Cloud computing: Gestione dell'attendibilità nei datacenter virtuali
All'interno dell'architettura virtuale, esistono delle considerazioni speciali per la protezione dei sistemi e per la creazione di un datacenter organizzato.
Kai Hwang, Jack Dongarra, Geoffrey Fox
Adattato da "Distribuito e Cloud Computing: da Parallel Processing a the Internet of Things" (Syngress, un'impronta di Elsevier)
L'architettura del virtuale e cloud computing solleva alcune preoccupazioni uniche quando si tratta di controllo di sicurezza e di accesso. Un virtual machine manager (VMM) cambia l'intera immagine di architettura di computer. Fornisce un livello del software tra l'OS e sistema hardware per creare una o più macchine virtuali (VM) su una singola piattaforma fisica.
Una macchina virtuale interamente incapsula lo stato dell'ospite OS è di hosting. È possibile copiare e condividere uno stato macchina incapsulati nella rete e rimuoverlo come un normale file. Questo pone un intero strato di ulteriori sfide alla sicurezza VM.
In generale, un VMM può fornire isolamento sicuro. Una VM accede a risorse hardware tramite il controllo di VMM, quindi VMM è la base di sicurezza per un sistema virtuale. Normalmente, una VM è considerata come una gestione VM privilegi di controllo quali la creazione, sospendere, riprendere o l'eliminazione di una macchina virtuale.
Una volta che un hacker entra con successo il VMM o gestione VM, l'intero sistema è in pericolo. Un problema più sottile si pone nei protocolli che si basano sulla "freschezza" della loro fonte di numero casuale per la generazione di chiavi di sessione. Considerando come funziona una VM, rollback a un punto dopo che è stato scelto un numero casuale, ma prima è stato utilizzato, riprende l'esecuzione. Il numero casuale, che deve essere "fresco" per motivi di sicurezza, quindi viene riutilizzato.
Con un cifrario a flusso, due diversi testi di pianura potrebbe essere crittografate sotto lo stesso flusso di chiave. Questo potrebbe, a sua volta, esporre entrambi i testi plain, se hanno sufficiente ridondanza. Protocolli crittografici non che si basano sulla freschezza sono a rischio. Ad esempio, il riutilizzo di numeri di sequenza iniziale TCP può elevare la probabilità e la gravità del TCP dirottamento attacchi.
VM-Based Intrusion Detection
Un'intrusione è un accesso non autorizzato a un certo computer da locale o gli utenti della rete. Rilevamento delle intrusioni è usato per riconoscere qualsiasi accesso non autorizzato. Un sistema di rilevamento delle intrusioni (IDS) è costruito sul sistema operativo e si basa sulle caratteristiche delle azioni di intrusione.
Un tipico IDS può essere classificato come un basati su host IDS (HIDS) o un basati sulla rete IDS (NIDS), a seconda di origine dati. È possibile implementare un HIDS sul sistema monitorato. Quando il sistema monitorato è attaccato dagli hacker, il HIDS affronta anche il rischio di attacco. Un NIDS è basato sul flusso del traffico di rete che non è possibile rilevare le azioni false.
Rilevamento delle intrusioni basati sulla virtualizzazione possibile isolare VMs ospite della stessa piattaforma hardware. Anche alcune macchine virtuali sono soggette all'invasione di successo, ma non influenzano mai altre macchine virtuali. Questo è simile al modo in cui un NIDS opera. Inoltre, un VMM monitora e audit delle richieste di accesso per l'hardware e il sistema software, che può evitare azioni false. Un VMM ha pertanto alcune qualità simile a un HIDS.
Ci sono due metodi diversi per l'implementazione di un IDS basati su VM:
- Gli ID è un processo indipendente in ogni VM o una macchina virtuale con privilegi elevati su VMM.
- Gli ID è integrato in VMM e ha gli stessi privilegi di accesso hardware come VMM.
Gli ID di VM contiene un motore di politica e un modulo di policy. Il quadro politico può monitorare eventi in ospite di diverse macchine virtuali tramite la libreria di interfaccia OS. PTrace indica la traccia per garantire la politica dell'host monitorati. È difficile prevedere e prevenire le intrusioni tutti senza indugio. Pertanto, un'analisi dell'azione intrusione seguendo l'intrusione è estremamente importante.
La maggior parte dei sistemi informatici utilizzano i registri per analizzare le azioni di attacco, ma è difficile garantire la credibilità e l'integrità di un log. Il servizio di log IDS è basato sul kernel di sistema operativo. Così, quando un OS è invaso da aggressori, il servizio Registro deve essere inalterato.
Oltre all'utilizzo di un ID conclamata, troverete anche honeypots e Honeynet comunemente usato in rilevamento delle intrusioni. Essi attraggono e fornire una vista di sistema falso per gli attaccanti, al fine di proteggere il sistema reale. Puoi anche analizzare l'attacco in seguito e utilizzare tale conoscenza per costruire un IDS più sicuro.
Un honeypot è un sistema volutamente difettoso che simula un OS per imbrogliare e monitorare le azioni di un utente malintenzionato. È possibile dividere un honeypot in forme fisiche e virtuali. Un ospite OS e le applicazioni in esecuzione su di esso costituiscano una VM. L'host OS e VMM deve essere garantita per prevenire attacchi da VM in un honeypot virtuale.
Zone attendibili
È possibile utilizzare soluzioni di settore per costruire middleware di sicurezza per la gestione di trust in sistemi distribuiti e nuvole privati. Il concetto di zone di fiducia è stato fondato come parte dell'infrastruttura virtuale (vedere Figura 1).
.jpg)
Figura 1 la funzione e l'interazione delle zone attendibili.
Creare zone di fiducia per il cluster virtuali (più applicazioni e sistemi operativi per ogni inquilino) provisioning in ambienti virtuali separati. L'infrastruttura fisica è mostrato in basso ed è contrassegnato come fornitore di una nube. Il cluster virtuali o infrastrutture sono mostrate nelle caselle superiore per due inquilini. La nube pubblica è associata con la comunità di utenti globali nella parte superiore.
Le caselle segnalato con frecce a sinistra e breve descrizione tra le frecce e le caselle di zonizzazione sono funzioni di sicurezza e le azioni intraprese a quattro livelli da parte degli utenti ai fornitori. Piccoli cerchi tra le quattro caselle si riferiscono alle interazioni tra utenti e fornitori e tra gli utenti stessi. Le caselle segnalato con frecce a destra sono le funzioni e le azioni applicate tra gli ambienti dell'inquilino, il provider e le comunità globale.
Quasi tutte le contromisure disponibile — antivirus, worm contenimento, antintrusione, meccanismi di cifratura e decifratura — vengono applicati qui per isolare le zone attendibili e isolare VMs per gli inquilini privati.
La principale innovazione qui è di stabilire le zone di fiducia tra i cluster virtuale. Il risultato finale è una vista to-end di eventi di protezione e conformità attraverso i cluster virtuali dedicati agli inquilini diversi.
.jpg)
.jpg)
.jpg)
**Kai Hwang**è un professore di ingegneria informatica per la University of Southern California e un professore di sedia visita per Tsinghua University, China. Ha conseguito un Ph.d. in CEC dall'Università della California a Berkeley. Ha pubblicato estesamente in architettura di computer, digitale aritmetica, parallelo di elaborazione, sistemi distribuiti, Internet security e il cloud computing.
**Jack Dongarra**è un'università distinto professore di ingegneria elettrica e informatica per l'Università del Tennessee, una personale ricerca distinto Oak Ridge National Laboratory e girando Fellow presso l'Università di Manchester. Dongarra sperimentato le aree del benchmark di supercomputer, analisi numerica, solutori di algebra lineare e high-performance computing e ha pubblicato estesamente in questi settori.
**Geoffrey Fox**è un distinto professore di informatica, informatica e fisica e Associate Dean of Graduate studies e ricerca nella scuola di informatica e Computing all'Università dell'Indiana. Ha conseguito il pH.d. dall'Università di Cambridge, U.K. Fox è ben noto per il suo lavoro completa e vasta pubblicazioni in architettura parallela, la programmazione distribuita, grid computing, servizi web e applicazioni Internet.
© 2011 Elsevier Inc. Tutti i diritti riservati. Stampato con il permesso di Syngress, un'impronta di Elsevier. Copyright 2011. "Distribuiti e il Cloud Computing: da parallelo di elaborazione a Internet delle cose" da Kai Hwang, Jack Dongarra, Geoffrey Fox. Per ulteriori informazioni su questo titolo e di altri libri simili, si prega di visitare elsevierdirect.com.