Segurança na Migração de Virtual Machines

Mestrado em Ciência da Computação

Sistemas Distribuídos

Bruno Felipe

Roteiro

• O que é Live Migration;

• Motivação (segurança);

• Segurança na migração;

• Planos para melhoria da segurança;

• Quem suporta Live Migration;

• Conclusão;

• Referências;

2

Live Migration, o que é?

• É uma maneira de fornecer ao administrador do servidor à funcionalidade de mover uma máquina virtual entre diferentes máquinas físicas, sem desconectar o cliente ou aplicação.

3

Motivação (segurança)

• Muitas informações sensíveis podem está passando na rede durante a migração;

• Dados extremamente voláteis;

• Integridade dos dados e da VM;

4

Segurança no Live Migration

• O principal ponto a considerar é:

Durante uma Live Migration todo o estado de uma VM é posto na rede, facilitando assim um ataque àquela rede.

• Alguém espionando a rede em que acontece a migração pode ter acesso direto às informações, sem ter que passar por um sistema de autenticação ou mesmo um hypervisior da VMalvo.

5

Segurança no Live Migration (cont.)

• Alguém que consegue se infiltrar na rede, pode ter um acesso fácil a todo o estado da máquina virtual incluindo o kernel do sistema operacional bem como aplicativos e serviços sendo executados no momento. Isto tudo se o plano de dados for inseguro ou sem nenhum tipo de autenticação.

• Análise dos aspectos de segurança na LiveMigration ainda é uma área bem pobre em pesquisas.

6

Planos para Melhoria da Segurança

• Mesmo com pouca pesquisa na área, grande esforço foi feito para mostrar que é importante a segurança no processo de LiveMigration.

• As ameaças foram classificadas em três classes, chamadas: Plano de controle, plano de dados e módulo de ameaças de migração.

7

Plano de Controle

• Um invasor pode controlar uma VM para inicializar uma migração, não necessariamente uma Live Migration.

• Consequências:

– Pode manipular guest VM’s para serem migradas a máquina do invasor;

– Pode migrar um conjunto de guest VM’s para uma VM verdadeira, causando assim uma sobrecarga e até mesmo negação do serviço (DoS).

8

Plano de Dados

• Os dados que passam através de uma rede onde ocorrem uma migração deve ser segura e protegida contra ataques.

• Consequências:

– Acesso a dados sensíveis;

– Integridade dos dados;

9

Módulos de ameaças de migração

• O componente da VM que implementa a funcionalidade da migração deve ser bastante protegido e flexível a ataques. Se houver vulnerabilidades neste componente o invasor pode ganhar controle total sobre a VM e qualquer guest VM’s.

10

Migração

11

Buraco na segurança

Quem suporta Live Migration?

• Virtuozzo• Xen• OpenVZ• Workload Partitions• Integrity Virtual Machines• KVM• Oracle VM• POWER Hypervisor (PHYP)• VMware ESX• IBM VPAR with special migrator• Hyper-V Server 2008 R2• VirtualBox

12

Conclusão

• As ameaças descritas aqui, devem ser tratadas em diferentes níveis de segurança, além disso como propõe um autor: autenticação tanto na máquina solicitante quanto na receptora. Políticas de acesso também devem ser levadas em consideração.

• Precisa-se de muita pesquisa.

13

Referências

• Survey of Virtual Machine MigrationTechniques, Dept. of Computer Science, University of California, Santa Barbara 2009;

14

Dúvidas

?

15