O documento discute segurança na migração de máquinas virtuais, identificando três principais ameaças: invasores podem controlar VMs para iniciar migrações não autorizadas, dados sensíveis podem ser acessados durante a migração através da rede, e vulnerabilidades nos módulos de migração podem permitir controle total sobre as VMs. Melhorias na segurança incluem autenticação nas máquinas de origem e destino e políticas de acesso restritas. Mais pesquisas sobre o tema são necessárias.

1. Segurança na Migração de Virtual Machines Mestrado em Ciência da Computação Sistemas Distribuídos Bruno Felipe

2. Roteiro O que é LiveMigration; Motivação (segurança); Segurança na migração; Planos para melhoria da segurança; Quem suporta LiveMigration; Conclusão; Referências; 2

3. LiveMigration, o que é? É uma maneira de fornecer ao administrador do servidor à funcionalidade de mover uma máquina virtual entre diferentes máquinas físicas, sem desconectar o cliente ou aplicação. 3

4. Motivação (segurança) Muitas informações sensíveis podem está passando na rede durante a migração; Dados extremamente voláteis; Integridade dos dados e da VM; 4

5. Segurança no LiveMigration O principal ponto a considerar é: Durante uma LiveMigrationtodo o estado de uma VM é posto na rede, facilitando assim um ataque àquela rede. Alguém espionando a rede em que acontece a migração pode ter acesso direto às informações, sem ter que passar por um sistema de autenticação ou mesmo um hypervisior da VM alvo. 5

6. Segurança no LiveMigration (cont.) Alguém que consegue se infiltrar na rede, pode ter um acesso fácil a todo o estado da máquina virtual incluindo o kernel do sistema operacional bem como aplicativos e serviços sendo executados no momento. Isto tudo se o plano de dados for inseguro ou sem nenhum tipo de autenticação. Análise dos aspectos de segurança na LiveMigration ainda é uma área bem pobre em pesquisas. 6

7. Planos para Melhoria da Segurança Mesmo com pouca pesquisa na área, grande esforço foi feito para mostrar que é importante a segurança no processo de LiveMigration. As ameaças foram classificadas em três classes, chamadas: Plano de controle, plano de dados e módulo de ameaças de migração. 7

8. Plano de Controle Um invasor pode controlar uma VM para inicializar uma migração, não necessariamente uma LiveMigration. Consequências: Pode manipularguestVM’s para serem migradas a máquina do invasor; Pode migrar um conjunto de guestVM’s para uma VM verdadeira, causando assim uma sobrecarga e até mesmo negação do serviço (DoS). 8

9. Plano de Dados Os dados que passam através de uma rede onde ocorrem uma migração deve ser segura e protegida contra ataques. Consequências: Acesso a dados sensíveis; Integridade dos dados; 9

10. Módulos de ameaças de migração O componente da VM que implementa a funcionalidade da migração deve ser bastante protegido e flexível a ataques. Se houver vulnerabilidades neste componente o invasor pode ganhar controle total sobre a VM e qualquer guestVM’s. 10

11. Migração 11 Buraco na segurança

12. Quem suporta LiveMigration? Virtuozzo Xen OpenVZ WorkloadPartitions Integrity Virtual Machines KVM Oracle VM POWER Hypervisor (PHYP) VMware ESX IBM VPAR withspecialmigrator Hyper-V Server 2008 R2 VirtualBox 12

13. Conclusão As ameaças descritas aqui, devem ser tratadas em diferentes níveis de segurança, além disso como propõe um autor: autenticação tanto na máquina solicitante quanto na receptora. Políticas de acesso também devem ser levadas em consideração. Precisa-se de muita pesquisa. 13

14. Referências Surveyof Virtual Machine MigrationTechniques, Dept. ofComputerScience, UniversityofCalifornia, Santa Barbara 2009; 14

15. Dúvidas ? 15