オープンソース仮想化プラットフォームの最新版「Xen Project Hypervisor 4.10」がリリース：セキュリティ、ユーザー体験向上、新用途への対応に重点

Xen Projectは、オープンソース仮想化プラットフォームの最新版「Xen Project Hypervisor 4.10」を公開した。

[＠IT]

　Linux Foundation傘下のXen Projectは2017年12月14日（米国時間）、オープンソース仮想化プラットフォームの最新版「Xen Project Hypervisor 4.10」を公開したと発表した。

　Xen Project Hypervisor 4.10では、これまでと同様にセキュリティ最優先のアプローチが取られている他、アーキテクチャが改良され、ドキュメントの集中管理も進んでいる。ARMの最新のハードウェアアップデートにも対応し、ユーザーインタフェースもより直感的なものになっているという。

　Xen Project Hypervisorはユーザー数が1000万人を超えており、「Amazon Web Services」「Tencent」「Alibaba Cloud」「Oracle Cloud」「IBM SoftLayer」などを支えている。また、Citrix Systems、Huawei、Inspur、Oracleの商用仮想化製品や、多数のセキュリティソリューションの基盤として使用されている。

　Xen ProjectのAdvisory Boardのラーズ・カース会長は、「このリリースでは新しいアーキテクチャの下で、ハードウェアサポートを利用してPV（ParaVirtualization：準仮想化）ゲストのパフォーマンスを高め、コードサイズと保守負担を軽減し、TCB（Total Code Base）の縮小によってセキュリティを改善している。これらのことは、これまでXen Projectが広く使われてきたサーバやクラウドといった市場で価値を持つだけでなく、組み込みや車載といった新しい市場の開拓にもプラスに働く」と説明している。

Xen Projectのページ

アーキテクチャ改革による攻撃対象領域の縮小とコードのクリーン化

　Xen Project Hypervisorは、Xen Project 4.8以来、x86コア技術の刷新が行われてきた。セキュリティやパフォーマンスの観点から、よりクリーンなアーキテクチャを構築し、コードを減らし、コンピューティングベースを縮小する狙いだ。このアーキテクチャ改革の一環として、Xen Project Hypervisor 4.10は「PVHv2 DomU」（PVH）をサポートしている。PVHv2ゲストは、PVやHVM（Hardware Virtual Machine：完全仮想化）ゲストと比べて、TCBや攻撃対象領域が小さい。

　またXen Project 4.9では、Xen Projectソフトウェアと「QEMU」のインタフェースが完全に作り直され、「DMOP」（Device Model Operation Hypercall）によって強化された。Xen Project 4.10ではDMOPをベースに、QEMUのようなデバイスモデルが起動後に行えることを制限する「dm_restrict」のテクノロジープレビュー版が追加された。この機能は、QEMUのセキュリティ脆弱（ぜいじゃく）性の影響を限定する。ホストに対する権限の昇格に悪用される恐れがあるQEMUの従来の脆弱性は全て、dm_restrictのサンドボックスをすり抜けることができない。

　この機能により、Xen Projectソフトウェアスタックの潜在的なセキュリティ脆弱性が大幅に軽減されている。

Xen Project UIによるユーザーエクスペリエンスの向上

　Xen Projectはユーザーインタフェースが大きく変更された。Xenを再起動することなく、特定の起動パラメータの変更が可能になった。ゲストタイプは、構成ファイルのタイプオプションを使ってPV、PVH、HVMを選択できるようになった。ビルダーオプションに変わってタイプオプションが重視され、PVHオプションは削除されて、PVH固有オプションが追加された。

サポートドキュメントの改善

　Xen Project Hypervisor 4.10では、サポート関連情報を1つのドキュメントで記述するために、機械可読ファイル（support.md）が追加された。このファイルはサポート状態や、個別機能のセキュリティがどの程度サポートされているかを定義する。例えば、x86上ではセキュリティがサポートされているが、ARM上ではサポートされていない機能があるかもしれないといった感じだ。

　このファイルは、Xenの従来のリリースにもさかのぼって移植され、Xen Projectの各リリースのサポート情報を生成するのに使用される。この情報は「xenbits.xen.org/docs/」でも公開される予定だ。この取り組みにより、ユーザーはセキュリティ問題の自社への影響をより良く理解できるようになるという。

---

　Xen Project Hypervisor 4.10はこれらに加えて、以下の機能も提供する。

• 最新のSoC（System on a Chip）技術（64ビットARMv8-Aアーキテクチャに基づくSoCであるQualcommの「Centriq 2400」、Caviumの「ThunderX」）のサポート
• ARM CPUのSBSA UARTエミュレーション
• ARM CPUのITS（Interrupt Translation Service）サポート
• 64ビットARMv8-Aアーキテクチャ上のGRUB2
• 改良されたCredit 2スケジューラ
• 改良されたNullスケジューラ
• 改良されたVMI（Virtual Machine Introspection）
• LinuxのPV Callsドライバ