Post on 04-Jul-2015
description
Segurança na Migração de Virtual Machines
Mestrado em Ciência da Computação
Sistemas Distribuídos
Bruno Felipe
Roteiro
• O que é Live Migration;
• Motivação (segurança);
• Segurança na migração;
• Planos para melhoria da segurança;
• Quem suporta Live Migration;
• Conclusão;
• Referências;
2
Live Migration, o que é?
• É uma maneira de fornecer ao administrador do servidor à funcionalidade de mover uma máquina virtual entre diferentes máquinas físicas, sem desconectar o cliente ou aplicação.
3
Motivação (segurança)
• Muitas informações sensíveis podem está passando na rede durante a migração;
• Dados extremamente voláteis;
• Integridade dos dados e da VM;
4
Segurança no Live Migration
• O principal ponto a considerar é:
Durante uma Live Migration todo o estado de uma VM é posto na rede, facilitando assim um ataque àquela rede.
• Alguém espionando a rede em que acontece a migração pode ter acesso direto às informações, sem ter que passar por um sistema de autenticação ou mesmo um hypervisior da VMalvo.
5
Segurança no Live Migration (cont.)
• Alguém que consegue se infiltrar na rede, pode ter um acesso fácil a todo o estado da máquina virtual incluindo o kernel do sistema operacional bem como aplicativos e serviços sendo executados no momento. Isto tudo se o plano de dados for inseguro ou sem nenhum tipo de autenticação.
• Análise dos aspectos de segurança na LiveMigration ainda é uma área bem pobre em pesquisas.
6
Planos para Melhoria da Segurança
• Mesmo com pouca pesquisa na área, grande esforço foi feito para mostrar que é importante a segurança no processo de LiveMigration.
• As ameaças foram classificadas em três classes, chamadas: Plano de controle, plano de dados e módulo de ameaças de migração.
7
Plano de Controle
• Um invasor pode controlar uma VM para inicializar uma migração, não necessariamente uma Live Migration.
• Consequências:
– Pode manipular guest VM’s para serem migradas a máquina do invasor;
– Pode migrar um conjunto de guest VM’s para uma VM verdadeira, causando assim uma sobrecarga e até mesmo negação do serviço (DoS).
8
Plano de Dados
• Os dados que passam através de uma rede onde ocorrem uma migração deve ser segura e protegida contra ataques.
• Consequências:
– Acesso a dados sensíveis;
– Integridade dos dados;
9
Módulos de ameaças de migração
• O componente da VM que implementa a funcionalidade da migração deve ser bastante protegido e flexível a ataques. Se houver vulnerabilidades neste componente o invasor pode ganhar controle total sobre a VM e qualquer guest VM’s.
10
Migração
11
Buraco na segurança
Quem suporta Live Migration?
• Virtuozzo• Xen• OpenVZ• Workload Partitions• Integrity Virtual Machines• KVM• Oracle VM• POWER Hypervisor (PHYP)• VMware ESX• IBM VPAR with special migrator• Hyper-V Server 2008 R2• VirtualBox
12
Conclusão
• As ameaças descritas aqui, devem ser tratadas em diferentes níveis de segurança, além disso como propõe um autor: autenticação tanto na máquina solicitante quanto na receptora. Políticas de acesso também devem ser levadas em consideração.
• Precisa-se de muita pesquisa.
13
Referências
• Survey of Virtual Machine MigrationTechniques, Dept. of Computer Science, University of California, Santa Barbara 2009;
14
Dúvidas
?
15