Space-Control: Process-Level Isolation for Sharing CXL-based Disaggregated Memory

Dit paper introduceert Space-Control, een hardware-software co-design dat procesniveau-isolatie voor gedeelde CXL-gebaseerde gedisaggregeerde geheugenrealiseert met een minimale prestatieoverhead van 3,3%.

De kern

Stel je voor dat de toekomst van computers niet meer bestaat uit één grote, krachtige server, maar uit een wolk van losse onderdelen. Je hebt een "rekenmachine" (de processor) hier, en een "grote bibliotheek" (het geheugen) daar. Ze zijn verbonden via een supersnel netwerk, genaamd CXL. Dit is geweldig omdat je zo heel veel mensen kunt laten delen in die grote bibliotheek zonder dat ze allemaal hun eigen boeken hoeven te kopen.

Maar er zit een groot probleem in dit idee: Veiligheid.

Het Probleem: De "Sledgehammer" (De Sloopkogel)

Op dit moment werkt de beveiliging in deze gedeelde bibliotheek als een sloopkogel.

• Als een bedrijf (een "host") toestemming krijgt om de bibliotheek te gebruiken, mag iedereen in dat bedrijf bij alle boeken.
• Het maakt niet uit of je een gewone medewerker bent of de directeur. Als je bij het bedrijf hoort, mag je bij alles.
• Dit is gevaarlijk. Als een hacker de computer van dat bedrijf overneemt, kan hij alle geheime data van alle andere bedrijven in die bibliotheek stelen.

De huidige technologie heeft geen manier om te zeggen: "Jij mag alleen bij jouw eigen boeken, en jij mag niet bij die van je buurman, zelfs als jullie in hetzelfde gebouw zitten."

De Oplossing: Space-Control

De auteurs van dit paper hebben een nieuwe uitvinding bedacht: Space-Control. Ze noemen het zo omdat het de ruimte (het geheugen) controleert.

Stel je voor dat de bibliotheek een gigantisch, beveiligd hotel is.

• De oude manier: Als je het hotel binnenkomt, mag je naar elke kamer op elke verdieping.
• De Space-Control manier: Iedere gast krijgt een magische sleutel die alleen op hun eigen kamer past. Zelfs als de hotelmanager (het besturingssysteem) gek is geworden of wordt gehackt, werkt die magische sleutel nog steeds. De deur gaat alleen open als de sleutel past.

Hoe werkt het? (De Magie in drie stappen)

1. De Magische Sleutel (SPACE):
   Elke computer in het netwerk heeft een klein, onzichtbaar beveiligingschipje (een hardware-module). Dit chipje kijkt niet naar wie de "manager" zegt dat je bent, maar naar wie je echt bent. Het controleert je identiteit direct in de hardware. Als je een proces (een programma) start, krijgt het een unieke, onvervalsbare code.

2. De Beveiligde Poort (Permission Checker):
   Voordat er ook maar één stukje data uit de bibliotheek wordt gehaald, moet het door een poortwachter. Deze poortwachter zit direct bij de processor.

   • Hij vraagt: "Wie ben je?"
   • Hij kijkt in een lijst: "Mag deze persoon bij dit specifieke stukje geheugen?"
   • Als het antwoord "nee" is, wordt de deur direct dichtgegooid. Geen data gaat eruit.

3. De Slimme Lijst (Permission Table):
   Er is een centrale lijst die bijhoudt wie wat mag. Maar deze lijst is slim ontworpen. In plaats van een enorme, zware lijst die de hele computer langzaam maakt, gebruiken ze een kleine, snelle cache (een soort snelkoppeling). Hierdoor is het controleren van de sleutel bijna net zo snel als het openen van een deur zonder controle.

Waarom is dit zo speciaal?

• Onafhankelijk van de Manager: Zelfs als het besturingssysteem (Windows, Linux, etc.) wordt gehackt of gekaapt, werkt Space-Control nog steeds. De hardware doet de controle, niet de software.
• Schaalbaar: Het werkt voor honderden computers tegelijk, zonder dat het systeem traag wordt.
• Efficiënt: Het kost heel weinig extra ruimte (slechts 1,56% van het geheugen) en vertraagt de computer nauwelijks (slechts 3,3% langzamer).

De Analogie: De Gedeelde Kantoorvloer

Stel je een grote kantoorvloer voor waar verschillende bedrijven werken.

• Vroeger: Als je een badge had voor het gebouw, kon je naar elke afdeling, elke kast en elk bureau lopen. Als een inbreker een badge stal, kon hij alles stelen.
• Met Space-Control: Iedere medewerker heeft een badge die alleen op hun eigen bureaulade past. De deuren naar de gangen zijn beveiligd met scanners die direct controleren of de badge past bij de lade. Zelfs als de beveiligingsdienst (het besturingssysteem) wordt omgekocht, kunnen de scanners niet worden bedrogen. Ze werken op een ander niveau.

Conclusie

Space-Control is de oplossing om de toekomst van gedeeld computergeheugen veilig te maken. Het zorgt ervoor dat je data privé blijft, zelfs als je die deelt met duizenden anderen in de cloud. Het combineert de snelheid van hardware met slimme software, zodat we veilig kunnen samenwerken zonder dat we bang hoeven te zijn voor hackers of gekke managers.

Kortom: Het maakt het delen van geheugen veilig, snel en betrouwbaar, alsof je je eigen persoonlijke kluis hebt, zelfs als je die deelt met de hele wereld.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Space-Control: Process-Level Isolation for Sharing CXL-based Disaggregated Memory" in het Nederlands.

1. Probleemdefinitie en Context

Met de opkomst van Compute Express Link (CXL) wordt het mogelijk om geheugen te disaggregeren, waarbij rekenkracht en geheugen worden ontkoppeld en via een high-speed fabric worden verbonden. Dit verbetert de resource-utilisatie voor data-intensieve werklasten.

Echter, er ontstaat een kritieke beveiligingskloof:

• Huidige situatie: CXL biedt isolatie op host-niveau (eenmaal een host is geautoriseerd, hebben alle processen op die host toegang tot het gedeelde geheugen). Het besturingssysteem (OS) zorgt voor isolatie op proces-niveau binnen een enkele host.
• Het probleem: In een gedeeld, gedisaggregeerd geheugen (Shared Disaggregated Memory - SDM) ontbreekt proces-niveau isolatie tussen hosts. Als een host is geautoriseerd, kan elk proces op die host (inclusief kwaadaardige of gecompromitteerde processen) het geheugen van andere hosts bereiken.
• Risico: Dit schendt het principe van "least privilege". Als de kernel van een host wordt gecompromitteerd, kan een aanvaller toegang krijgen tot gevoelige data van andere hosts, omdat er geen cross-host proces-isolatie bestaat. Bestaande oplossingen zoals Trusted Execution Environments (TEEs) zijn niet geschikt omdat ze geheugendeling tussen enclaves niet ondersteunen of te veel overhead veroorzaken.

2. Methodologie: Space-Control

Space-Control is een hardware-software co-design dat fijne-granulariteit isolatie op proces-niveau biedt voor gedeeld gedisaggregeerd geheugen, zonder afhankelijk te zijn van het OS.

Kerncomponenten

1. Secure Process Attribute Context Engine (SPACE):
   • Een lichtgewicht hardwaremodule die de uitvoeringscontext van een proces authenticatieert.
   • Het gebruikt een hardware-gebaseerde identiteit bestaande uit een HWPID (Hardware Process ID, vervangt de OS PID) en een pointer naar de basis van de paginatabel (BASE_P, bijv. CR3).
   • Het genereert cryptografische labels om de context te verifiëren en zorgt ervoor dat alleen geverifieerde contexten toegang krijgen tot SDM.
2. Permission Table (Toegangstabel):
   • Een array in het SDM zelf die toewijzingen van fysieke adressen (PA) koppelt aan geautoriseerde contexten (HWPID + Host ID).
   • De tabel is gesorteerd op startadres om zoekopdrachten te optimaliseren.
   • Alleen de Fabric Manager (FM) (een vertrouwde entiteit) kan deze tabel schrijven en beheren.
3. Permission Checker:
   • Een on-chip hardware-eenheid geplaatst na de laatste cache (LLC) en voor de DRAM-controller/CXL-poort.
   • Het valideert elke Load/Store (LD/ST) instructie. Het controleert of het proces de juiste "authenticatiebits" (A-bits) heeft en of de toegang wordt toegestaan volgens de Permission Table.
   • Het blokkeert ongeautoriseerde toegang direct.

Werkwijze

• Authenticatie: Bij een contextswitch genereert SPACE een lokaal label ($L_{host}$) gebaseerd op de huidige procescontext. Dit wordt vergeleken met een publiek label ($L_{exp}$) dat door de FM is gegenereerd en in de Permission Table staat.
• Tagging: Als authenticatie slaagt, worden de geheugenverzoeken van dat proces getagd met een HWPID (in de "Authenticatiebits" van het fysieke adres).
• Validatie: De Permission Checker controleert bij elk SDM-toegangspunt of de getagde HWPID overeenkomt met een geldig vermelding in de Permission Table voor dat specifieke adresbereik.
• Vertrouwdheid: Het OS wordt als onbetrouwbaar beschouwd. Als het OS probeert de paginatabel te manipuleren, zal de SPACE-module de authenticatie mislukken en de toegang weigeren.

3. Belangrijkste Bijdragen

1. Identificatie van de Isolatiekloof: Het paper benadrukt dat bestaande systemen geen proces-niveau isolatie bieden voor gedeeld gedisaggregeerd geheugen, wat een groot veiligheidsrisico vormt bij gecompromitteerde kernels.
2. Space-Control Architectuur: Een nieuw systeem dat hardware-afgedwongen isolatie biedt, zelfs als het OS is gecompromitteerd. Dit omvat de SPACE-module, een Permission Table en een Permission Checker.
3. Efficiënt Metadata-Beheer: In plaats van een naïve aanpak die 200% overhead zou kosten (door metadata per host en per proces voor elke pagina), gebruikt Space-Control een co-ontworpen methode die de overhead beperkt tot 1,56% van het totale geheugen.
4. Compatibiliteit: Het ontwerp is compatibel met bestaande virtuele geheugeninfrastructuur en CXL-implementaties, zonder ingrijpende ISA- (Instruction Set Architecture) of compiler-wijzigingen.

4. Resultaten en Evaluatie

De evaluatie is uitgevoerd met een gem5 + SST-simulatieomgeving, gebruikmakend van de GAPBS-benchmark (Graph Analytics for Big Data) met verschillende kernels (BFS, BC, PR, TC).

• Performance Overhead:
  • In een ideale situatie (weinig fragmentatie) is de overhead minimaal.
  • Zelfs in het ergste geval (maximale fragmentatie van de toegangslijst) bedraagt de performance-overhead slechts 3,3% vergeleken met een baseline CXL-systeem zonder isolatie.
  • De overhead wordt voornamelijk veroorzaakt door wachttijden (stalls) terwijl de permission checks worden uitgevoerd.
• Opslag Overhead:
  • De metadata-overhead is vast op 1,56% van de totale geheugencapaciteit (bij 255 hosts en 127 processen per host). Dit is een drastische verbetering ten opzichte van eerdere benaderingen (bijv. 200% voor naïeve tabellen of 12,5% voor CHERI-achtige systemen).
• Caching:
  • Door een kleine Permission Cache (bijv. 2 KiB) toe te voegen, kunnen zoekopdrachten worden geamortiseerd, wat de prestaties verder verbetert en de overhead verlaagt.
• Vergelijking:
  • Space-Control presteert aanzienlijk beter dan alternatieven zoals DeACT (32% langzamer in de vergelijking) en Mondrian (4,3x sneller), terwijl het een vergelijkbare of lagere metadata-ruimte vereist.

5. Betekenis en Conclusie

Space-Control lost een fundamenteel beveiligingsprobleem op in de opkomende wereld van CXL-gebaseerd gedisaggregeerd geheugen. Het stelt organisaties in staat om geheugen veilig te delen tussen meerdere hosts en processen zonder te vertrouwen op het besturingssysteem.

• Onafhankelijkheid van het OS: Het systeem blijft veilig zelfs als de kernel van een host wordt gemanipuleerd.
• Schaalbaarheid: Het ontwerp schaalbaar tot honderden hosts en duizenden processen met minimale overhead.
• Praktische toepasbaarheid: Met een lage performance-penalty (3,3%) en een beheersbare opslagkosten (1,56%) maakt Space-Control veilige, gedeelde geheugenuitbreidingen praktisch haalbaar voor data-intensieve toepassingen zoals grafische analyse en machine learning.

Kortom, Space-Control biedt de ontbrekende schakel voor veilige, fijne-granulariteit isolatie in de volgende generatie cloud- en HPC-architecturen.