Il kernel di un sistema operativo è il componente architettonico chiave, responsabile della comunicazione fra le applicazioni utente e l’hardware. KasperskyOS si basa su un microkernel sviluppato da Kaspersky. Tale microkernel è scritto ex novo, senza utilizzare il codice del kernel Linux.
Il termine “microkernel” indica che solo i meccanismi più critici del sistema operativo vi sono contenuti, mentre le funzioni meno importanti sono applicazioni ordinarie. Questo permette di garantire che il codice del kernel sia privo di errori e vulnerabilità, e che la superficie d’attacco sia ridotta al minimo.
L’architettura del microkernel è il “golden standard” per lo sviluppo di sistemi operativi sicuri, che non richiedano strumenti di sicurezza aggiuntivi. Purché venga seguito tale metodo, un simile sistema operativo sarà sicuro per definizione. Date un’occhiata al video per ulteriori dettagli.
Full screen
Dimensione del codice del microkernel KasperskyOS rispetto al monolitico kernel di un sistema operativo general-purpose
Il microkernel KasperskyOS è uno sviluppo proprietario di Kaspersky. La progettazione e l'implementazione di tutte le sue parti contribuiscono a raggiungere l'obiettivo finale: creare un sistema operativo sicuro.
Il kernel KasperskyOS contiene solo alcune decine di migliaia di linee di codice. Più piccola è la dimensione del kernel, meno potenziali vulnerabilità presenterà, e queste saranno più semplici da verificare in modo formale. Per fornire un confronto: i kernel monolitici possono includere decine di milioni di linee di codice.
Vi sono solo tre chiamate di sistema e una interfaccia IPC in KasperskyOS. Questo riduce al minimo la superficie d'attacco.
Il microkernel KasperskyOS è progettato per sfruttare al massimo le capacità del sistema Kaspersky Security.
Per KasperskyOS sono state sviluppate numerose librerie che offrono una compatibilità POSIX parziale, semplificando così la creazione e la portabilità delle applicazioni.
Il kernel KasperskyOS è responsabile di funzioni eseguibili solo in modalità privilegiata:
Tutte le altre funzioni del sistema operativo, inclusi i driver, i sistemi di file e gli stack della rete vengono spostati in modalità utente.
Il kernel KasperskyOS garantisce l’isolamento completo dei componenti del sistema IT. L’unico tipo di IPC fornito dal kernel è il sistema di messaggistica sincrono (richiesta-risposta). Ogni messaggio viene inviato a Kaspersky Security System per verificare la conformità con la politica di sicurezza specificata. Il kernel consegna il messaggio solo se la politica lo consente.
Configurazione flessibile dei criteri di sicurezza e controllo intransigente sulla comunicazione tra processi
L'approccio basato sull'immunità su cui si fonda KasperskyOS consente la creazione di sistemi IT in grado di svolgere le proprie funzioni in un ambiente aggressivo senza funzionalità di sicurezza aggiuntive (applicate).
