Pré-allocation des ressources

YS::Desktop : Élimination des vecteurs d'attaque par canaux latéraux.

Le problème avec les solutions actuelles : Les canaux auxiliaire

Les principales plateformes de virtualisation allouent dynamiquement les ressources CPU et mémoire aux VM en fonction de la demande en temps réel. Cette technique est présentée comme un gage d’efficacité. Cette allocation dynamique génère une surcharge à chaque réallocation, nuit à la prévisibilité des performances et introduit des signaux temporels que les attaquants pourraient exploiter lors d’une attaque par canaux latéraux, pour casser l’isolation des VM.

Approche traditionnelle : lallocation dynamique

Analyse

VM1

VM2

VM3

VM4

Emplacement libre

Les ressources se déplacent dynamiquement

Surface d'attaque

YS::Desktop :
pas de réallocation dynamique, pas de signaux exploitables

Les cœurs CPU et la mémoire sont attribués à chaque VM avant l’exécution. La répartition des ressources reste fixe, empêchant toute réallocation dynamique susceptible d’être exploitée. Ce choix d’architecture offre à la fois une sécurité renforcée et des gains de performance mesurables grâce une gestion simplifiée des ressources et une allocation mémoire contiguë.

YS::Desktop: Préallocation

Analyse impossible

VM1

VM2

VM3

VM4

VM1

VM2

VM3

VM4

Emplacement libre

Aucune fluctuation de ressources exploitable

Les allocations fixes éliminent les signaux temporels et de cache sur lesquels s'appuient les attaques par canaux latéraux. Pas de réallocation dynamique, pas de signaux exploitables.

Temps de réponse constants sur toutes les VM

Moins de surcharge sur la gestion mémoire, c’est plus de ressources disponibles pour vos workloads. Peu importe ce qui tourne sur les autres VM, vos performances restent stables.

Cœurs CPU dédiés

YS::Desktop empêche
‍vla compromission de l'hyperviseur par les VM.

Le problème avec les solutions actuelles : Des coeurs partagés qui exposent l'hyperviseur.

Les architectures de virtualisation conventionnelles exécutent généralement les processus de l'hyperviseur et des VM sur des cœurs de CPU partagés, risquant des fuites de données via les informations résiduelles du cache et du prédicteur de branche. Cela crée les conditions propices à l'évasion de VM (attaques inter-VM et VM vers hyperviseur).

‍Coeurs

Partagés

Shared VM architecture – traditional VDI shared resource model

YS::Desktop :
L'hyperviseur et les VM ne partagent jamais les ressources CPU

La plateforme assigne les tâches de l'hyperviseur et les workloads des VM à des cœurs CPU physiquement séparés, garantissant une isolation matérielle dédiée. Des cœurs CPU exclusivement dédiés à un seul processus ne nécessitent pas de purges fréquentes, ce qui préserve le temps de traitement. De plus, l'hyperviseur peut traiter les requêtes hypercall en parallèle, au fur et à mesure qu'elles sont émises par les VM, améliorant significativement la latence et la réactivité du système.

Coeurs

Dédiés

Isolation au niveau matériel

Cœurs de CPU avec des hiérarchies de cache isolées, dédiés uniquement aux processus de l'hyperviseur ou des VM. Aucune contamination croisée.

Purge des états CPU entre VM

Vidage complet des registres CPU, des caches et des états internes entre les commutations de VMs, éliminant toute fuite de données résiduelles.

Latence réduite

Les cœurs de l'hyperviseur restent en permanence prêts à traiter les tâches, améliorant significativement la réactivité du système.

Surcharge d'ordonnancement réduite

Les cœurs dédiés éliminent le besoin de réordonnancement fréquent du CPU entre les tâches de l'hyperviseur et des VM. Moins de changements de contexte, c'est moins de surcharge et un débit plus prévisible.

Avantages supplémentaires

Protection des données en transit :
chiffrement et routage intelligent

Au-delà de ces deux principaux atouts architecturaux, YS::Desktop dispose de fonctionnalités supplémentaires qui renforcent l'isolation et optimisent la sécurité des données sans dégrader les performances.

Chiffrement Cde l'hyperviseur

Sécuriser vos données. Sans compromis sur les performances.

YS::Desktop chiffre les données dès qu'elles quittent le CPU pour aller vers la RAM ou le stockage, en utilisant l’hyperviseur comme centre de contrôle plutôt qu’en s’appuyant sur chaque VM individuellement.

Cela garantit que les informations sensibles restent totalement opaques pour l'OS hôte et les autres charges de travail, tout en préservant une performance native pour les développeurs et les utilisateurs avancés.

VM container with hypervisor encryption layer

Isolation au niveau de l'hyperviseur

Le traitement cryptographique est isolé du système d'exploitation invité (OS Guest), ce qui réduit l'exposition aux attaques et aux logiciels malveillants. Le chiffrement des données au niveau de l'hyperviseur protège toutes les VM manière cohérente sans dégrader l'expérience utilisateur.

92 % des performances natives maintenues

Cette approche préserve la vitesse du système, évitant ainsi les baisses de performances courantes observées dans les solutions de chiffrement.

Routage intelligent R

La sécurité là où elle est cruciale. La performance là où elle fait la différence.

Direct memory access – no shared resources between VMs

Exposition directe au matériel. GPU et périphériques USB locaux.

La couche de virtualisation mappe directement la mémoire des périphériques dans l'espace d'adressage de la VM. Aucun traitement intermédiaire, performances optimales préservées.

Secure data exchange – no cross-VM transfer icon

Mode tampon d'échange
SSD et communications réseau

Des zones tampon en RAM captent les données avant qu'elles n'atteignent le périphérique physique. Un chiffrement robuste et des opérations de sécurité supplémentaires sont appliqués avant que les données ne quittent l'environnement sécurisé.