HARDWARE-BASED VIRTUALIZED SECURITY ISOLATION

A host operating system running on a computing device monitors network communications for the computing device to identify network resources that are requested by the computing device. The host operating system compares requested network resources against security policies to determine if the requested network resources are trusted. When an untrusted network resource is identified, the host operating system accesses the untrusted network resource within a container that is isolated from the host operating system kernel using techniques discussed herein. By restricting access to untrusted network resources to isolated containers, the host operating system is protected from even kernel-level attacks or infections that may result from an untrusted network resource. L'invention concerne un système d'exploitation hôte fonctionnant sur un dispositif informatique qui surveille des communications réseau pour le dispositif informatique afin d'identifier les ressources de réseau demandées par le dispositif informatique. Le système d'exploitation hôte compare les ressources de réseau demandées à des politiques de sécurité afin de déterminer si les ressources de réseau demandées sont sécurisées. Lorsqu'une ressource de réseau non sécurisée est identifiée, le système d'exploitation hôte accède à la ressource de réseau non sécurisée à l'intérieur d'un conteneur isolé du noyau du système d'exploitation hôte à l'aide des techniques de la présente invention. Par la limitation de l'accès à des ressources de réseau non sécurisées à des conteneurs isolés, le système d'exploitation hôte est protégé contre des attaques ou des infections de niveau noyau pair qui peuvent être provoquées par une ressource de réseau non sécurisée.