que está llevando a cabo la compañía de Redmond). Como ocurre con la mayor parte de iniciativas que nacen en Microsoft Research, no está muy claro si estas tecnologías llegarán a integrarse en Windows o cuándo lo harán.

Haven ha dado a conocer a los medios de comunicación durante el 11th USENIX Symposium sobre Diseño de Sistemas Operativos, que ha tenido lugar esta semana (entre los días 6 y 8 de Octubre) en Broomfield (Estados Unidos) con el patrocinio de USENIX (la Asociación de Sistemas de Computación Avanzada).

Imagen | JD Hancock via photopin cc

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.