Cloud Computing : Gestion des approbations dans les centres de données virtuels
Avec l'architecture virtuelle, vous devez tenir compte de certains points pour sécuriser les systèmes et établir un centre de données organisé.
Kai Hwang, Jack Dongarra, Geoffrey Fox
Adapté de "Distribué et Cloud Computing : de parallèle traitement à l'Internet des choses » (Syngress, une empreinte de Elsevier)
L'architecture du virtuel et le cloud computing soulève certaines questions exceptionnelles lorsqu'il s'agit de contrôle d'accès et de sécurité. Un virtual machine manager (VMM) modifie l'intégralité de l'image de l'architecture de l'ordinateur. Il fournit une couche de logiciel entre le matériel OS et système pour créer une ou plusieurs machines virtuelles (SSN) sur une seule plate-forme physique.
Une machine virtuelle encapsule entièrement l'état de l'invité, il héberge des OS. Vous pouvez copier et partager un état encapsulé machine sur le réseau et le supprimer comme un fichier normal. Ce qui pose un calque entier des défis supplémentaires pour la sécurité de la machine virtuelle.
En général, un VMM peut fournir isolement sécurisé. Une machine virtuelle accède aux ressources matérielles à travers le contrôle de la VMM, donc la VMM est la base de la sécurité d'un système virtuel. Normalement, une machine virtuelle est considérée comme une gestion VM aux privilèges de contrôle comme créant, suspendre, reprendre ou suppression d'une machine virtuelle.
Une fois un hacker saisit avec succès la VMM ou la gestion des VM, tout le système est en voie de disparition. Un problème plus subtil surgit dans les protocoles qui s'appuient sur la « fraîcheur » de leur source de nombre aléatoire pour générer des clés de session. Examiner comment une machine virtuelle fonctionne, laminage de revenir à un point après qu'un nombre aléatoire a été choisi, mais avant qu'il a été utilisé, reprend l'exécution. Le nombre aléatoire, qui doit être « frais » à des fins de sécurité, est ensuite réutilisé.
Avec un chiffrement de flux, les deux textes différents de la plaine pourrait être cryptés sous le même flux de clés. Cela peut, à son tour, exposer les deux textes de plaine s'ils ont une redondance suffisante. Les protocoles non-cryptographique qui dépendent de la fraîcheur sont aussi à risque. Par exemple, la réutilisation des numéros de séquence initiale de TCP peut soulever la probabilité et la gravité des TCP détournement d'attaques.
VM-Based Intrusion Detection
Une intrusion est un accès non autorisé à un certain ordinateur local ou des utilisateurs du réseau. Détection d'intrusion sert à reconnaître tout accès non autorisé. Un système de détection d'intrusion (IDS) est construit sur l'OS et est basé sur les caractéristiques des actions de l'intrusion.
Un ID typique peuvent être classés comme un ID basé sur l'hôte (HIDS) ou un réseau IDS (JNV), selon la source de données. Vous pouvez implémenter une HIDS sur le système de surveillance. Quand le système de surveillance est attaqué par des pirates, le HIDS faces également le risque d'attaque. Une JNV est basée sur le flux du trafic réseau qui ne peut pas détecter les fausses actions.
Détection d'intrusion basé à la virtualisation peut isoler VMs invité sur la même plate-forme matérielle. Même certains VMs sont assujettis à l'invasion réussie, mais ils influencent jamais autres VMs. Cela est similaire à la façon dont fonctionne une JNV. En outre, un VMM surveille et vérifications des demandes d'accès pour logiciel système et de matériel, ce qui peut éviter toute action fausse. Un VMM a donc certaines qualités similaires à un HIDS.
Il y a deux méthodes différentes pour mettre en œuvre un ID d'axé sur la VM :
- L'IDS est un processus indépendant dans chaque machine virtuelle ou une machine virtuelle en haute-privilégiée sur la VMM.
- L'IDS est intégré à la VMM et a les mêmes privilèges d'accès matériel comme la VMM.
Les ID d'axé sur la VM contient un moteur de politique et d'un module de stratégie. Le cadre de la politique peut surveiller les événements en invité différents VMs par le biais de la bibliothèque d'interface OS. PTrace indique trace pour sécuriser la politique de l'hôte surveillé. Il est difficile de prédire et de prévenir les intrusions tous sans délai. Une analyse de l'action d'intrusion suite à l'intrusion est donc extrêmement importante.
La plupart des systèmes informatiques utilisent des billes pour analyser les actions de l'attaque, mais il est difficile d'assurer d'un journal crédibilité et l'intégrité. Le service Journal des IDS est basé sur le noyau de système d'exploitation. Ainsi, lorsqu'un OS est envahi par les attaquants, le service Journal devrait être affecté.
Hormis un ID tous azimuts, vous trouverez également honeypots et honeynets couramment utilisé dans la détection d'intrusion. Ils attirent et fournissent une vue système faux aux attaquants afin de protéger le système réel. Vous pouvez aussi analyser par la suite de l'attaque et utiliser ces connaissances pour construire un ID plus sécuritaire.
Un pot de miel est un système délibérément défectueux qui simule un OS pour tricher et de surveiller les actions par un attaquant. Vous pouvez diviser un pot de miel en formes physiques et virtuels. Un système d'exploitation invité et les applications s'exécutant sur elle constituent une machine virtuelle. L'hôte OS et VMM doivent être garanti pour prévenir les attaques de la machine virtuelle dans un pot de miel virtuel.
Zones de confiance
Vous pouvez utiliser des solutions de l'industrie pour construire la sécurité middleware pour la gestion de la confiance dans les systèmes distribués et des nuages privés. La notion de zones de confiance a été créée dans le cadre de l'infrastructure virtuelle (voir Figure 1).
.jpg)
La figure 1 la fonction et l'interaction des zones de confiance.
Créer des zones de confiance pour les clusters virtuels (plusieurs applications et OSes pour chaque locataire) provisionnés dans des environnements virtuels distincts. L'infrastructure physique est indiquée au bas et est marqué comme un fournisseur de nuages. Les grappes virtuels ou les infrastructures sont indiquées dans les cases supérieures pour les deux locataires. Le nuage public est associé avec les communautés d'utilisateurs mondiaux en haut.
Les boîtes de flèche à gauche et la description brève entre les flèches et les boîtes de zonage sont des fonctions de sécurité et des mesures prises aux quatre niveaux des utilisateurs pour les fournisseurs. Les petits cercles entre les quatre cases à désigner des interactions entre les utilisateurs et les fournisseurs et parmi les utilisateurs eux-mêmes. Les cases flèche à droite sont des actions appliquées entre les environnements de locataire, le fournisseur et les communautés mondiales et fonctions.
Presque tous les contre-mesures disponibles — ver confinement, détection d'intrusion, antivirus, les mécanismes de chiffrement et de déchiffrement — sont appliquées ici à isoler les zones de confiance et d'isoler les VMs pour les locataires privés.
La principale innovation ici est d'établir des zones de confiance parmi les clusters virtuels. Le résultat final est une vue de bout-en-bout des événements de sécurité et de conformité à travers les clusters virtuels dédiés aux différents locataires.
.jpg)
.jpg)
.jpg)
**Kai Hwang**est un professeur de génie informatique de l'Université de Californie du Sud et de la Chaire de professeur invité à l'Université de Tsinghua, Chine. Il a obtenu un Ph.d. dans TRIUMF de l'Université de Californie à Berkeley. Il a publié abondamment en architecture de l'ordinateur, digital arithmétique, parallèle de traitement, les systèmes distribués, la sécurité Internet et cloud computing.
**Jack Dongarra**est une université distingué professeur de génie électrique et informatique de l'Université de Tennessee, un personnel de recherche distingué à Oak Ridge National Laboratory et tournant Fellow à l'Université de Manchester. Dongarra pionnier les zones de repères superordinateur, analyse numérique, algèbre linéaire solveurs et high-performance computing et a publié de nombreux articles dans ces domaines.
**Geoffrey Fox**est un professeur distingué de l'informatique, informatique et physique et associer Dean of Graduate studies et recherche à l'école de l'informatique et l'informatique à l'Université de l'Indiana. Il a reçu son Ph.d. Université de Cambridge, r.-u. Fox est bien connu pour son travail complet et les publications importantes dans l'architecture parallèle, programmation distribuée, grid computing, services web et applications Internet.
© 2011 Elsevier Inc. Tous droits réservés. Imprimé avec la permission de Syngress, une empreinte de Elsevier. Copyright 2011. « Distribués et Cloud Computing : partir parallèle de traitement à l'Internet des objets "par Kai Hwang, Jack Dongarra, Geoffrey Fox. Pour plus d'informations sur ce titre et autres ouvrages semblables, veuillez visiter elsevierdirect.com.