Documente Academic
Documente Profesional
Documente Cultură
Aspecte Privind Securitatea Virtualizarii in Mediile Cloud
Aspecte Privind Securitatea Virtualizarii in Mediile Cloud
1. Introducere
Cloud computing este din punct de vedere tehnic o multitudine de resurse
computaionale virtuale sau maini virtuale. Ma inile virtuale sunt cele care execut un
anumit numr de instane pentru sisteme de operare izolate (guest OS) pe o singur
main fizic (host OS). Hypervisor reprezint interfa a dintre ma ina fizic gazd i
sistemul de operare guest. Hypervisor-ul este cel care aloc resurse guest OS-ului prin
intermediul dispozitivelor hardware virtuale(memory,CPU)
n funcie de arhitectura computaional, virtualizarea poate fi de mai multe tipuri:
- Virtualizare de aplicaie: Java virtual machine sau Dalvik virtual machine;
- Virtualizare de sistem de operare: Virtual Box, Xen, KVM;
- Virtualizare complete, folosit strict n mediile cloud;
Studiile recente ilustreaz c numrul celor mai cunoscute hypervisoare folosite n
centre de date este n continu cretere utilizarea hipervisoarelor devenind un standard.
VMware este cel mai cunoscut i folosit ca Hypervisor primar (52%), urmat de Xen cu
18% and KVM cu 9%.
Odata cu creterea n popularitate a tehnologiei de virtualizare, problemele de
securitate au crescut de asemenea. Totui prin utilizarea hypervisoarelor au aprut i
anumite ameninri asupra securitii nefamiliare, precum kernle level rootkit, malware
care se rspndesc n timpul migrrii mainilor virtuale.
Lucrarea de fa ncearc s prezinte informa iile necesare n elegerii termenilor de
virtualizare i cloud i o mai bun cunoatere a securit ii specifice Hypervisoarelor.
Lucrarea se structureaz dup cum urmeaz:
Arhitectura Cloud n partea 2.
Arhitectura virtualizrii n partea 3.
Securitatea specific virtualizrii n partea 4.
Securitatea Hypervisoarelor n partea 5.
Atacuri asupra Hypervisoarelor n partea 6.
( Towards a Hypervisor Security-based Service and its Research Challenges)
2. Arhitectura Cloud
Cloud Computing este un concept modern, reprezentnd acele resurse
computaionale configurabile la cerere i distribuite ca diferite servicii prin intermediul
internetului. (Ex: servere, stocare de date, aplicaii i servicii), care pot fi puse rapid la
dispoziie cu eforturi minime de management i interven ie din partea clientului i a
furnizorului. Accesul se poate face de oriunde, convenabil, fr ca utilizatorul s aib
nevoie s tie configuraia sistemelor care furnizeaz aceste servicii. Mai simplu spus,
aplicaiile i datele ruleaz i sunt stocate n alt parte dect pe serverele i sta iile
utilizatorului, acesta accesndu-le de la distan (pe Internet, dar nu neaprat).
Tipuri de Cloud
Cloud privat - descrie o infrastructur IT, prevzut pentru utilizarea exclusiv de ctre
o singur organizaie care cuprinde mai mul i consumatori (Ex: business units).
Infrastructura IT se afl la sediul organiza iei sau gestionarea acesteia este externalizat
la un ter (on-premises sau off-premises). Un cloud privat poate fi comparat cu un centru
de date convenional - diferena fiind c solu iile tehnologice sunt puse n aplicare Pagin
5 din 41 pentru a optimiza utilizarea resurselor disponibile i de a spori aceste resurse prin
investiii mici, care sunt fcute ntr-un mod treptat n timp.
Cloud public - este o infrastructur de inut, administrat i operat de ctre un
furnizor de servicii specializat, organiza ie comercial, academic, guvernamental sau o
combinaie a acestora. Serviciile pot fi accesate prin intermediul internetului, iar furnizorul
de servicii are un rol esenial n ceea ce prive te protec ia eficient a datelor angajate n
sistemele sale.
Cloud de comunitate este o infrastructur de tip cloud prevzut pentru utilizarea
exclusiv de ctre o comunitate specific de consumatori din organiza ii care au
preocupri sau interese comune (de exemplu coli, cercettori, dezvoltatori de software).
Aceasta poate fi deinut, administrat i operat de ctre una sau mai multe dintre
organizaiile din comunitate, o ter parte sau o combinaie a acestora i poate exista fizic
n interiorul sau n afara organizaiei.
Cloud Hybrid, aa-numitul "cloud intermediar", descrie o infrastructur de tip cloud ca o
combinaie de dou sau mai multe infrastructuri Cloud distincte (Cloud de comunitate,
privat sau public), care rmn entiti unice, dar sunt legate mpreun de o tehnologie
proprietar sau standardizat, care permite portabilitatea datelor i aplica iilor la cerere
(un exemplu de utilizare este echilibrarea utilizrii resurselor n cazul vrfurilor de
solicitare).
Servicii de tip Cloud
n funcie de cerinele utilizatorilor, exist mai multe solu ii de cloud computing
disponibile pe pia, acestea pot fi grupate n trei categorii principale sau "modele de
servicii". Aceste modele se aplic, de obicei, la ambele solu ii cloud privat i public:
3. Arhitectura virtualizrii
Virtualizarea este o tehnologie prin care se cre te eficien a serviciilor computa ionale
oferite n termeni de performan, mentenan i cost. n primul rnd, prin virtualizare
reducem componentele hardware necesare pentru operarea unor servicii care ruleaz pe
un numr mai mare de platforme hardware diferite. Avnd control asupra resurselor fizice,
virtualizare se poate folosi i pentru a rula n paralel diferite servicii pe aceea i platform
hardware. Permite, de exemplu, rularea simultan a mai multor sisteme de operare pe
sistemul fizic gazd.
n acest fel, resursele pot fi utilizate mai eficient i utilizatorii i pot reduce semnificativ
costurile n ce privete serviciile computaionale. Din acest motiv, virtualizarea are un rol
important in tehnologia cloud, care permite clien ilor s nchirieze online resurse
computaionale cu diferite scopuri.
n timp ce avantajele virtualizrii sunt foarte clare pentru to i, trebuie avut n vedere i
faptul c apar i numeroase probleme privind securitatea. Unele dintre ele sunt regsite i
n mediile computaionale tradiionale, dar trebuie studiate cu o aten ie special n mediile
virtuale, n schimb unele sunt specifice virtualizrii i prin urmare necesit o abordare
nou. Un astfel de exemplu este multitenancy, care permite un flux de informa ii crossplatform ntre clieni ce utilizeaz maini virtuale pe aceea i platform host ntr-un IaaS.
Un alt tip de problem de securitate apare cnd adversarul are dreptul de a executa
arbitrar secvene de cod, fie local sau prin reea, fr a avea drepturile de acces necesare.
Exist dou tipuri de virtualizri specifice tehnologiei cloud, i anume:
virtualizarea complet: presupune instalarea complet a unei ma ini i rularea
acesteia pe o alta main;
paravirtualizare: permite unui numr mare de OSs modificate s ruleze pe un
singur hardware n acelasi timp, utiliznd mult mai eficient resursele.
Diferena major dintre cele dou este aceea c n virtualizarea complet ntregul
sistem trebuie sa fie emulat (BIOS, drive...), iar n paravirtualizare OSs a fost modificat s
lucreze mai eficient cu hypervisorul.
Paravirtualizarea ruleaz mult mai bine pentru c implic mai pu ine elemente ce
trebuie emulate. De asemenea permite o mai bun scalare deoarece o instan guest
solicit mai putin timp procesorul, astfel este posibil gzduirea mai multor OSs.
Utilizarea paravirtualizrii reduce flexibilitatea, deoarece un OSs trebuie modificat
corespunztor pentru a funciona, ceea ce nseamn c un nou OSs va necesita ceva
timp nainte de a fi compatibil pentru acest tip de virtualizare. De asemenea, mai este si
un impact crescut de securitate din moment ce OSs modificat are un control mai mare
asupra hardware-ului, influennd astfel alte sisteme virtualizate si gazda OS.
Definirea unor termeni
Host - Un host este o platform virtual care utilizeaz un soft hypervisor. Cele mai
comune platforme de host includ VMware ESXi, Microsoft Hyper-V, Citrix XenServer, Red
Hat, KVM i altele.
Toate sistemele virtuale ruleaz pe aceste platforme host hypervisor.
Client virtual, main virtual, VM, sistem client - Un client virtual, numit main
virtual (VM), este orice sistem ce ruleaz ntr-un mediu virtual.
Hypervisorul este principala component a unei platforme virtuale de tip server. Cunoscut
i ca monitor pentru maini virtuale (VMM), hypervisorul este centrul nervos al unei
infrastructuri virtuale. Acesta administreaz resurselor hardware interne i gestioneaz
toate cererile initiate de sistemele de operare (OS) i aplica ii pentru CPU, Memorie, I/O,
si disk.
Xen
Uni of Cambridge
Full-Virt and
Para-Virt
Linux (few)
Windows, Linux & Solaris
Optional
Yes
x86, x86-64, IA-64
KVM
Qumranet
Full-Virt
Linux
All OS
Required
Yes
x86, x86-64,IA64,PPC
sigur, i devine foarte uor pentru cineva s fure o VM (aceasta fiind doar un simplu
fiier pe disk).
Identitatea Practic identificarea mainilor, prin adresa MAC sau numele
posesorului, nu funcioneaz n virtualizare. Este foarte greu de stabilit posesorul
sau responsabilul pentru o main virtual ntr-un mediu dinamic virtualizat.
Durata de via a datelor OSs guest pot avea anumite cerin e de securitate
privind durata de via a datelor care sunt invalidate de mecanismele de reluare a
instruciunilor i nregistrrilor efectuate de VMM;
5. Securitatea Hypervisoarelor
Un hypervisor are vizibilitate i control asupra mainilor virtuale, de i este izolat de
acestea, formnd o baz sigur pentru serviciile de securitate.
Un aspect interesant al arhitecturii de securitate bazat pe virtualizare este acela c
poate asigura servicii de securitate la sisteme guest nemodificate. Mai multe ma ini
virtuale sunt asociate ntr-un mediu cloud virtualizat i din punct de vedere al securit ii,
aceste maini virtuale au propriile zone de securitate ce nu pot fi accesate de alte ma ini
virtuale.
Aceasta poate deveni o vulnerabilitate pentru hypervisor atunci cnd atacatorul
reuete s preia controlul hypervisorului.
Virtual escaping este o alt metod prin care se poate prelua controlul hypervisorului
de la nivelul unei maini virtuale.
Puncte forte pentru sistemele bazate pe hypervisor
Hipervisorul este un sistem de management central al resurselor de virtualizare, i n
plus poate asigura securitatea sistemului cloud. Deci pentru a implementa API sigure,
hypervisorul este cea mai bun platform n sistemele cloud, din urmtoarele motive:
1. Hypervisorul se afl deasupra nivelului hardware n schema ierarhic a sistemului
coud. Doar prin intermediul hypervisorului se poate accesa sistemul fizic, deci baza
securitii n sistemele cloud este la nivelul hypervisorului.
2. Hypervisorul fiind o interfa, poate lua rol de firewall i s fie capabil sa previn
aciuni suspicioase ale utilizatorului.
3. Hypervisorul separ OS guest de Os host i partea hardware fizic, deci dac un
atac pentreaz securitatea OS-ului guest, hypervisorul o monitorizeaz.
4. Hypervisorul poate monitoriza traficul de re ea ntr-un mediu cloud fiind un controler
ntre Os guest i partea hardware distribuit.
Vulnerabiliti ale sistemelor bazate pe hypervisor:
1. O singur defeciune este o problem vital ntr-un sistem bazat pe hypervisor
deoarece un singur sistem hardware controleaz resursele hardware partajate n
mediul cloud.
Cauzele defeciunilor pot fi diverse atacuri (rootkit,DDos, Flooding attack etc.) sau
suprasolicitarea hypervisorului care afecteaz VMs i componentele hardware
partajate.
2. Hypervisorul este supus mai multor riscuri de securitate provenite din wrapping
attacks, prin care se execut o copie a utilizatorului i a parolei ntre browser i
server-ul cloud.
Concluzii
Prima parte prezint principalele principii ce stau la baza virtualizrii n mediile
cloud i caracteristicile principale ale hypervisoarelor KVM i Xen.
Am prezentat vulnerabiliti ale sistemului virtual n mediile cloud, ce pot fi exploate cu
scopul de a executa diferite atacuri.
Elementul principal al tehnologiei de virtualizare este hypervisorul sau VMM, care
este responsabil sa asigure izolarea ntre guest VMS i ntre VMs i host. Este capabil s
monitorizeze i s gestioneze mainile virtuale, alocnd resursele necesare ma inilor
virtuale guest i s asigure buna funcionare a mediului virtual.
Prin urmare, ntreaga securitate a mediului virtual depinde n principal de nivelul de
protecie al hypervisorului. Au fost descrie principalele vulnerabilit i ale sistemului virtual
n mediile cloud, ce pot fi exploatate cu scopul de a executa diferite atacuri.
Security
Components
Safeguards
Integrity
Availability
Confidentiality
Authentication
Authorization
Authentication
Authorization
Accountability
Authentication
Authorization
Referine
1. Virtualization Security Protecting Virtualized Environments - Dave
Shackleford, 2013.
2. Security and Privacy in Cloud Computing - Zhifeng Xiao and Yang Xiao, 2012.
3. Towards a Hypervisor Security-based Service and its Research Challenges Tanu Shree, Mukesh Kumar, Neelender Badal, International Journal of Computer
Applications - 2015.
4. State-of-the-Art of Virtualization, its Security Threats and Deployment Models
- Fatma Bazargan, Chan Yeob Yeun, Mohamed Jamal Zemerly, International
Journal for Information Security Research -2012.
5. Characterizing Hypervisor Vulnerabilities in Cloud Computing Servers - Diego
Perez-Botero, Jakub Szefer and Ruby B. Lee, Proceedings of the Workshop on
Security in Cloud Computing (SCC) 2012.