Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de seguridad de Oracle VM Server for SPARC 2.2 Oracle VM Server for SPARC (Español) |
1. Descripción general de la seguridad de Oracle VM Server for SPARC
Funciones de seguridad que utiliza Oracle VM Server for SPARC
Descripción general del producto Oracle VM Server for SPARC
2. Instalación y configuración segura de Oracle VM Server for SPARC
3. Funciones de seguridad de Oracle VM Server for SPARC
Puede configurar dominios invitados de varias formas para proporcionar distintos niveles de aislamiento del dominio de invitado, uso compartido de hardware y conectividad de dominios. Estos factores contribuyen al nivel de seguridad de la configuración general de Oracle VM Server for SPARC, a la que puede aplicar algunos de los siguientes principios generales de seguridad:
Minimizar la superficie de ataque.
Minimice los errores de configuración no intencionales mediante la creación de directrices operativas que le permitan revisar con regularidad la seguridad del sistema. Consulte la “Contramedida n.º 1: Directrices operativas” en Implementación segura de Oracle VM Server for SPARC.
Planifique cuidadosamente la arquitectura del entorno virtual para maximizar el aislamiento de los dominios. Consulte las contramedidas que se describen para la “Amenaza n.º 2: Errores en la arquitectura del entorno virtual” en Implementación segura de Oracle VM Server for SPARC.
Planifique cuidadosamente los recursos que desea asignar y determine si se van a compartir. Consulte la “Contramedida n.º 7: Asignación cuidadosa de los recursos de hardware” y la “Contramedida n.º 8: Asignación cuidadosa de los recursos compartidos” en Implementación segura de Oracle VM Server for SPARC.
Asegúrese de que los dominios lógicos estén protegidos contra la manipulación. Para ello, aplique las contramedidas que se describen para la “Amenaza n.º 4: Manipulación del entorno de ejecución” y la “Contramedida n.º 28: Aseguración del sistema operativo invitado” en Implementación segura de Oracle VM Server for SPARC.
Exponga un dominio invitado a la red solamente cuando sea necesario. Se pueden utilizar conmutadores virtuales para limitar la conectividad de red de un dominio invitado, solamente con las redes correspondientes.
Siga estos pasos para minimizar la superficie de ataque de Oracle Solaris 10 y Oracle Solaris 11, como se describe en las Instrucciones de seguridad de Oracle Solaris 10 y las Directrices de seguridad de Oracle Solaris 11.
Proteja el núcleo central del hipervisor, como se describe en la “Contramedida n.º 15: Validación de formas de software y firmware” y la “Contramedida n.º 16: Validación de los módulos del núcleo” en Implementación segura de Oracle VM Server for SPARC.
Proteja el dominio de control contra los ataques de denegación de servicio. Consulte la “Contramedida n.º 17: Acceso a la consola” en Implementación segura de Oracle VM Server for SPARC.
Asegúrese de que los usuarios no autorizados no puedan ejecutar Logical Domains Manager. Consulte la “Amenaza n.º 8: Uso no autorizado de la configuración de utilidades” en Implementación segura de Oracle VM Server for SPARC.
Asegúrese de que los procesos o usuarios no autorizados no puedan acceder al dominio de servicio. Consulte la “Amenaza n.º 9: Manipulación de un dominio de servicio” en Implementación segura de Oracle VM Server for SPARC.
Proteja un dominio de E/S o un dominio de servicio contra los ataques de denegación de servicio. Consulte la “Amenaza n.º 10: Denegación de servicio de dominio de E/S o de dominio de servicio” en Implementación segura de Oracle VM Server for SPARC.
Asegúrese de que los procesos o usuarios no autorizados no puedan acceder al dominio de E/S. Consulte la “Amenaza n.º 11: Manipulación de un dominio de E/S” en Implementación segura de Oracle VM Server for SPARC.
Desactive los servicios de gestor de dominios innecesarios. El Logical Domains Manager proporciona los servicios de red necesarios para el acceso, el control y la migración de dominios. Desactive cualquiera de los siguientes servicios de red cuando no estén en uso:
El servicio de migración en puertos TCP 4983 y 8101
Para desactivar este servicio, consulte la descripción de las propiedades ldmd/incoming_migration_enabled y ldmd/outgoing_migration_enabled en la página del comando man ldmd(1M).
La admisión del protocolo extensible de mensajería y comunicación de presencia (XMPP, Extensible Messaging and Presence Protocol) en el puerto TCP 6482
Para desactivar este servicio, consulte Transporte de XML de Guía de administración de Oracle VM Server for SPARC 2.2.
El protocolo simple de administración de red (SNMP, Simple Network Management Protocol) en el puerto UDP 161
Determine si desea utilizar la base de información de gestión de Oracle VM Server for SPARC (MIB, Management Information Base) para observar los dominios. Esta función requiere que el servicio SNMP esté activado. En función de las opciones que elija, siga uno de estos procedimientos:
Active el servicio SNMP para utilizar la MIB de Oracle VM Server for SPARC. Instale la MIB de Oracle VM Server for SPARC de manera segura. Consulte Cómo instalar el paquete de software de MIB de Oracle VM Server for SPARC de Guía de administración de Oracle VM Server for SPARC 2.2 y Gestión de la seguridad de Guía de administración de Oracle VM Server for SPARC 2.2.
Desactive el servicio SNMP. Para desactivar este servicio, consulte Cómo eliminar el paquete de software de MIB de Oracle VM Server for SPARC de Guía de administración de Oracle VM Server for SPARC 2.2.
Servicio de detección en dirección de multidifusión 239.129.9.27 y puerto 64535
No puede desactivar este servicio mientras se ejecuta ldmd, el daemon de Logical Domains Manager. En su lugar, utilice la función de filtro IP de Oracle Solaris para bloquear el acceso a este servicio, que reduce al mínimo la superficie de ataque de Logical Domains Manager. El bloqueo del acceso impide el uso no autorizado de la utilidad, lo cual protege con eficacia contra los ataques de denegación de servicio y cualquier otro intento de uso indebido de los servicios de red. Consulte el Capítulo 20, Filtro IP en Oracle Solaris (descripción general) de Administración de Oracle Solaris: servicios IP y Uso de conjuntos de reglas de filtro IP de Administración de Oracle Solaris: servicios IP.
Consulte también la “Contramedida n.° 14: Aseguración de ILOM” y la “Contramedida n.° 20: Protección de LDoms Manager” en Implementación segura de Oracle VM Server for SPARC.
Proporcionar el privilegio mínimo para llevar a cabo una operación.
Aísle los sistemas en las clases de seguridad, que son conjuntos de sistemas invitados individuales que comparten los mismos privilegios y requisitos de seguridad. Al asignar solamente dominios invitados desde una única clase de seguridad a una única plataforma de hardware, crea una brecha de aislamiento, lo que evita que los dominios crucen a una clase de seguridad diferente. Consulte la “Contramedida n.º 2: Asignación cuidadosa de invitados a plataformas de hardware” en Implementación segura deOracle VM Server for SPARC.
Utilice RBAC para restringir la capacidad de gestionar dominios con el comando ldm. Sólo debe otorgarse esta capacidad a los usuarios que tienen que gestionar dominios. Asigne un rol que utilice el perfil de derechos de gestión de dominios lógicos a los usuarios que necesitan acceso a todos los subcomandos ldm. Asigne un rol que utilice el perfil de derechos de revisión de dominios lógicos sólo a los usuarios que necesitan acceder a los subcomandos relacionados con la lista de ldm. Consulte Uso de perfiles de derechos y roles de Guía de administración de Oracle VM Server for SPARC 2.2.
Use RBAC para restringir el acceso a la consola sólo de los dominios a los que usted, como administrador de Oracle VM Server for SPARC, debe acceder. No permita el acceso general a todos los dominios. Consulte Uso de perfiles de derechos y roles de Guía de administración de Oracle VM Server for SPARC 2.2.
Controle la actividad del sistema.
Active la auditoría de Oracle VM Server for SPARC. Consulte Activación y utilización de auditoría de Guía de administración de Oracle VM Server for SPARC 2.2.
Para obtener recomendaciones acerca de la implementación del software de Oracle VM Server for SPARC de una manera segura, consulte “Opciones de implementación recomendadas” en Implementación segura de Oracle VM Server for SPARC.