Hypervisor: Segurança em ambientes virtualizados

Você precisa estar logado para dar um feedback. Clique aqui para efetuar o login
Para efetuar o download você precisa estar logado. Clique aqui para efetuar o login
Confirmar voto
0
 (2)  (0)

Veja nesse artigo como melhorar a segurança em ambientes virtualizados com o confronto entre vulnerabilidades e mecanismos de defesa usando o Hypervisor.

Fique por dentro
O avanço da tecnologia de virtualização permitiu seu uso em grandes proporções nos ambientes de TI. A razão principal do uso de máquinas virtuais tem sido a consolidação de servidores e, consequentemente, a redução de custos em hardware, software e gerenciamento do ambiente. No entanto, há muitas dúvidas sobre a segurança desse tipo de tecnologia. Este artigo apresenta fundamentos e características da virtualização, e expõe o quanto ambientes virtualizados podem sofrer ataques à segurança. Explora também medidas de combate para as ameaças e formas de como planejar um ambiente virtual seguro.
Autores: Arthur dos Santos Macedo e Christian Conceição Guerreiro Santos

Virtualização é a simulação de um hardware/software que roda sobre outro software. Este conceito de ambiente simulado é chamando de máquina virtual (VM – Virtual Machine).

Basicamente, a virtualização permite que as organizações possam trabalhar com diversas plataformas de software (sistemas operacionais), não havendo necessidade de aumento no número de máquinas físicas. Ou seja, a virtualização permite um alto nível de flexibilidade e portabilidade. Com isso desmitificou-se a ideia de que para um novo serviço de TI a ser implantado em um ambiente era necessário uma máquina física nova.

Outra característica deste tipo de tecnologia é o compartilhamento dos recursos de hardware (processador, memória, interface de rede, disco, etc.) do host físico com todas as máquinas virtuais ali presentes. Por exemplo, caso um host possua quatro processadores, ele pode compartilhar um processador com cada uma das quatro máquinas virtuais.

Todo o gerenciamento e alocação de recursos de hardware de uma máquina virtual é feito pelo Hypervisor ou Monitor de Máquina Virtual (VMM – Virtual Machine Monitor). O Hypervisor é uma camada de software localizada entre a camada de hardware e o sistema operacional. É, também, responsável por controlar o acesso do sistema operacional visitante (máquina virtual) aos dispositivos de hardware. Ele também deve prover recursos que garantam a segurança das máquinas virtuais através de mecanismos como isolamento, particionamento e encapsulamento.

A virtualização é dividida basicamente em paravirtualização e virtualização completa. Na completa, o hypervisor simula todo o hardware da máquina física, fazendo com que as máquinas virtuais executem de forma isolada. Em outras palavras, o hypervisor emula todo o hardware para as VMs, fazendo com que o sistema operacional execute como se não estivesse em um ambiente virtual. Sua vantagem é a larga aceitação por parte de diversos tipos de sistemas operacionais.

Já a paravirtualização entrega para as VMs um hardware igual ao real, com isso o sistema a ser virtualizado pode sofrer alterações no decorrer do tempo. Funcionalidade esta que a virtualização completa não permite, já que nela o hardware é entregue de forma virtual. A principal característica da paravirtualização é o desempenho, ou seja, sua facilidade em se adaptar às modificações do sistema operacional devido a sua similaridade com o hardware real.

A virtualização contribuiu para o desenvolvimento e aprimoramento de outras tecnologias já existentes, fazendo com que elas se aperfeiçoassem, tais como: sistemas operacionais, componentes de hardware, storage e rede.

Com os avanços desta tecnologia, as técnicas e melhorias em segurança em ambientes deste tipo também tiveram que ser aperfeiçoadas e recriadas para garantir a integridade e segurança de dados e hardware.

O objetivodestetrabalho éanalisarambientes virtualizadosquanto à segurança, trazendo à tona assuntos às vezes incomuns quando se fala de virtualização.Este trabalho pretende verificar o quantoo hypervisor é seguro. Para isso, identificará possíveis brechas paraataques, descreverá quais são estes ataques e as contramedidas oferecidas pelas soluções disponíveis no mercado.

Em complemento, vamos estabelecer um contraponto entre as tecnologias existentes, mostrando como algumas tratam a temática da segurança e como asorganizaçõespodem se precaver de incidentes e ameaças.

Visão Geral do Hypervisor

O Hypervisor é uma camada de software localizada entre o hardware e as máquinas virtuais, sendo responsável por fornecer recursos (storage, CPU, memória, rede, etc.) da máquina física para a máquina virtual. Ele permite que vários sistemas operacionais possam ser executados em um mesmo host.

A virtualização do tipo completa fornece dois tipos de hypervisor. O tipo 1, chamado de bare-metal e o tipo 2, chamado de hosted. O hypervisor do tipo bare-metal interage diretamente com o hardware da máquina física. Ele é completamente independente do sistema operacional do host. Já no tipo hosted, o hypervisor roda sobre o sistema operacional do host, sendo isto possível em qualquer tipo de SO.

Como mostra a Figura 1 o tipo hosted possui uma camada a mais de aplicação junto com a camada do hypervisor, e ambas sobre o sistema operacional do host. Esta camada de aplicação permite, por exemplo, a troca de arquivos entre o SO do host com o ambiente virtual e também permite que os usuários possam executar aplicações tais como web browsers e clientes de e-mail paralelamente ao ambiente virtualizado. Isto não é possível no tipo bare-metal.

abrir imagem em nova janela

Figura 1. Ilustração do hypervisor tipo hosted e bare-metal

Os servidores são frequentemente virtualizados no modo bare-metal. Já o hosted é comumente utilizado em soluções voltadas para uso em desktops, como o VirtualBox. A maioria dos hypervisors oferecem recursos adicionais de hardware, que vão desde controladores USB até direct memory access (DMA), visando com o DMA melhorar o desempenho de controladores de storage (no que diz respeito a acesso a disco) e placas de rede.

Visto isso, a decisão de usar hypervisor bare-metal ou hosted vai além de “ter ou não ter sistema operacional no host”. A primeira opção, por exemplo, por estar situada diretamente sobre o hardware, consegue prover um número maior de opções de acesso de entrada e saída (I/O access), disponibilizando mais desempenho para aqueles que optam por essa arquitetura.

Já a segunda opção consegue prover maior compatibilidade de hardware, o que permite executar o software de virtualização em uma gama mais ampla de configurações de hardware, diferentemente do modo bare-metal.

Como já informado, o hypervisor utiliza os recursos oferecidos pelo sistema operacional nativo para oferecer recursos virtuais ao sistema operacional convidado que executa sobre ele.

É importante frisar que medidas operacionais e de segurança também devem ser levadas em consideração na escolha da arquitetura utilizada, como será apresentado nas próximas seções.

Segurança em Ambientes Virtualizados

Uma pesquisa da Associação Brasileira de e-business (e-business Brasil) realizada em 2012 constatou qu" [...]

A exibição deste artigo foi interrompida :(
Este post está disponível para assinantes MVP

 
Você precisa estar logado para dar um feedback. Clique aqui para efetuar o login
Receba nossas novidades
Ficou com alguma dúvida?