Technische Aspekte des OpenSecurity Projekts
Nach der Sammlung und Evaluierung verschiedener Techniken und Ansätzen zu Sicherheit durch Isolierung, designte das OpenSecurity Team eine konkrete Lösung für zwei verschiedene User-Szenarien, die zuvor von den Projekt Stakeholdern priorisiert wurden: Datentransfer von und zu Massenspeichermedien sowie sicheres Internetbrowsing.
Die bisherige Arbeit resultierte in einem Set von miteinander interagierenden und isolierten Kernkomponenten zur Orchestrierung von dedizierten Virtual Machines. Die OpenSecurity Komponenten, die in diesem Prozess entwickelt wurden, basieren auf klar definierten offenen Interfaces: RESTful API, CIFS und SSH. Diese Protokolle trennen sauber die unterschiedlichen Komponenten des OpenSecurity Lösungsraumes, was ein Upgrade oder gar einen kompletten Austausch derselben Komponenten ermöglicht ohne das Konzept und Nutzen des gesamten Systems zu beeinträchtigen.
Die zentrale Komponente des OpenSecurity Designs ist der OpenSecurity Management Daemon, welcher Virtual Machines für den einmaligen Gebrauch startet und stoppt. Diese Maschinen fußen auf Templates, welche von der eigens von Debian 7.2 abgeleiteten OpenSecurity Linux Distribution erstellt werden. Andere Komponenten sind für User-Interaktion, Gerätetreiber-Overlays und Einbettung des Zugangs von und zu den Virtual Machines im Bezug zur aktuellen Benutzer-Session zuständig.
Das Team präsentierte im Dezember ein live Proof of Concept, das zum einen demonstrierte wie unabhängige Virtual Box Machines USB Massenspeichermedien Aktionen wie Virenscan und/oder Verschlüsselung handhaben. Zum anderen demonstrierte es die feste Integration einer in einer Virtual Machine ausgeführten Internet Browsing Applikation, die jedoch nativ in einer Windows 7 User Session angezeigt wird.
Die derzeitige Implementierungsarbeit zielt darauf ab das System stabil, leistungsfähig und flexibel zu machen. Die Softwarekomponenten, die in diesem Kontext geschrieben wurden, sind zwar eher klein und die Interfaces alle weitgehend bekannt. Dennoch ergibt sich aufgrund der Tatsache, dass Mitteilungen oft Betriebssystemgrenzen überschreiten und sich dies auf niedrigster Ebene auf Systemfunktionalitäten auswirkt, eine hohe Komplexität. Sowohl diese Situation als auch die speziellen Charakteristiken und Divergenzen im Verhalten von teilweise Closed-Source Betriebssystemen – selbst dann wenn die angesprochenen Methoden und Funktionen auf einen allgemeinen Standard zurückzuführen sind – machen dies zu einem anspruchsvollen und aufwendigen Vorhaben.
Schlussendlich müssen auch Anforderungen an die Installierung umgesetzt werden. Sowohl einfache Einzeluser Ein-Klick Download Setup Dateien als auch ein von einem zentralen IT-Department auszuführendes Komplettrollout auf bis zu tausenden Maschinen müssen unterstützt werden. Da die OpenSecurity Integrierung auch auf einer Reihe gut entwickelter Open Source Software Dritter basiert, ist Version Management eine weitere komplexe Aufgabe, die demnächst angegangen werden wird.
Document Actions