O documento discute segurança na migração de máquinas virtuais, identificando três principais ameaças: invasores podem controlar VMs para iniciar migrações não autorizadas, dados sensíveis podem ser acessados durante a migração através da rede, e vulnerabilidades nos módulos de migração podem permitir controle total sobre as VMs. Melhorias na segurança incluem autenticação nas máquinas de origem e destino e políticas de acesso restritas. Mais pesquisas sobre o tema são necessárias.
1. Segurança na Migração de Virtual Machines Mestrado em Ciência da Computação Sistemas Distribuídos Bruno Felipe
2. Roteiro O que é LiveMigration; Motivação (segurança); Segurança na migração; Planos para melhoria da segurança; Quem suporta LiveMigration; Conclusão; Referências; 2
3. LiveMigration, o que é? É uma maneira de fornecer ao administrador do servidor à funcionalidade de mover uma máquina virtual entre diferentes máquinas físicas, sem desconectar o cliente ou aplicação. 3
4. Motivação (segurança) Muitas informações sensíveis podem está passando na rede durante a migração; Dados extremamente voláteis; Integridade dos dados e da VM; 4
5. Segurança no LiveMigration O principal ponto a considerar é: Durante uma LiveMigrationtodo o estado de uma VM é posto na rede, facilitando assim um ataque àquela rede. Alguém espionando a rede em que acontece a migração pode ter acesso direto às informações, sem ter que passar por um sistema de autenticação ou mesmo um hypervisior da VM alvo. 5
6. Segurança no LiveMigration (cont.) Alguém que consegue se infiltrar na rede, pode ter um acesso fácil a todo o estado da máquina virtual incluindo o kernel do sistema operacional bem como aplicativos e serviços sendo executados no momento. Isto tudo se o plano de dados for inseguro ou sem nenhum tipo de autenticação. Análise dos aspectos de segurança na LiveMigration ainda é uma área bem pobre em pesquisas. 6
7. Planos para Melhoria da Segurança Mesmo com pouca pesquisa na área, grande esforço foi feito para mostrar que é importante a segurança no processo de LiveMigration. As ameaças foram classificadas em três classes, chamadas: Plano de controle, plano de dados e módulo de ameaças de migração. 7
8. Plano de Controle Um invasor pode controlar uma VM para inicializar uma migração, não necessariamente uma LiveMigration. Consequências: Pode manipularguestVM’s para serem migradas a máquina do invasor; Pode migrar um conjunto de guestVM’s para uma VM verdadeira, causando assim uma sobrecarga e até mesmo negação do serviço (DoS). 8
9. Plano de Dados Os dados que passam através de uma rede onde ocorrem uma migração deve ser segura e protegida contra ataques. Consequências: Acesso a dados sensíveis; Integridade dos dados; 9
10. Módulos de ameaças de migração O componente da VM que implementa a funcionalidade da migração deve ser bastante protegido e flexível a ataques. Se houver vulnerabilidades neste componente o invasor pode ganhar controle total sobre a VM e qualquer guestVM’s. 10
12. Quem suporta LiveMigration? Virtuozzo Xen OpenVZ WorkloadPartitions Integrity Virtual Machines KVM Oracle VM POWER Hypervisor (PHYP) VMware ESX IBM VPAR withspecialmigrator Hyper-V Server 2008 R2 VirtualBox 12
13. Conclusão As ameaças descritas aqui, devem ser tratadas em diferentes níveis de segurança, além disso como propõe um autor: autenticação tanto na máquina solicitante quanto na receptora. Políticas de acesso também devem ser levadas em consideração. Precisa-se de muita pesquisa. 13
14. Referências Surveyof Virtual Machine MigrationTechniques, Dept. ofComputerScience, UniversityofCalifornia, Santa Barbara 2009; 14