Aspecte privind securitatea virtualizrii n mediile cloud

Iovia Adrian Vasile

1. Introducere
Cloud computing este din punct de vedere tehnic o multitudine de resurse
computaionale virtuale sau maini virtuale. Ma inile virtuale sunt cele care execut un
anumit numr de instane pentru sisteme de operare izolate (guest OS) pe o singur
main fizic (host OS). Hypervisor reprezint interfa a dintre ma ina fizic gazd i
sistemul de operare guest. Hypervisor-ul este cel care aloc resurse guest OS-ului prin
intermediul dispozitivelor hardware virtuale(memory,CPU)
n funcie de arhitectura computaional, virtualizarea poate fi de mai multe tipuri:
- Virtualizare de aplicaie: Java virtual machine sau Dalvik virtual machine;
- Virtualizare de sistem de operare: Virtual Box, Xen, KVM;
- Virtualizare complete, folosit strict n mediile cloud;
Studiile recente ilustreaz c numrul celor mai cunoscute hypervisoare folosite n
centre de date este n continu cretere utilizarea hipervisoarelor devenind un standard.
VMware este cel mai cunoscut i folosit ca Hypervisor primar (52%), urmat de Xen cu
18% and KVM cu 9%.
Odata cu creterea n popularitate a tehnologiei de virtualizare, problemele de
securitate au crescut de asemenea. Totui prin utilizarea hypervisoarelor au aprut i
anumite ameninri asupra securitii nefamiliare, precum kernle level rootkit, malware
care se rspndesc n timpul migrrii mainilor virtuale.
Lucrarea de fa ncearc s prezinte informa iile necesare n elegerii termenilor de
virtualizare i cloud i o mai bun cunoatere a securit ii specifice Hypervisoarelor.
Lucrarea se structureaz dup cum urmeaz:
Arhitectura Cloud n partea 2.
Arhitectura virtualizrii n partea 3.
Securitatea specific virtualizrii n partea 4.
Securitatea Hypervisoarelor n partea 5.
Atacuri asupra Hypervisoarelor n partea 6.
( Towards a Hypervisor Security-based Service and its Research Challenges)

2. Arhitectura Cloud
Cloud Computing este un concept modern, reprezentnd acele resurse
computaionale configurabile la cerere i distribuite ca diferite servicii prin intermediul
internetului. (Ex: servere, stocare de date, aplicaii i servicii), care pot fi puse rapid la
dispoziie cu eforturi minime de management i interven ie din partea clientului i a
furnizorului. Accesul se poate face de oriunde, convenabil, fr ca utilizatorul s aib
nevoie s tie configuraia sistemelor care furnizeaz aceste servicii. Mai simplu spus,

aplicaiile i datele ruleaz i sunt stocate n alt parte dect pe serverele i sta iile
utilizatorului, acesta accesndu-le de la distan (pe Internet, dar nu neaprat).

Fig. 1 Cloud computing

Tipuri de Cloud
Cloud privat - descrie o infrastructur IT, prevzut pentru utilizarea exclusiv de ctre
o singur organizaie care cuprinde mai mul i consumatori (Ex: business units).
Infrastructura IT se afl la sediul organiza iei sau gestionarea acesteia este externalizat
la un ter (on-premises sau off-premises). Un cloud privat poate fi comparat cu un centru
de date convenional - diferena fiind c solu iile tehnologice sunt puse n aplicare Pagin
5 din 41 pentru a optimiza utilizarea resurselor disponibile i de a spori aceste resurse prin
investiii mici, care sunt fcute ntr-un mod treptat n timp.
Cloud public - este o infrastructur de inut, administrat i operat de ctre un
furnizor de servicii specializat, organiza ie comercial, academic, guvernamental sau o
combinaie a acestora. Serviciile pot fi accesate prin intermediul internetului, iar furnizorul
de servicii are un rol esenial n ceea ce prive te protec ia eficient a datelor angajate n
sistemele sale.
Cloud de comunitate este o infrastructur de tip cloud prevzut pentru utilizarea
exclusiv de ctre o comunitate specific de consumatori din organiza ii care au
preocupri sau interese comune (de exemplu coli, cercettori, dezvoltatori de software).
Aceasta poate fi deinut, administrat i operat de ctre una sau mai multe dintre
organizaiile din comunitate, o ter parte sau o combinaie a acestora i poate exista fizic
n interiorul sau n afara organizaiei.
Cloud Hybrid, aa-numitul "cloud intermediar", descrie o infrastructur de tip cloud ca o
combinaie de dou sau mai multe infrastructuri Cloud distincte (Cloud de comunitate,
privat sau public), care rmn entiti unice, dar sunt legate mpreun de o tehnologie
proprietar sau standardizat, care permite portabilitatea datelor i aplica iilor la cerere
(un exemplu de utilizare este echilibrarea utilizrii resurselor n cazul vrfurilor de
solicitare).
Servicii de tip Cloud
n funcie de cerinele utilizatorilor, exist mai multe solu ii de cloud computing
disponibile pe pia, acestea pot fi grupate n trei categorii principale sau "modele de
servicii". Aceste modele se aplic, de obicei, la ambele solu ii cloud privat i public:

IaaS (Infrastructure as a Service): un furnizor nchiriaz o infrastructur

tehnologic, adic servere virtuale la distan , care pot nlocui sistemele IT de la
sediul companiei sau pot fi folosite alturi de sistemele existente. Astfel de furnizori
sunt de obicei juctorii de pe piaa de specialitate i se bazeaz de fapt pe o
infrastructur fizic complex care se ntinde n mai multe zone geografice.
- SaaS (Software as a Service): un furnizor ofer prin intermediul de servicii web,
diverse aplicaii i le pune la dispoziia utilizatorilor finali. Aceste servicii sunt
adesea menite s nlocuiasc aplicaii conven ionale instalate de utilizatori pe
sistemele lor locale. Acesta este cazul de exemplu al aplica iilor tipice de birou
bazate pe web, cum ar fi foi de calcul, instrumente de procesare de text, registre
computerizate i agende, calendare partajate, po t electronic, etc.
- PaaS (Platform as a Service): un furnizor ofer solu ii de dezvoltare avansat i
gzduire de aplicaii. Aceste servicii sunt de obicei adresate companiilor pentru a
dezvolta i gzdui soluii proprietare pe baz de cerere pentru a satisface cerin ele
interne i / sau pentru a oferi servicii ctre ter i.
La fel, serviciile livrate de un furnizor de PaaS fac inutil pentru utilizator necesitatea
de hardware sau software suplimentar specific, la nivel intern.
IaaS include ntreaga stiv de resurse de infrastructur i facilit i (energie electrica, solu ii
de rcire, etc.) pentru platformele hardware gzduite. Aceasta include capacitatea de a
abstractiva (sau nu) resursele, precum i de a livra conectivitate fizic i logic a acestor
resurse. n cele din urm, IaaS ofer un set de APIuri care permit forme de management
i alte tipuri de interaciune cu infrastructura pentru consumatori.
PaaS se afl deasupra IaaS i adaug un nivel suplimentar de integrare cu frameworkurile de dezvoltare de aplicaii, capabiliti de middleware, i func ii, cum ar fi baze de
date, stive de interogri, care permit dezvoltatorilor s construiasc aplica ii, i ale cror
limbaje de programare i instrumente sunt suportate.
SaaS la rndul su, este construit pe IaaS i PaaS i ofer un mediu de operare de
sine stttor folosit pentru a furniza ntreaga experien a utilizatorului, inclusiv con inutul,
prezentarea, cererea i capabiliti de management.
Fig. 2 ilustreaz arhitectura general a unei platforme cloud.

Fig. 2 Arhitectura tehnologiei cloud

3. Arhitectura virtualizrii
Virtualizarea este o tehnologie prin care se cre te eficien a serviciilor computa ionale
oferite n termeni de performan, mentenan i cost. n primul rnd, prin virtualizare
reducem componentele hardware necesare pentru operarea unor servicii care ruleaz pe
un numr mai mare de platforme hardware diferite. Avnd control asupra resurselor fizice,
virtualizare se poate folosi i pentru a rula n paralel diferite servicii pe aceea i platform
hardware. Permite, de exemplu, rularea simultan a mai multor sisteme de operare pe
sistemul fizic gazd.
n acest fel, resursele pot fi utilizate mai eficient i utilizatorii i pot reduce semnificativ
costurile n ce privete serviciile computaionale. Din acest motiv, virtualizarea are un rol
important in tehnologia cloud, care permite clien ilor s nchirieze online resurse
computaionale cu diferite scopuri.
n timp ce avantajele virtualizrii sunt foarte clare pentru to i, trebuie avut n vedere i
faptul c apar i numeroase probleme privind securitatea. Unele dintre ele sunt regsite i
n mediile computaionale tradiionale, dar trebuie studiate cu o aten ie special n mediile
virtuale, n schimb unele sunt specifice virtualizrii i prin urmare necesit o abordare
nou. Un astfel de exemplu este multitenancy, care permite un flux de informa ii crossplatform ntre clieni ce utilizeaz maini virtuale pe aceea i platform host ntr-un IaaS.
Un alt tip de problem de securitate apare cnd adversarul are dreptul de a executa
arbitrar secvene de cod, fie local sau prin reea, fr a avea drepturile de acces necesare.
Exist dou tipuri de virtualizri specifice tehnologiei cloud, i anume:
virtualizarea complet: presupune instalarea complet a unei ma ini i rularea
acesteia pe o alta main;
paravirtualizare: permite unui numr mare de OSs modificate s ruleze pe un
singur hardware n acelasi timp, utiliznd mult mai eficient resursele.
Diferena major dintre cele dou este aceea c n virtualizarea complet ntregul
sistem trebuie sa fie emulat (BIOS, drive...), iar n paravirtualizare OSs a fost modificat s
lucreze mai eficient cu hypervisorul.
Paravirtualizarea ruleaz mult mai bine pentru c implic mai pu ine elemente ce
trebuie emulate. De asemenea permite o mai bun scalare deoarece o instan guest
solicit mai putin timp procesorul, astfel este posibil gzduirea mai multor OSs.
Utilizarea paravirtualizrii reduce flexibilitatea, deoarece un OSs trebuie modificat
corespunztor pentru a funciona, ceea ce nseamn c un nou OSs va necesita ceva
timp nainte de a fi compatibil pentru acest tip de virtualizare. De asemenea, mai este si
un impact crescut de securitate din moment ce OSs modificat are un control mai mare
asupra hardware-ului, influennd astfel alte sisteme virtualizate si gazda OS.
Definirea unor termeni
Host - Un host este o platform virtual care utilizeaz un soft hypervisor. Cele mai
comune platforme de host includ VMware ESXi, Microsoft Hyper-V, Citrix XenServer, Red
Hat, KVM i altele.
Toate sistemele virtuale ruleaz pe aceste platforme host hypervisor.
Client virtual, main virtual, VM, sistem client - Un client virtual, numit main
virtual (VM), este orice sistem ce ruleaz ntr-un mediu virtual.
Hypervisorul este principala component a unei platforme virtuale de tip server. Cunoscut
i ca monitor pentru maini virtuale (VMM), hypervisorul este centrul nervos al unei
infrastructuri virtuale. Acesta administreaz resurselor hardware interne i gestioneaz
toate cererile initiate de sistemele de operare (OS) i aplica ii pentru CPU, Memorie, I/O,
si disk.

Avem dou tipuri de hipervisor:

Tip I hypervisor(bare metal) conine propriul system de operare i de obicei este
instalata pe un host hardware. VM ruleaz deasupra nivelului hardware, permi nd
izolarea mai complet prin intermediul hypervisorulu. Un exemplu de hypervisor este
VMwares ESXi. Un exemplu de hypervisor este artat n figura 3.

Fig. 3 Type I hypervisor

Tip II hypervisors(hosted) - sunt aplicaii deja instalate pe o platform cu sistem de
operare, aa cum este artat n figura 4, i poate pune la dispozi ie drivere din sistemul de
operare pentru a gestiona Input/Output (I/O). Rezultnd un system VMM care nu are
necesit drivere hardware specifice pentru opera iunile VMM I /O, i permite utilizarea de
maini virtuale ntr-un mediu existent . Un exemplu de TIPUL II hypervisor Este VMware
Workstation .

Fig. 4 Type II hypervisor

Pentru a nelege hypervisorul i problemele de securitate implicate trebuie n eles
conceptul modurilor de operare i a nivelurilor cu drepturi de acces pentru arhitectura CPU
x86.
Sunt dou moduri de operare modul real i modul protejat. Toate procesoarele
moderne x86 booteaz n modul real pentru o compatibilitate mai bun, dar capabilit ile
procesoarelor actuale pot rula n modul protejat.
Niveluri cu drepturi de acces pentru a n elege acest concept; s ne imaginm un set
ce cercuri concentrice, unde cel din centru este cel mai aproape de partea hardware (Fig.
5). Inelul central, Ring 0, deine cele mai multe drepturi;aplica iile ce ruleaz pe acest nivel
au acces total la partea hardware. Celelalte inele sunt etichetate Ring 1 pn la ring 3.
n multe sisteme moderne, ring 0 este cunoscut ca modul Supervisor i toate func iile
specifice OS au loc aici. Funciile de tip aplica ie ruleaz la nivelul ring 3, numit i modul
Utilizator.

Fig. 5 Nivelurile cu drepturi de acces (rings) (High privilege:0;Low privilege:3)

Tipul I de hypervisor este integrat cu platforma de operare, i ruleaz ca Ring 0, ring 1
i/sau Ring 2, n timp ce sistemul de operare guest ruleaz ca Ring 3.
La tipul II, att hypervisorul ct i sistemele de operare guest ruleaz n cadrul ring 3
ca aplicaii distincte.
Scopul utilizrii celor dou tipuri de hipervisoare este acela de a permite utilizatorilor sa
ruleze fr s interacioneze cu nivelul Ring 0, care ar putea afecta platforma de operare
i ceilali utilizatori.
Pentru realizarea acestui lucru, platformele virtuale creeaz un nivel ntre sistemele
guest i Ring 0. Acesta este hypervisorul, care func ioneaz ca un Ring 0 virtual pentru
VMS guest, permind executarea de apeluri standard ctre partea hardware cnd
acestea solicit diferite resurse (memorie, disk, network, etc). Compromiterea
hypervisorului duce la expunerea la vulnerabilit i i atacuri a sistemului host i al
sistemelor guest.
Xen
Xen este un binecunoscut open source Hypervisor, folosit ncepnd cu anul 2003.
Dup cum observm n figura 6 i 7, Xen este un hypervisor de tip 1, rulnd direct pe
platforma hardware i gestioneaz toate resursele host-ului. De asemenea, con ine o
main virtual cu drepturi privilegiate numit Dom0, care preia toate ac iunile de
management ale VM (stop,start, migrate VMs).
The Dom0 VM este un kernel Linux modificat i adaptat, unde VMs guest ruleaz n
modul virtualizare complet(HVM mode), emulnd ntregul sistem (Bios, HDD, CPU, NIC)
i nu necesit modificare la nivel OS.
Pe lng task-urile administrative de baz, Dom0 face vizibile dispozitivele emulate
alocndu-le o instan ntr-un emulator de dispozitive (QEMU), pentru toate VM.

Fig. 6: Xen Architecture.

Fig. 7 Xen execution model

KVM
KVM este un proiect open-source relativ nou. A aprut odat cu achizi ia Qumranet de
ctre Red Hat n 2008. Utilizarea acestuia a crescut enorm odat cu integrarea acestuia n
kernelul Linux principal, ncepnd cu versiunea 2.6.20, devenind principalul pachet de
virtualizare pentru Ubuntu, Fedora, i alte sisteme de operare Linux principale. Analiznd
figura 8 i 9 putem observa multe diferene n compara ie cu Xen.
Fiecare VM guest ruleaz ca un proces separat i are alocat o instan QEMU de
emulare a dispozitivelor cu care ruleaz. Hypervisorul ruleaz ca un modul n interiorul
sistemului de operare host, ceea ce face KVM un hypervisor de tip II.

Fig. 8: KVM Architecture.

Fig. 9 KVM execution model

Scurt prezentare a celor dou soluii de virtualizare:

Developed by
Virtualization type
Compatible host OS
Compatible guest OS
VT-x/AMD-v
Live migration
Host and guest CPU

Xen
Uni of Cambridge
Full-Virt and
Para-Virt
Linux (few)
Windows, Linux & Solaris
Optional
Yes
x86, x86-64, IA-64

KVM
Qumranet
Full-Virt
Linux
All OS
Required
Yes
x86, x86-64,IA64,PPC

4. Securitate n Tehnolgia de Virtualizare

Virtualizarea n Cloud cuprinde dou mari componente: ma inile virtuale i
hypervisorul.
Acest nivel ce cuprinde tehnologia de virtualizare poate fi vazut ca msura prinicpal de
aprare n infrastructura Cloud, dar este i un punct vulnerabil pentru atacuri, deoarece nu
toate mediile virtuale sunt bug-free.
Din perspectiva furnizorilor de tenologii cloud, o abordare prin virtualizare este vzut
ca beneficp din punct de vedere al profitului, dar mre te numrul atacurilor. n cele ce
urmeaz vom discuta despre problemele de securitate specifice hypervisoarelor.
Garfinkel i Rosenblum enumer principalele poten iale probleme de securitate
specifice virtualizrii:
Scalare Prin virtualizare avem posibilitatea de a crea i aduga noi ma ini
virtuale. Aceast capacitate de cretere dinamic poate destabiliza activit ile de
management specifice securitii, precum configurarea sistemului i update,
aprnd o vulnerabilitate la incidentele de securitate.
Caracter Efemer - ntruct mediile normale de calcul au tendin a de a converge
spre o structur stabil, cu o colecie de maini, mediul virtual ofer posibilitatea
rapid de creare i tergere a mainilor virtuale. Acest lucru duce la imposibilitatea
unui management consistent, ducnd la vulnerabilitatea VMs la/sau/ i infectarea
prin worm care se pot face nedetectai. Infec iile pot persista ntr-un astfel de mediu
fluctuant i sunt greu de detectat.
Ciclul de via ntruct starea unei VM este ncapsulat n aplica ia VMM
(mpreun cu orice parte hardware suportat), instantaneele de stare pot fi luate cu
uurin. O VM poate fi reiniializat pornind de la instantanee anterioar,
permind revenirea la o stare iniial. De exemplu, patches sau update-uri aplicate
anterior se pot pierde, sau VMs care accept o parol o singur dat pot fi
manipulate s re-accepte parole deja folosite. Dac revenirea la o stare anterioar
poate duce la reutilizarea cheilor de cifrare tip flux sau repetarea altor mecanisme
criptografice care nu trebuie refolosite, sistemul criptografic este compromis.
Diversitatea Creterea numrului de sisteme de operare i al mediilor de rulare
duce la intensificarea dificultii de management al securit ii, i prezint o
suprafa de atac mult mai variat.
Mobilitatea Dei vzut ca un avantaj al virtualizrii, mobilitatea i migrarea
genereaz automat mai multe probleme de securitate. Deplasnd o VM prin diferite
maini, n mod automat TCB-ul acesteia o s includ fiecare din aceste ma ini
astfel crete riscul de securitate, i intr-un mediu dinamic devine foarte greu de
urmrit care dintre VMs a fost expus pe o main compromis. Este de asemenea
un risc s mui o VM dintr-un mediu nesigur (computer personal) ntr-un mediu

sigur, i devine foarte uor pentru cineva s fure o VM (aceasta fiind doar un simplu
fiier pe disk).
Identitatea Practic identificarea mainilor, prin adresa MAC sau numele
posesorului, nu funcioneaz n virtualizare. Este foarte greu de stabilit posesorul
sau responsabilul pentru o main virtual ntr-un mediu dinamic virtualizat.
Durata de via a datelor OSs guest pot avea anumite cerin e de securitate
privind durata de via a datelor care sunt invalidate de mecanismele de reluare a
instruciunilor i nregistrrilor efectuate de VMM;

5. Securitatea Hypervisoarelor
Un hypervisor are vizibilitate i control asupra mainilor virtuale, de i este izolat de
acestea, formnd o baz sigur pentru serviciile de securitate.
Un aspect interesant al arhitecturii de securitate bazat pe virtualizare este acela c
poate asigura servicii de securitate la sisteme guest nemodificate. Mai multe ma ini
virtuale sunt asociate ntr-un mediu cloud virtualizat i din punct de vedere al securit ii,
aceste maini virtuale au propriile zone de securitate ce nu pot fi accesate de alte ma ini
virtuale.
Aceasta poate deveni o vulnerabilitate pentru hypervisor atunci cnd atacatorul
reuete s preia controlul hypervisorului.
Virtual escaping este o alt metod prin care se poate prelua controlul hypervisorului
de la nivelul unei maini virtuale.
Puncte forte pentru sistemele bazate pe hypervisor
Hipervisorul este un sistem de management central al resurselor de virtualizare, i n
plus poate asigura securitatea sistemului cloud. Deci pentru a implementa API sigure,
hypervisorul este cea mai bun platform n sistemele cloud, din urmtoarele motive:
1. Hypervisorul se afl deasupra nivelului hardware n schema ierarhic a sistemului
coud. Doar prin intermediul hypervisorului se poate accesa sistemul fizic, deci baza
securitii n sistemele cloud este la nivelul hypervisorului.
2. Hypervisorul fiind o interfa, poate lua rol de firewall i s fie capabil sa previn
aciuni suspicioase ale utilizatorului.
3. Hypervisorul separ OS guest de Os host i partea hardware fizic, deci dac un
atac pentreaz securitatea OS-ului guest, hypervisorul o monitorizeaz.
4. Hypervisorul poate monitoriza traficul de re ea ntr-un mediu cloud fiind un controler
ntre Os guest i partea hardware distribuit.
Vulnerabiliti ale sistemelor bazate pe hypervisor:
1. O singur defeciune este o problem vital ntr-un sistem bazat pe hypervisor
deoarece un singur sistem hardware controleaz resursele hardware partajate n
mediul cloud.
Cauzele defeciunilor pot fi diverse atacuri (rootkit,DDos, Flooding attack etc.) sau
suprasolicitarea hypervisorului care afecteaz VMs i componentele hardware
partajate.
2. Hypervisorul este supus mai multor riscuri de securitate provenite din wrapping
attacks, prin care se execut o copie a utilizatorului i a parolei ntre browser i
server-ul cloud.

6. Atacuri asupra securitii hypervisoarelor

n mediul cloud, hypervisorul asigur izolarea utilizatorilor chiar dac deservesc

aceleai resurse hardware. Cteva dintre tipurile de atacuri care afecteaz hypervisorul:
Wrapping Attack : Acest tip de atac poate fi o amenin are pentru hypervisor n
mediile virtuale. Cnd un utilizator efectueaz o cerere ctre browser de la ma ina
virtual, este generat un mesaj numit SOAP(Simple Object Acces Protocol). Prin acest
atac se ncearc copierea contului i a parolei n timpul procesului de logare pentru ca
atacatorul s poat modifica mesajele SOAP care se schimb n timpul procesului de
instalare a browserului i a serverului web.
Furtul de date: Ameninrile pe linia securit ii pentru hypervisor n sistemele
virtuale sunt cele legate de furtul de date cu drepturi de administrator, fr a lsa nici un
fel de urme. Pentru a eliminat aceste probleme la logarea cu drepturi de administrator
sunt create copii schematice a datelor, aplicndu-se cteva politici, precum RAID.
D-dos Attacks: Atacurile D-Dos lucreaz prin inundarea pachetelor IP pentru o
numit reea, avnd ca scop deteriorarea resurselor de sistem ale computerului. n
mediile cloud aceste atacuri au un efect mult mai mare n a afecta infrastructura, avnd n
vedere numrul mare de VMs. Dac hypervisorul nu poate aloca suficiente resurse pentru
VMs, atunci ansele ca sistemul sa fie afectat de D-Dos cresc. Dar probleme reale apar
cnd un utilizator din cadrul mediului cloud genereaz acest tip de atac.
Atacuri client-client: ntr-un mediu virtual o main virtual infectat poate afecta
celelalte maini din acelai mediu. Cea mai mare problem de securitate apare atunci
cnd o main virtual cu caracter maliios poate infecta toate ma inile virtuale din acela i
mediu cloud. n acest tip atac atacatorul ob ine drepturi de administrator la nivel de
infrastructur, putnd astfel infecta o VM care va infecta celelalte VMs i apoi reu ind s
accese mediul cloud de la nivelul VM.
Cele mai mari riscuri la nivelul hypervisorului i mediului virtual sunt atacurile la nivelul
client: SQL injection[18], spoofing attacks[19] are some of the examples.
Interfee i API vulnerabile: n mediul cloud, furnizorul de servicii cloud (CSP) ofer
interfee software sau API chiar i pentru upgradarea hypervisorului. Deci interfe e i API
vulnerabile pot duce la probleme de securitate pentru confiden ialitate, disponibilitate i
integritate a datelor la nivelul hypervisorului.

Concluzii
Prima parte prezint principalele principii ce stau la baza virtualizrii n mediile
cloud i caracteristicile principale ale hypervisoarelor KVM i Xen.
Am prezentat vulnerabiliti ale sistemului virtual n mediile cloud, ce pot fi exploate cu
scopul de a executa diferite atacuri.
Elementul principal al tehnologiei de virtualizare este hypervisorul sau VMM, care
este responsabil sa asigure izolarea ntre guest VMS i ntre VMs i host. Este capabil s
monitorizeze i s gestioneze mainile virtuale, alocnd resursele necesare ma inilor
virtuale guest i s asigure buna funcionare a mediului virtual.
Prin urmare, ntreaga securitate a mediului virtual depinde n principal de nivelul de
protecie al hypervisorului. Au fost descrie principalele vulnerabilit i ale sistemului virtual
n mediile cloud, ce pot fi exploatate cu scopul de a executa diferite atacuri.

Impactul problemelor de securitate asupra aspectelor cruciale privind securitatea i

a proteciilor necesare:
Security
Threats
Virtualization
Based Malware
Denial of
Service
Communications
Attack
VM Escape
Inter-VM
Attacks and
Network Blind
Spots

Security
Components

Safeguards

Integrity
Availability
Confidentiality
Authentication
Authorization
Authentication
Authorization
Accountability
Authentication
Authorization

1. Hypervisor security & integrity

checks.
2. Guest OS security & hardening.
3. Virtualized network security
& isolation.
4. Zero-day real- time detection of
malicious activities.
5. Security policies and controls in
place
6. Automatic restoration of guest VMs
to a clean state.

Referine
1. Virtualization Security Protecting Virtualized Environments - Dave
Shackleford, 2013.
2. Security and Privacy in Cloud Computing - Zhifeng Xiao and Yang Xiao, 2012.
3. Towards a Hypervisor Security-based Service and its Research Challenges Tanu Shree, Mukesh Kumar, Neelender Badal, International Journal of Computer
Applications - 2015.
4. State-of-the-Art of Virtualization, its Security Threats and Deployment Models
- Fatma Bazargan, Chan Yeob Yeun, Mohamed Jamal Zemerly, International
Journal for Information Security Research -2012.
5. Characterizing Hypervisor Vulnerabilities in Cloud Computing Servers - Diego
Perez-Botero, Jakub Szefer and Ruby B. Lee, Proceedings of the Workshop on
Security in Cloud Computing (SCC) 2012.