Compartir a través de


Cloud Computing: Administración de la confianza en los centros de datos virtuales

Dentro de la arquitectura virtual existen algunos factores especiales para proteger los sistemas y establecer un centro de datos organizado.

Kai Hwang, Jack Dongarra, Geoffrey Fox

Adaptado de "Distribuido y Cloud Computing: desde paralelo procesamiento a la Internet de las cosas" (Syngress, un sello editorial de Elsevier)

La arquitectura de virtuales y cloud computing plantea algunas inquietudes únicos cuando se trata de seguridad y control de acceso. Un virtual machine manager (VMM) cambia el panorama completo de arquitectura de computadores. Proporciona una capa de software entre el hardware de sistema operativo y sistema para crear una o más máquinas virtuales (VMs) en una única plataforma física.

Una máquina virtual totalmente encapsula el estado del huésped OS aloja. Puede copiar y compartir un Estado de la máquina encapsulado en la red y eliminarlo como un archivo normal. Esto plantea una capa entera de retos adicionales para la seguridad de la máquina virtual.

En general, un VMM puede proporcionar aislamiento seguro. Una máquina virtual tiene acceso a recursos de hardware a través del control de la VMM, así el VMM es la base de seguridad para un sistema virtual. Normalmente, una máquina virtual es tomado como una administración de VM a privilegios de control tales como crear, suspender, reanudar o eliminar una máquina virtual.

Una vez que un hacker entra correctamente el VMM o administración de VM, se pone en peligro todo el sistema. Surge un problema más sutil en los protocolos que se basan en la "frescura" de su fuente de número aleatorio para generar las claves de sesión. Teniendo en cuenta cómo funciona una VM, volver a un punto después de que se ha elegido un número aleatorio, pero antes de que se ha utilizado, reanuda la ejecución. El número aleatorio, que debe ser "fresco" por motivos de seguridad, a continuación, se reutiliza.

Con cifrado de flujo, dos textos diferentes de llanura podría cifrarse en la misma secuencia clave. A su vez, esto podría exponer ambos textos sin formato si tienen suficiente redundancia. Protocolos no criptográficos que dependen de frescura también corren riesgo. Por ejemplo, la reutilización de números de secuencia inicial de TCP puede elevar la probabilidad y la severidad de los ataques de secuestro de TCP.

Detección de intrusiones basadas en VM

Una intrusión es un acceso no autorizado a un equipo determinado de locales o usuarios de la red. Detección de intrusiones se utiliza para reconocer cualquier acceso no autorizado. Un sistema de detección de intrusiones (IDS) se basa en el sistema operativo y se basa en las características de las acciones de intrusión.

Un IDS típico puede clasificarse como un IDS basado en host (HIDS) o una red IDS (NIDS), dependiendo del origen de datos. Puede implementar un HIDS del sistema controlado. Cuando el sistema supervisado es atacado por los piratas, el HIDS también enfrenta el riesgo de ataque. Una inmunización se basa en el flujo de tráfico de red que no puede detectar acciones falsas.

Detección de intrusos basados en virtualización puede aislar VMs de invitado en la misma plataforma de hardware. Incluso algunos VMs están sujetos a la invasión, pero nunca influyen en otras máquinas virtuales. Esto es similar a la forma en que opera una inmunización. Además, un VMM supervisa y audita las solicitudes de acceso para el sistema de hardware y software, que puede evitar las falsas acciones. Por lo tanto, un VMM tiene unas cualidades similares a un HIDS.

Hay dos métodos diferentes para la aplicación de un IDS basado en la máquina virtual:

  • El ID es un proceso independiente en cada máquina virtual o una alto privilegio VM en el VMM.
  • Los Identificadores se integra en la VMM y tiene los mismos privilegios de acceso de hardware que el VMM.

Los Identificadores de VM contiene un motor de políticas y un módulo de directivas. El marco normativo puede supervisar eventos en máquinas virtuales diferentes invitados a través de la biblioteca de la interfaz de OS. PTrace indica seguimiento para asegurar la política de acogida supervisado. Es difícil de predecir y prevenir todas las intrusiones sin demora. Por lo tanto, un análisis de la acción de intrusion tras la intrusión es extremadamente importante.

La mayoría de sistemas informáticos utilizan registros para analizar las acciones de ataque, pero es difícil garantizar la credibilidad y la integridad de un registro. El servicio de registro ID se basa en el núcleo del sistema operativo. Así, cuando un sistema operativo es invadido por los atacantes, el servicio de registro debe ser afectado.

Además de utilizar un IDS completa, también encontrará honeypots y honeynets utilizados en la detección de intrusiones. Atraer y proporcionar una visión de sistema falso a los atacantes a fin de proteger el sistema real. También puede analizar después del ataque y usar ese conocimiento para construir un IDS más seguro.

Un honeypot es un sistema deliberadamente defectuoso que simula un sistema operativo para engañar y controlar las acciones del atacante. Puede dividir un honeypot en formas físicas y virtuales. Un sistema operativo huésped y las aplicaciones que se ejecutan en el mismo constituyen una máquina virtual. El host deben garantizarse OS y VMM para prevenir ataques desde la máquina virtual en un honeypot virtual.

Zonas de confianza

Puede utilizar soluciones de la industria para construir seguridad middleware para la gestión de la confianza en los sistemas distribuidos y las nubes privadas. El concepto de zonas de confianza fue establecido como parte de la infraestructura virtual (véase figura 1).

The function and interaction of trusted zones

Figura 1 la función y la interacción de las zonas de confianza.

Crear zonas de confianza para los clústeres virtuales (múltiples aplicaciones y sistemas operativos para cada inquilino) proporcionados en entornos virtuales separados. La infraestructura física se muestra en la parte inferior y está marcada como un proveedor de nube. Los clústeres virtuales o infraestructuras se muestran en los cuadros superiores para los dos inquilinos. La nube pública está asociada con las comunidades de usuarios globales en la parte superior.

Los cuadros de flechas a la izquierda y la descripción breve entre cuadros de zonificación y las flechas son funciones de seguridad y las medidas adoptadas en los cuatro niveles de los usuarios a los proveedores. Los pequeños círculos entre las cuatro casillas se refieren a las interacciones entre usuarios y proveedores y entre los propios usuarios. Los cuadros de flechas de la derecha son las funciones y acciones aplicadas entre los entornos de inquilino, el proveedor y las comunidades globales.

Casi todas las contramedidas disponibles: antivirus, contención de gusano, detección de intrusiones, mecanismos de cifrado y descifrado, se aplican aquí para aislar las zonas de confianza y aislar VMs para arrendatarios privados.

La innovación principal aquí es establecer las zonas de confianza entre los clústeres virtuales. El resultado final es una visión end-to-end de eventos de seguridad y cumplimiento de normas a través de los clústeres virtuales dedicados a los inquilinos diferentes.

Kai Hwang

Jack Dongarra

Geoffrey Fox

**Kai Hwang**es un profesor de ingeniería informática de la Universidad de California del Sur y un catedrático visitante de la Universidad de Tsinghua, China. Obtuvo un doctorado en B.S. de la Universidad de California en Berkeley. Ha publicado extensamente en arquitectura de computadores, aritmética digital, procesamiento, sistemas distribuidos, seguridad de Internet en paralelo y la computación en nube.

**Jack Dongarra**es una Universidad distinguido profesor de ingeniería eléctrica y Ciencias de la computación de la Universidad de Tennessee, un distinguido personal de investigación en el laboratorio nacional de Oak Ridge y becario girando en la Universidad de Manchester. Dongarra pionera en las áreas de puntos de referencia de superordenador, análisis numérico, álgebra lineal solucionadores e informática de alto rendimiento y ha publicado extensamente en estas áreas.

**Geoffrey Fox**es un distinguido profesor de informática, computación y física y asociar decano de postgrado de estudios e investigación en la escuela de informática y computación en la Universidad de Indiana. Recibió su Ph.d. de la Universidad de Cambridge, Reino Unido Fox es conocido por su obra completa y extensas publicaciones en arquitectura paralela, programación distribuida, grid computing, servicios web y aplicaciones de Internet.

© 2011 Elsevier Inc. Todos los derechos reservados. Impreso con permiso de Syngress, un sello editorial de Elsevier. Copyright 2011. "Distribuido y Cloud Computing: de procesamiento a la Internet de las cosas en paralelo" por Kai Hwang, Jack Dongarra, Geoffrey Fox. Para obtener más información sobre este título y otros libros similares, por favor visite elsevierdirect.com.

Contenido relacionado