aspecte privind securitatea virtualizarii in mediile cloud
DESCRIPTION
Prezentare privind securitatea virtualizarii in mediile cloud. Hypervisors security.TRANSCRIPT
Aspecte privind securitatea virtualizrii n mediile cloud
Iovia Adrian Vasile
1. Introducere
Cloud computing este din punct de vedere tehnic o multitudine de resurse computaionale virtuale sau maini virtuale. Mainile virtuale sunt cele care execut un anumit numr de instane pentru sisteme de operare izolate (guest OS) pe o singur main fizic (host OS). Hypervisor reprezint interfaa dintre maina fizic gazd i sistemul de operare guest. Hypervisor-ul este cel care aloc resurse guest OS-ului prin intermediul dispozitivelor hardware virtuale(memory,CPU)n funcie de arhitectura computaional, virtualizarea poate fi de mai multe tipuri: Virtualizare de aplicaie: Java virtual machine sau Dalvik virtual machine; Virtualizare de sistem de operare: Virtual Box, Xen, KVM; Virtualizare complete, folosit strict n mediile cloud;Studiile recente ilustreaz c numrul celor mai cunoscute hypervisoare folosite n centre de date este n continu cretere utilizarea hipervisoarelor devenind un standard.VMware este cel mai cunoscut i folosit ca Hypervisor primar (52%), urmat de Xen cu 18% and KVM cu 9%. Odata cu creterea n popularitate a tehnologiei de virtualizare, problemele de securitate au crescut de asemenea. Totui prin utilizarea hypervisoarelor au aprut i anumite ameninri asupra securitii nefamiliare, precum kernle level rootkit, malware care se rspndesc n timpul migrrii mainilor virtuale.Lucrarea de fa ncearc s prezinte informaiile necesare nelegerii termenilor de virtualizare i cloud i o mai bun cunoatere a securitii specifice Hypervisoarelor.Lucrarea se structureaz dup cum urmeaz:Arhitectura Cloud n partea 2.Arhitectura virtualizrii n partea 3.Securitatea specific virtualizrii n partea 4.Securitatea Hypervisoarelor n partea 5.Atacuri asupra Hypervisoarelor n partea 6. ( Towards a Hypervisor Security-based Service and its Research Challenges)
2. Arhitectura Cloud
Cloud Computing este un concept modern, reprezentnd acele resurse computaionale configurabile la cerere i distribuite ca diferite servicii prin intermediul internetului. (Ex: servere, stocare de date, aplicaii i servicii), care pot fi puse rapid la dispoziie cu eforturi minime de management i intervenie din partea clientului i a furnizorului. Accesul se poate face de oriunde, convenabil, fr ca utilizatorul s aib nevoie s tie configuraia sistemelor care furnizeaz aceste servicii. Mai simplu spus, aplicaiile i datele ruleaz i sunt stocate n alt parte dect pe serverele i staiile utilizatorului, acesta accesndu-le de la distan (pe Internet, dar nu neaprat).
Fig. 1 Cloud computing
Tipuri de CloudCloud privat - descrie o infrastructur IT, prevzut pentru utilizarea exclusiv de ctre o singur organizaie care cuprinde mai muli consumatori (Ex: business units). Infrastructura IT se afl la sediul organizaiei sau gestionarea acesteia este externalizat la un ter (on-premises sau off-premises). Un cloud privat poate fi comparat cu un centru de date convenional - diferena fiind c soluiile tehnologice sunt puse n aplicare Pagin 5 din 41 pentru a optimiza utilizarea resurselor disponibile i de a spori aceste resurse prin investiii mici, care sunt fcute ntr-un mod treptat n timp.Cloud public - este o infrastructur deinut, administrat i operat de ctre un furnizor de servicii specializat, organizaie comercial, academic, guvernamental sau o combinaie a acestora. Serviciile pot fi accesate prin intermediul internetului, iar furnizorul de servicii are un rol esenial n ceea ce privete protecia eficient a datelor angajate n sistemele sale. Cloud de comunitate este o infrastructur de tip cloud prevzut pentru utilizarea exclusiv de ctre o comunitate specific de consumatori din organizaii care au preocupri sau interese comune (de exemplu coli, cercettori, dezvoltatori de software). Aceasta poate fi deinut, administrat i operat de ctre una sau mai multe dintre organizaiile din comunitate, o ter parte sau o combinaie a acestora i poate exista fizic n interiorul sau n afara organizaiei.Cloud Hybrid, aa-numitul "cloud intermediar", descrie o infrastructur de tip cloud ca o combinaie de dou sau mai multe infrastructuri Cloud distincte (Cloud de comunitate, privat sau public), care rmn entiti unice, dar sunt legate mpreun de o tehnologie proprietar sau standardizat, care permite portabilitatea datelor i aplicaiilor la cerere (un exemplu de utilizare este echilibrarea utilizrii resurselor n cazul vrfurilor de solicitare).
Servicii de tip Cloudn funcie de cerinele utilizatorilor, exist mai multe soluii de cloud computing disponibile pe pia, acestea pot fi grupate n trei categorii principale sau "modele de servicii". Aceste modele se aplic, de obicei, la ambele soluii cloud privat i public: IaaS (Infrastructure as a Service): un furnizor nchiriaz o infrastructur tehnologic, adic servere virtuale la distan, care pot nlocui sistemele IT de la sediul companiei sau pot fi folosite alturi de sistemele existente. Astfel de furnizori sunt de obicei juctorii de pe piaa de specialitate i se bazeaz de fapt pe o infrastructur fizic complex care se ntinde n mai multe zone geografice. SaaS (Software as a Service): un furnizor ofer prin intermediul de servicii web, diverse aplicaii i le pune la dispoziia utilizatorilor finali. Aceste servicii sunt adesea menite s nlocuiasc aplicaii convenionale instalate de utilizatori pe sistemele lor locale. Acesta este cazul de exemplu al aplicaiilor tipice de birou bazate pe web, cum ar fi foi de calcul, instrumente de procesare de text, registre computerizate i agende, calendare partajate, pot electronic, etc. PaaS (Platform as a Service): un furnizor ofer soluii de dezvoltare avansat i gzduire de aplicaii. Aceste servicii sunt de obicei adresate companiilor pentru a dezvolta i gzdui soluii proprietare pe baz de cerere pentru a satisface cerinele interne i / sau pentru a oferi servicii ctre teri.La fel, serviciile livrate de un furnizor de PaaS fac inutil pentru utilizator necesitatea de hardware sau software suplimentar specific, la nivel intern.IaaS include ntreaga stiv de resurse de infrastructur i faciliti (energie electrica, soluii de rcire, etc.) pentru platformele hardware gzduite. Aceasta include capacitatea de a abstractiva (sau nu) resursele, precum i de a livra conectivitate fizic i logic a acestor resurse. n cele din urm, IaaS ofer un set de APIuri care permit forme de management i alte tipuri de interaciune cu infrastructura pentru consumatori.PaaS se afl deasupra IaaS i adaug un nivel suplimentar de integrare cu framework-urile de dezvoltare de aplicaii, capabiliti de middleware, i funcii, cum ar fi baze de date, stive de interogri, care permit dezvoltatorilor s construiasc aplicaii, i ale cror limbaje de programare i instrumente sunt suportate.SaaS la rndul su, este construit pe IaaS i PaaS i ofer un mediu de operare de sine stttor folosit pentru a furniza ntreaga experien a utilizatorului, inclusiv coninutul, prezentarea, cererea i capabiliti de management.Fig. 2 ilustreaz arhitectura general a unei platforme cloud.
Fig. 2 Arhitectura tehnologiei cloud3. Arhitectura virtualizrii
Virtualizarea este o tehnologie prin care se crete eficiena serviciilor computaionale oferite n termeni de performan, mentenan i cost. n primul rnd, prin virtualizare reducem componentele hardware necesare pentru operarea unor servicii care ruleaz pe un numr mai mare de platforme hardware diferite. Avnd control asupra resurselor fizice, virtualizare se poate folosi i pentru a rula n paralel diferite servicii pe aceeai platform hardware. Permite, de exemplu, rularea simultan a mai multor sisteme de operare pe sistemul fizic gazd.n acest fel, resursele pot fi utilizate mai eficient i utilizatorii i pot reduce semnificativ costurile n ce privete serviciile computaionale. Din acest motiv, virtualizarea are un rol important in tehnologia cloud, care permite clienilor s nchirieze online resurse computaionale cu diferite scopuri.n timp ce avantajele virtualizrii sunt foarte clare pentru toi, trebuie avut n vedere i faptul c apar i numeroase probleme privind securitatea. Unele dintre ele sunt regsite i n mediile computaionale tradiionale, dar trebuie studiate cu o atenie special n mediile virtuale, n schimb unele sunt specifice virtualizrii i prin urmare necesit o abordare nou. Un astfel de exemplu este multitenancy, care permite un flux de informaii cross-platform ntre clieni ce utilizeaz maini virtuale pe aceeai platform host ntr-un IaaS.Un alt tip de problem de securitate apare cnd adversarul are dreptul de a executa arbitrar secvene de cod, fie local sau prin reea, fr a avea drepturile de acces necesare.
Exist dou tipuri de virtualizri specifice tehnologiei cloud, i anume: virtualizarea complet: presupune instalarea complet a unei maini i rularea acesteia pe o alta main; paravirtualizare: permite unui numr mare de OSs modificate s ruleze pe un singur hardware n acelasi timp, utiliznd mult mai eficient resursele.
Diferena major dintre cele dou este aceea c n virtualizarea complet ntregul sistem trebuie sa fie emulat (BIOS, drive...), iar n paravirtualizare OSs a fost modificat s lucreze mai eficient cu hypervisorul.Paravirtualizarea ruleaz mult mai bine pentru c implic mai puine elemente ce trebuie emulate. De asemenea permite o mai bun scalare deoarece o instan guest solicit mai putin timp procesorul, astfel este posibil gzduirea mai multor OSs.Utilizarea paravirtualizrii reduce flexibilitatea, deoarece un OSs trebuie modificat corespunztor pentru a funciona, ceea ce nseamn c un nou OSs va necesita ceva timp nainte de a fi compatibil pentru acest tip de virtualizare. De asemenea, mai este si un impact crescut de securitate din moment ce OSs modificat are un control mai mare asupra hardware-ului, influennd astfel alte sisteme virtualizate si gazda OS.
Definirea unor termeniHost - Un host este o platform virtual care utilizeaz un soft hypervisor. Cele mai comune platforme de host includ VMware ESXi, Microsoft Hyper-V, Citrix XenServer, Red Hat, KVM i altele.Toate sistemele virtuale ruleaz pe aceste platforme host hypervisor. Client virtual, main virtual, VM, sistem client - Un client virtual, numit main virtual (VM), este orice sistem ce ruleaz ntr-un mediu virtual. Hypervisorul este principala component a unei platforme virtuale de tip server. Cunoscut i ca monitor pentru maini virtuale (VMM), hypervisorul este centrul nervos al unei infrastructuri virtuale. Acesta administreaz resurselor hardware interne i gestioneaz toate cererile initiate de sistemele de operare (OS) i aplicaii pentru CPU, Memorie, I/O, si disk. Avem dou tipuri de hipervisor: Tip I hypervisor(bare metal) conine propriul system de operare i de obicei este instalata pe un host hardware. VM ruleaz deasupra nivelului hardware, permind izolarea mai complet prin intermediul hypervisorulu. Un exemplu de hypervisor este VMwares ESXi. Un exemplu de hypervisor este artat n figura 3.
Fig. 3 Type I hypervisor
Tip II hypervisors(hosted) - sunt aplicaii deja instalate pe o platform cu sistem de operare, aa cum este artat n figura 4, i poate pune la dispoziie drivere din sistemul de operare pentru a gestiona Input/Output (I/O). Rezultnd un system VMM care nu are necesit drivere hardware specifice pentru operaiunile VMM I /O, i permite utilizarea de maini virtuale ntr-un mediu existent . Un exemplu de TIPUL II hypervisor Este VMware Workstation .
Fig. 4 Type II hypervisor
Pentru a nelege hypervisorul i problemele de securitate implicate trebuie neles conceptul modurilor de operare i a nivelurilor cu drepturi de acces pentru arhitectura CPU x86.Sunt dou moduri de operare modul real i modul protejat. Toate procesoarele moderne x86 booteaz n modul real pentru o compatibilitate mai bun, dar capabilitile procesoarelor actuale pot rula n modul protejat.Niveluri cu drepturi de acces pentru a nelege acest concept; s ne imaginm un set ce cercuri concentrice, unde cel din centru este cel mai aproape de partea hardware (Fig. 5). Inelul central, Ring 0, deine cele mai multe drepturi;aplicaiile ce ruleaz pe acest nivel au acces total la partea hardware. Celelalte inele sunt etichetate Ring 1 pn la ring 3.n multe sisteme moderne, ring 0 este cunoscut ca modul Supervisor i toate funciile specifice OS au loc aici. Funciile de tip aplicaie ruleaz la nivelul ring 3, numit i modul Utilizator.
Fig. 5 Nivelurile cu drepturi de acces (rings) (High privilege:0;Low privilege:3)
Tipul I de hypervisor este integrat cu platforma de operare, i ruleaz ca Ring 0, ring 1 i/sau Ring 2, n timp ce sistemul de operare guest ruleaz ca Ring 3.La tipul II, att hypervisorul ct i sistemele de operare guest ruleaz n cadrul ring 3 ca aplicaii distincte.Scopul utilizrii celor dou tipuri de hipervisoare este acela de a permite utilizatorilor sa ruleze fr s interacioneze cu nivelul Ring 0, care ar putea afecta platforma de operare i ceilali utilizatori. Pentru realizarea acestui lucru, platformele virtuale creeaz un nivel ntre sistemele guest i Ring 0. Acesta este hypervisorul, care funcioneaz ca un Ring 0 virtual pentru VMS guest, permind executarea de apeluri standard ctre partea hardware cnd acestea solicit diferite resurse (memorie, disk, network, etc). Compromiterea hypervisorului duce la expunerea la vulnerabiliti i atacuri a sistemului host i al sistemelor guest. XenXen este un binecunoscut open source Hypervisor, folosit ncepnd cu anul 2003. Dup cum observm n figura 6 i 7, Xen este un hypervisor de tip 1, rulnd direct pe platforma hardware i gestioneaz toate resursele host-ului. De asemenea, conine o main virtual cu drepturi privilegiate numit Dom0, care preia toate aciunile de management ale VM (stop,start, migrate VMs). The Dom0 VM este un kernel Linux modificat i adaptat, unde VMs guest ruleaz n modul virtualizare complet(HVM mode), emulnd ntregul sistem (Bios, HDD, CPU, NIC) i nu necesit modificare la nivel OS. Pe lng task-urile administrative de baz, Dom0 face vizibile dispozitivele emulate alocndu-le o instan ntr-un emulator de dispozitive (QEMU), pentru toate VM.
Fig. 6: Xen Architecture.
Fig. 7 Xen execution model
KVMKVM este un proiect open-source relativ nou. A aprut odat cu achiziia Qumranet de ctre Red Hat n 2008. Utilizarea acestuia a crescut enorm odat cu integrarea acestuia n kernelul Linux principal, ncepnd cu versiunea 2.6.20, devenind principalul pachet de virtualizare pentru Ubuntu, Fedora, i alte sisteme de operare Linux principale. Analiznd figura 8 i 9 putem observa multe diferene n comparaie cu Xen.Fiecare VM guest ruleaz ca un proces separat i are alocat o instan QEMU de emulare a dispozitivelor cu care ruleaz. Hypervisorul ruleaz ca un modul n interiorul sistemului de operare host, ceea ce face KVM un hypervisor de tip II.
Fig. 8: KVM Architecture.
Fig. 9 KVM execution model
Scurt prezentare a celor dou soluii de virtualizare:
XenKVM
Developed byUni of CambridgeQumranet
Virtualization typeFull-Virt andPara-VirtFull-Virt
Compatible host OSLinux (few)Linux
Compatible guest OSWindows, Linux & SolarisAll OS
VT-x/AMD-vOptionalRequired
Live migrationYesYes
Host and guest CPUx86, x86-64, IA-64x86, x86-64,IA64,PPC
4. Securitate n Tehnolgia de VirtualizareVirtualizarea n Cloud cuprinde dou mari componente: mainile virtuale i hypervisorul.Acest nivel ce cuprinde tehnologia de virtualizare poate fi vazut ca msura prinicpal de aprare n infrastructura Cloud, dar este i un punct vulnerabil pentru atacuri, deoarece nu toate mediile virtuale sunt bug-free.Din perspectiva furnizorilor de tenologii cloud, o abordare prin virtualizare este vzut ca beneficp din punct de vedere al profitului, dar mrete numrul atacurilor. n cele ce urmeaz vom discuta despre problemele de securitate specifice hypervisoarelor.Garfinkel i Rosenblum enumer principalele poteniale probleme de securitate specifice virtualizrii: Scalare Prin virtualizare avem posibilitatea de a crea i aduga noi maini virtuale. Aceast capacitate de cretere dinamic poate destabiliza activitile de management specifice securitii, precum configurarea sistemului i update, aprnd o vulnerabilitate la incidentele de securitate. Caracter Efemer - ntruct mediile normale de calcul au tendina de a converge spre o structur stabil, cu o colecie de maini, mediul virtual ofer posibilitatea rapid de creare i tergere a mainilor virtuale. Acest lucru duce la imposibilitatea unui management consistent, ducnd la vulnerabilitatea VMs la/sau/i infectarea prin worm care se pot face nedetectai. Infeciile pot persista ntr-un astfel de mediu fluctuant i sunt greu de detectat. Ciclul de via ntruct starea unei VM este ncapsulat n aplicaia VMM (mpreun cu orice parte hardware suportat), instantaneele de stare pot fi luate cu uurin. O VM poate fi reiniializat pornind de la instantanee anterioar, permind revenirea la o stare iniial. De exemplu, patches sau update-uri aplicate anterior se pot pierde, sau VMs care accept o parol o singur dat pot fi manipulate s re-accepte parole deja folosite. Dac revenirea la o stare anterioar poate duce la reutilizarea cheilor de cifrare tip flux sau repetarea altor mecanisme criptografice care nu trebuie refolosite, sistemul criptografic este compromis. Diversitatea Creterea numrului de sisteme de operare i al mediilor de rulare duce la intensificarea dificultii de management al securitii, i prezint o suprafa de atac mult mai variat. Mobilitatea Dei vzut ca un avantaj al virtualizrii, mobilitatea i migrarea genereaz automat mai multe probleme de securitate. Deplasnd o VM prin diferite maini, n mod automat TCB-ul acesteia o s includ fiecare din aceste maini astfel crete riscul de securitate, i intr-un mediu dinamic devine foarte greu de urmrit care dintre VMs a fost expus pe o main compromis. Este de asemenea un risc s mui o VM dintr-un mediu nesigur (computer personal) ntr-un mediu sigur, i devine foarte uor pentru cineva s fure o VM (aceasta fiind doar un simplu fiier pe disk). Identitatea Practic identificarea mainilor, prin adresa MAC sau numele posesorului, nu funcioneaz n virtualizare. Este foarte greu de stabilit posesorul sau responsabilul pentru o main virtual ntr-un mediu dinamic virtualizat. Durata de via a datelor OSs guest pot avea anumite cerine de securitate privind durata de via a datelor care sunt invalidate de mecanismele de reluare a instruciunilor i nregistrrilor efectuate de VMM;
5. Securitatea Hypervisoarelor
Un hypervisor are vizibilitate i control asupra mainilor virtuale, dei este izolat de acestea, formnd o baz sigur pentru serviciile de securitate.Un aspect interesant al arhitecturii de securitate bazat pe virtualizare este acela c poate asigura servicii de securitate la sisteme guest nemodificate. Mai multe maini virtuale sunt asociate ntr-un mediu cloud virtualizat i din punct de vedere al securitii, aceste maini virtuale au propriile zone de securitate ce nu pot fi accesate de alte maini virtuale.Aceasta poate deveni o vulnerabilitate pentru hypervisor atunci cnd atacatorul reuete s preia controlul hypervisorului.Virtual escaping este o alt metod prin care se poate prelua controlul hypervisorului de la nivelul unei maini virtuale.
Puncte forte pentru sistemele bazate pe hypervisorHipervisorul este un sistem de management central al resurselor de virtualizare, i n plus poate asigura securitatea sistemului cloud. Deci pentru a implementa API sigure, hypervisorul este cea mai bun platform n sistemele cloud, din urmtoarele motive:1. Hypervisorul se afl deasupra nivelului hardware n schema ierarhic a sistemului coud. Doar prin intermediul hypervisorului se poate accesa sistemul fizic, deci baza securitii n sistemele cloud este la nivelul hypervisorului.2. Hypervisorul fiind o interfa, poate lua rol de firewall i s fie capabil sa previn aciuni suspicioase ale utilizatorului.3. Hypervisorul separ OS guest de Os host i partea hardware fizic, deci dac un atac pentreaz securitatea OS-ului guest, hypervisorul o monitorizeaz.4. Hypervisorul poate monitoriza traficul de reea ntr-un mediu cloud fiind un controler ntre Os guest i partea hardware distribuit.
Vulnerabiliti ale sistemelor bazate pe hypervisor:1. O singur defeciune este o problem vital ntr-un sistem bazat pe hypervisor deoarece un singur sistem hardware controleaz resursele hardware partajate n mediul cloud.Cauzele defeciunilor pot fi diverse atacuri (rootkit,DDos, Flooding attack etc.) sau suprasolicitarea hypervisorului care afecteaz VMs i componentele hardware partajate.2. Hypervisorul este supus mai multor riscuri de securitate provenite din wrapping attacks, prin care se execut o copie a utilizatorului i a parolei ntre browser i server-ul cloud.
6. Atacuri asupra securitii hypervisoarelor
n mediul cloud, hypervisorul asigur izolarea utilizatorilor chiar dac deservesc aceleai resurse hardware. Cteva dintre tipurile de atacuri care afecteaz hypervisorul:
Wrapping Attack : Acest tip de atac poate fi o ameninare pentru hypervisor n mediile virtuale. Cnd un utilizator efectueaz o cerere ctre browser de la maina virtual, este generat un mesaj numit SOAP(Simple Object Acces Protocol). Prin acest atac se ncearc copierea contului i a parolei n timpul procesului de logare pentru ca atacatorul s poat modifica mesajele SOAP care se schimb n timpul procesului de instalare a browserului i a serverului web.
Furtul de date: Ameninrile pe linia securitii pentru hypervisor n sistemele virtuale sunt cele legate de furtul de date cu drepturi de administrator, fr a lsa nici un fel de urme. Pentru a eliminat aceste probleme la logarea cu drepturi de administrator sunt create copii schematice a datelor, aplicndu-se cteva politici, precum RAID.
D-dos Attacks: Atacurile D-Dos lucreaz prin inundarea pachetelor IP pentru o numit reea, avnd ca scop deteriorarea resurselor de sistem ale computerului. n mediile cloud aceste atacuri au un efect mult mai mare n a afecta infrastructura, avnd n vedere numrul mare de VMs. Dac hypervisorul nu poate aloca suficiente resurse pentru VMs, atunci ansele ca sistemul sa fie afectat de D-Dos cresc. Dar probleme reale apar cnd un utilizator din cadrul mediului cloud genereaz acest tip de atac. Atacuri client-client: ntr-un mediu virtual o main virtual infectat poate afecta celelalte maini din acelai mediu. Cea mai mare problem de securitate apare atunci cnd o main virtual cu caracter maliios poate infecta toate mainile virtuale din acelai mediu cloud. n acest tip atac atacatorul obine drepturi de administrator la nivel de infrastructur, putnd astfel infecta o VM care va infecta celelalte VMs i apoi reuind s accese mediul cloud de la nivelul VM.Cele mai mari riscuri la nivelul hypervisorului i mediului virtual sunt atacurile la nivelul client: SQL injection[18], spoofing attacks[19] are some of the examples.
Interfee i API vulnerabile: n mediul cloud, furnizorul de servicii cloud (CSP) ofer interfee software sau API chiar i pentru upgradarea hypervisorului. Deci interfee i API vulnerabile pot duce la probleme de securitate pentru confidenialitate, disponibilitate i integritate a datelor la nivelul hypervisorului.
Concluzii
Prima parte prezint principalele principii ce stau la baza virtualizrii n mediile cloud i caracteristicile principale ale hypervisoarelor KVM i Xen.Am prezentat vulnerabiliti ale sistemului virtual n mediile cloud, ce pot fi exploate cu scopul de a executa diferite atacuri.Elementul principal al tehnologiei de virtualizare este hypervisorul sau VMM, care este responsabil sa asigure izolarea ntre guest VMS i ntre VMs i host. Este capabil s monitorizeze i s gestioneze mainile virtuale, alocnd resursele necesare mainilor virtuale guest i s asigure buna funcionare a mediului virtual.Prin urmare, ntreaga securitate a mediului virtual depinde n principal de nivelul de protecie al hypervisorului. Au fost descrie principalele vulnerabiliti ale sistemului virtual n mediile cloud, ce pot fi exploatate cu scopul de a executa diferite atacuri.
Impactul problemelor de securitate asupra aspectelor cruciale privind securitatea i a proteciilor necesare:
SecurityThreatsSecurityComponentsSafeguards
VirtualizationBased MalwareIntegrity 1. Hypervisor security & integrity checks.2. Guest OS security & hardening.3. Virtualized network security& isolation.4. Zero-day real- time detection ofmalicious activities.5. Security policies and controls in place 6. Automatic restoration of guest VMs to a clean state.
Denial ofServiceAvailability
CommunicationsAttackConfidentialityAuthentication Authorization
VM EscapeAuthentication Authorization Accountability
Inter-VMAttacks andNetwork BlindSpotsAuthentication Authorization
Referine
1. Virtualization Security Protecting Virtualized Environments - Dave Shackleford, 2013.2. Security and Privacy in Cloud Computing - Zhifeng Xiao and Yang Xiao, 2012.3. Towards a Hypervisor Security-based Service and its Research Challenges - Tanu Shree, Mukesh Kumar, Neelender Badal, International Journal of Computer Applications - 2015.4. State-of-the-Art of Virtualization, its Security Threats and Deployment Models - Fatma Bazargan, Chan Yeob Yeun, Mohamed Jamal Zemerly, International Journal for Information Security Research -2012.5. Characterizing Hypervisor Vulnerabilities in Cloud Computing Servers - Diego Perez-Botero, Jakub Szefer and Ruby B. Lee, Proceedings of the Workshop on Security in Cloud Computing (SCC) 2012.