Cloud-Computing: Vertrauensstellungsverwaltung in virtuellen Datencentern
Im Rahmen einer virtuellen Architektur gibt es einige besondere Überlegungen im Zusammenhang mit der Sicherheit Ihrer Systeme und der Einrichtung eines organisierten Datencenters.
Kai Hwang, Jack Dongarra, Geoffrey Fox
Adaptiert von "Verteilt und Cloud Computing: von parallele Verarbeitung, das Internet der Dinge" (Syngress, ein Abdruck von Elsevier)
Die Architektur des virtuellen und Cloud computing-einige einzigartigen Bedenken löst, wenn es darum geht, Sicherheit und Zutrittskontrolle. Ein Virtual Machine Manager (VMM) ändert sich das gesamte Bild der Computerarchitektur. Es bietet eine Softwareschicht zwischen die OS und System Hardware um einen oder mehrere virtuelle Maschinen (VMs) auf einer einzigen physischen Plattform zu erstellen.
Eine VM kapselt vollständig den Zustand des Gastes OS, dessen Host er ist. Sie können kopieren und Zustand einen gekapselten Maschine über das Netzwerk zu teilen und es wie eine normale Datei zu entfernen. Dies wirft eine ganze Schicht zusätzliche Herausforderungen für die VM-Sicherheit.
Im Allgemeinen bieten eine VMM sichere Isolierung. Eine VM greift auf Hardware-Ressourcen durch die Steuerung von VMM, damit VMM die Basis der Sicherheit für ein virtuelles System ist. Normalerweise wird eine VM als ein Management VM Steuerelement Berechtigungen wie z. B. erstellen, anhalten, fortsetzen oder Löschen einer VM übernommen.
Wenn ein Hacker erfolgreich die VMM oder Verwaltung VM eingibt, wird das gesamte System gefährdet. Ein subtiler Problem entsteht in den Protokollen, die auf die "frische" über ihre zufällige Anzahl Quellcode für Sitzungsschlüssel generieren. Wenn man bedenkt, wie ein virtueller Computer funktioniert, setzt Rollback bis zu einem Punkt, nachdem eine zufällige Zahl gewählt wurde, aber bevor es verwendet wurde, die Ausführung. Die Zufallszahl, die "frische" aus Sicherheitsgründen werden müssen, wird dann wiederverwendet.
Mit eine lineare Chiffre könnten zwei verschiedener Plain Texte unter den gleichen Schlüssel-Stream verschlüsselt werden. Dies könnte wiederum beide Texte nur verfügbar, wenn sie ausreichende Redundanz haben. Non-kryptographische Protokolle, die auf frische sind auch gefährdet. Die Wiederverwendung von TCP-Initialsequenznummern kann zum Beispiel die Wahrscheinlichkeit und die Schwere der TCP Entführung Angriffe erhöhen.
VM-Based Intrusion Detection
Ein Eingriff ist ein nicht autorisierter Zugriff auf einem bestimmten Computer von der lokalen oder Netzwerk-Benutzer. Einbruchserkennung wird verwendet, um unerlaubten Zugriff erkennen. Ein Intrusion Detection System (IDS) basiert auf dem Betriebssystem und ist basierend auf den Merkmalen der Eindringen Aktionen.
Eine typische IDS können als eine Host-basierte IDS (HIDS) oder eine netzwerkbasierte IDS (NIDS), abhängig von der Datenquelle klassifiziert werden. Sie können eine HIDS auf dem überwachten System implementieren. Wenn das überwachte System von Hackern angegriffen wird, steht die HIDS auch das Risiko eines Angriffs. Ein NIDS basiert auf den Fluss des Netzwerkverkehrs, die gefälschte Aktionen erkennen kann.
Virtualisierungsbasierte Einbruchserkennung kann Gastcomputern auf der gleichen Hardwareplattform isolieren. Sogar einige VMs unterliegen erfolgreiche Invasion, aber sie nie beeinflussen andere VMs. Dies ist vergleichbar mit der Art und Weise, in der ein NIDS tätig ist. Darüber hinaus ein VMM überwacht und audits Zugriffsanforderungen für Hardware und Software, die gefälschte Handlungen vermeiden können. Ein VMM hat daher einige ähnlichen Eigenschaften eines HIDS.
Es gibt zwei verschiedene Methoden für die Implementierung eines VM-basierten IDS:
- Das IDS ist ein unabhängiger Prozeß in jede VM oder einer hohen Privilegien VM auf dem VMM.
- Die IDS ist in VMM integriert und hat dieselben Zugriffsberechtigungen zu Hardware als VMM.
Die VM-basierten IDS enthält einen Policy-Engine und ein Richtlinienmodul. Der politische Rahmen kann Ereignisse in verschiedenen Gastcomputern durch die Schnittstellenbibliothek OS überwachen. PTrace gibt Ablaufverfolgung, die Politik des überwachten Hosts zu sichern. Es ist schwierig, vorherzusagen und zu verhindern, dass alle Angriffe unverzüglich. Aus diesem Grund ist eine Analyse der Eindringen Aktion nach das Eindringen äußerst wichtig.
Die meisten Computersysteme verwenden Protokolle, um Angriff Aktionen zu analysieren, aber es ist schwer, ein Protokoll Glaubwürdigkeit und Integrität zu gewährleisten. Der Protokolldienst IDS basiert auf dem Betriebssystem-Kernel. So, wenn ein OS von Angreifern eingedrungen ist, sollte der Protokolldienst unberührt.
Neben der Verwendung eines ausgewachsenen IDS, finden Sie auch Honeypots und Honeynets Einbruchserkennung verwendet. Sie gewinnen und bieten Blick auf gefälschte System für Angreifer um das reale System zu schützen. Sie können auch den Angriff danach analysieren und dieses Wissen nutzen, um eine sicherere IDS erstellen.
Ein Honeypot ist eine absichtlich fehlerhafte System, die simuliert ein OS zu betrügen und ein Angreifer Aktionen überwachen. Sie können ein Honeypot in physischen und virtuellen Formulare unterteilen. Gast-Betriebssystem und die Anwendungen, die auf dar eine virtuellen Maschine. Der Host OS und VMM gewährleistet sein, muss um von der VM in ein virtuelles Honeypot Angriffe zu verhindern.
Vertrauenswürdige Zonen
Industrielösungen können Sie um Sicherheit Middleware für Vertrauensverwaltung in verteilten Systemen und private Wolken zu bauen. Das Konzept der vertrauenswürdigen Zonen wurde als Teil der virtuellen Infrastruktur gegründet (siehe Abbildung 1).
.jpg)
Abbildung 1 die Funktion und die Interaktion der vertrauenswürdigen Zonen.
Erstellen von vertrauenswürdige Zonen für die virtuellen Clustern (mehrere Anwendungen und Betriebssysteme für jeden Mieter) in separaten virtuellen Umgebungen bereitgestellt. Die physische Infrastruktur ist unten dargestellt, und als einer Wolke Anbieter gekennzeichnet ist. Die virtuellen Clustern oder Infrastrukturen sind für die zwei Mieter in den oberen Feldern angezeigt. Die öffentliche Wolke ist verbunden mit der globalen User-Communities an der Spitze.
Die als Felder auf der linken Seite und die kurze Beschreibung zwischen den Pfeilen und den Zoning-Kästchen sind Sicherheitsfunktionen und Maßnahmen auf die vier Ebenen von den Benutzern an die Anbieter. Die kleinen Kreise zwischen den vier Feldern finden Sie unter Interaktionen zwischen Nutzern und Anbietern und unter den Nutzern selbst. Die als Felder auf der rechten Seite sind Funktionen und Aktionen zwischen den Mieter Umgebungen, dem Anbieter und der globalen Gemeinschaften angewendet.
Fast alle verfügbaren Gegenmaßnahmen — Antivirus, Wurm Eindämmung, Einbruchserkennung, Verschlüsselung und Entschlüsselung Mechanismen — hier zum Isolieren der vertrauenswürdigen Zones und Isolieren von VMs für private Mieter angewendet werden.
Hier die wichtigste Neuerung ist die vertrauenswürdige Zonen unter den virtuellen Clustern herstellen. Das Endergebnis ist eine End-to-End-Ansicht von Sicherheitsereignissen und Compliance über die virtuellen Clustern, die auf verschiedene Mieter gewidmet.
.jpg)
.jpg)
.jpg)
**Kai Hwang**ist ein Professor der Informatik für die University of Southern California und ein Besuch Lehrstuhl Professor für Tsinghua University, China. Er besitzt einen Ph.d. in Elektrotechnik von der University of California in Berkeley. Er veröffentlichte ausgiebig in Rechnerarchitektur, digitale arithmetischen, parallele Verarbeitung, verteilte Systeme, Internetsicherheit und cloud computing.
**Jack Dongarra**ist ein University Distinguished Professor für Elektrotechnik und Informatik für die University of Tennessee, ein Distinguished Research Staff am Oak Ridge National Laboratory und drehen Fellow an der University of Manchester. Dongarra Pionierarbeit Bereich Supercomputer Benchmarks, Numerik, lineare Algebra-Gleichungslöser und High Performance computing und umfassend in diesen Bereichen veröffentlicht.
**Geoffrey Fox**ist ein Distinguished Professor für Informatik, Computing und Physics and Associate Dean Graduate Studium und Forschung in der Schule für Informatik und Computing an der Indiana University. Er erhielt seinen Ph.d. von der Universität Cambridge, u.k. Fox ist bekannt für seine umfangreiche Arbeit und zahlreichen Veröffentlichungen in parallelen Architektur, verteilten Programmierung, Grid-computing, Webservices und Internet-Anwendungen.
© 2011 Elsevier Inc. Alle Rechte vorbehalten. Gedruckt mit freundlicher Genehmigung von Syngress, ein Abdruck von Elsevier. Copyright 2011. "Verteilt und Cloud Computing: von Parallelverarbeitung auf das Internet der Dinge" von Kai Hwang, Jack Dongarra, Geoffrey Fox. Weitere Informationen zu diesem Titel und andere ähnliche Bücher besuchen Sie bitte elsevierdirect.com.