Computação em nuvem: Gerenciamento de confiança em data centers virtuais
Na arquitetura virtual, há algumas considerações especiais para proteger seus sistemas e estabelecer um data center organizado.
Kai Hwang, Jack Dongarra, Geoffrey Fox
Adaptado de "Distribuído e Cloud Computing: de paralelo processamento para o Internet das coisas" (Syngress, um selo da Elsevier)
A arquitetura do virtual e cloud computing levanta algumas preocupações exclusivas quando se trata de segurança e controle de acesso. Uma virtual machine manager (VMM) muda a imagem inteira de arquitetura de computadores. Ele fornece uma camada de software entre o sistema operacional e sistema de hardware para criar uma ou mais máquinas virtuais (VMs) em uma única plataforma física.
Uma VM totalmente encapsula o estado do sistema operacional que está hospedando o convidado. Você pode copiar e compartilhar um estado máquina encapsulado na rede e removê-lo como um arquivo normal. Isto coloca uma camada inteira de desafios adicionais para segurança VM.
Em geral, um VMM pode fornecer isolamento seguro. Uma VM acessa recursos de hardware por meio do controle do VMM, portanto o VMM é a base da segurança de um sistema virtual. Normalmente, uma VM é tomada como um gerenciamento VM para privilégios de controle, como criar, suspender, retomar ou eliminar uma VM.
Uma vez que um hacker insere com êxito o VMM ou gestão VM, está em perigo todo o sistema. Surge um problema mais sutil em protocolos que contam com a "frescura" de sua fonte número aleatório para gerar as chaves de sessão. Considerar como funciona uma VM, revertendo para um ponto depois que foi escolhido um número aleatório, mas antes ele tem sido usado, continua a execução. O número aleatório, que deve ser "fresco" por motivos de segurança, então é reutilizado.
Com uma cifra de fluxo, dois textos sem formatação diferentes podem ser criptografados sob o mesmo fluxo de chave. Isso poderia, por sua vez, expor ambos os textos sem formatação se eles têm redundância suficiente. Protocolos não-criptográfico que dependem de frescor também estão em risco. Por exemplo, a reutilização de números de sequência inicial do TCP pode aumentar a probabilidade e gravidade dos ataques de seqüestro de TCP.
Detecção de intrusões baseada em VM
Uma intrusão é um acesso não autorizado a um determinado computador do local ou os usuários da rede. Detecção de intrusão é usada para reconhecer qualquer acesso não autorizado. Um sistema de detecção de intrusão (IDS) baseia-se no sistema operacional e baseia-se nas características das acções de intrusão.
Um típico IDS podem ser classificados como um IDS baseados em host (HIDS) ou um network-based IDS (NIDS), dependendo da fonte de dados. Você pode implementar um HIDS no sistema monitorado. Quando o sistema monitorado é atacado por hackers, o HIDS também enfrenta o risco de ataque. Um NIDS baseia-se no fluxo de tráfego de rede que não é possível detectar ações falsas.
Detecção de intrusões baseada em virtualização pode isolar VMs convidadas na mesma plataforma de hardware. Até mesmo alguns VMs estão sujeitos a invasão bem-sucedida, mas eles nunca influenciam outras VMs. Isso é semelhante à maneira em que um NIDS Opera. Além disso, um VMM monitora e audita pedidos de acesso de hardware e sistema de software, que pode evitar ações falsas. Um VMM, portanto, tem algumas qualidades semelhantes a um HIDS.
Existem dois métodos diferentes para implementar um IDS baseado no VM:
- Os IDS é um processo independente em cada VM ou uma VM alto privilégio sobre o VMM.
- Os IDS é integrar o VMM e tem os mesmos privilégios de acesso de hardware como o VMM.
As Identificações de VM contém um mecanismo de política e um módulo de política. O quadro político pode monitorar eventos em VMs convidadas diferentes por meio da biblioteca de interface do sistema operacional. PTrace indica rastreamento para proteger a política do host monitorado. É difícil prever e evitar todas as intrusões sem demora. Portanto, uma análise da ação de intrusão após a invasão é extremamente importante.
A maioria dos sistemas de computador usar logs para analisar ações de ataque, mas é difícil assegurar a integridade e a credibilidade de um log. O serviço de registro do IDS é baseado sobre o kernel do sistema operacional. Assim, quando um sistema operacional é invadido pelos invasores, o serviço de log deve ser afetado.
Além de usar um full-blown IDS, você também encontrará honeypots e honeynets comumente usado na detecção de intrusão. Eles atraem e fornecem uma visão de sistema falso para os invasores para proteger o sistema real. Você também pode analisar o ataque depois e usar esse conhecimento para construir um IDS mais seguro.
Um honeypot é um sistema propositadamente defeituoso que simula um sistema operacional para enganar e acompanhar as acções do atacante. Você pode dividir um honeypot em formas físicas e virtuais. Um sistema operacional convidado e os aplicativos em execução constituem uma VM. O host de sistema operacional e VMM devem ser garantida para impedir ataques de VM em um honeypot virtual.
Zonas confiáveis
Você pode usar soluções do setor para construir middleware de segurança para gerenciamento de confiança em sistemas distribuídos e nuvens particulares. O conceito de zonas de confiança foi estabelecido como parte da infra-estrutura virtual (ver Figura 1).
.jpg)
Figura 1 A função e a interação de zonas confiáveis.
Crie zonas confiáveis para clusters virtuais (vários aplicativos e sistemas operacionais para cada inquilino) provisionados em ambientes virtuais separadas. A infra-estrutura física é mostrada na parte inferior e é marcada como um provedor de nuvem. Os clusters virtuais ou infra-estruturas são mostradas nas caixas superiores para os dois inquilinos. A nuvem pública está associada com as comunidades de usuário global no topo.
As caixas de setas à esquerda e a breve descrição entre caixas de zoneamento e as setas são funções de segurança e ações realizadas em quatro níveis de usuários para os provedores. Os pequenos círculos entre as quatro caixas de referir-se às interações entre utilizadores e fornecedores e entre os próprios usuários. As caixas de setas à direita são funções e ações aplicadas entre os ambientes de inquilino, o provedor e as comunidades globais.
Quase todas as contramedidas disponíveis — antivírus, worm confinamento, detecção de intrusão, mecanismos de criptografia e descriptografia — são aplicados aqui para isolar as zonas confiáveis e isolar VMs para locatários privados.
A principal novidade aqui é estabelecer as zonas de confiança entre os clusters virtuais. O resultado final é um modo de exibição de ponta a ponta de eventos de segurança e conformidade entre os clusters virtuais dedicados aos arrendatários diferentes.
.jpg)
.jpg)
.jpg)
**Kai Hwang**é um Professor de engenharia de computação para a Universidade do Sul da Califórnia e Professor Visitante cadeira para a Universidade de Tsinghua, China. Ele obteve um pH.d. na CEC da Universidade da Califórnia em Berkeley. Ele publicou extensivamente na arquitetura de computador, digital aritmética, paralelo processamento, sistemas distribuídos, segurança de Internet e computação em nuvem.
**Jack Dongarra**é uma Universidade Distinguished Professor of Electrical Engineering and Computer Science para a Universidade do Tennessee, uma equipa de investigação distinto no laboratório nacional Oak Ridge e transformando Fellow da Universidade de Manchester. Dongarra foi o pioneiro as áreas de benchmarks supercomputador, análise numérica, álgebra linear solvers e computação de alto desempenho e publicou extensivamente nestas áreas.
**Geoffrey Fox**é um distinto Professor de informática, computação e física e associar Dean de graduação de estudos e investigação na escola de informática e computação na Universidade de Indiana. Ele recebeu seu Ph.d. da Universidade de Cambridge, Reino Unido. Fox é bem conhecido por seu trabalho abrangente e extensas publicações em arquitetura paralela, programação distribuída, computação em grade, serviços da web e aplicativos da Internet.
© 2011 Elsevier Inc. Todos os direitos reservados. Impresso com permissão da Syngress, um selo da Elsevier. Copyright 2011. "Distribuído e computação em nuvem: de processamento para a Internet das coisas paralelo" por Kai Hwang, Jack Dongarra, Geoffrey Fox. Para obter mais informações sobre este título e outros livros similares, por favor visite elsevierdirect.com.