Omitir vínculos de navegación | |
Salir de la Vista de impresión | |
Guía de seguridad de Oracle® VM Server for SPARC 3.1 |
Capítulo 1 Descripción general de la seguridad de Oracle VM Server for SPARC
Funciones de seguridad que utiliza Oracle VM Server for SPARC
Descripción general del producto Oracle VM Server for SPARC
Aplicación de los principios de seguridad general a Oracle VM Server for SPARC
Seguridad en un entorno virtualizado
Protección del entorno de ejecución
Amenaza: errores involuntarios de configuración
Contramedida: creación de directrices operativas
Amenaza: errores en la arquitectura del entorno virtual
Contramedida: asignación cuidadosa de dominios invitados a plataformas de hardware
Contramedida: planificación de la migración de dominios de Oracle VM Server for SPARC
Contramedida: configuración correcta de conexiones virtuales
Contramedida: uso de etiquetas en VLAN
Contramedida: uso de aplicaciones de seguridad virtuales
Amenaza: efectos secundarios del uso compartido de recursos
Evaluación: efectos secundarios del uso compartido de recursos
Contramedida: asignación cuidadosa de los recursos de hardware
Contramedida: asignación cuidadosa de los recursos compartidos
Resumen: efectos secundarios del uso compartido de recursos
Amenaza: manipulación del entorno de ejecución
Evaluación: manipulación del entorno de ejecución
Contramedida: protección de rutas de acceso interactivo
Contramedida: minimización del SO Oracle Solaris
Contramedida: refuerzo de la protección del SO Oracle Solaris
Contramedida: uso de la separación de roles y el aislamiento de aplicaciones
Contramedida: configuración de una red de gestión dedicada
Amenaza: total denegación del servicio del sistema
Evaluación: total denegación del servicio del sistema
Contramedida: protección del ILOM
Amenaza: vulneración del aislamiento
Evaluación: vulneración del aislamiento
Contramedida: validación de firmas de software y firmware
Contramedida: validación de los módulos de núcleo
Amenaza: denegación de servicio de dominio de control
Evaluación: denegación de servicio de dominio de control
Contramedida: protección del acceso a la consola
Administrador de Dominios lógicos
Amenaza: uso no autorizado de utilidades de configuración
Evaluación: uso no autorizado de utilidades de configuración
Contramedida: aplicación de la regla de dos personas
Contramedida: uso de derechos para el Administrador de Dominios lógicos
Contramedida: refuerzo de la protección del Administrador de Dominios lógicos
Contramedida: auditoría del Administrador de Dominios lógicos
Amenaza: manipulación de un dominio de servicio
Evaluación: manipulación de un dominio de servicio
Contramedida: dominios de servicios separados por la granularidad
Contramedida: aislamiento de dominios de servicio y dominios invitados
Contramedida: restricción del acceso a las consolas virtuales
Amenaza: situación de denegación de servicio de un dominio de E/S o un dominio de servicio
Evaluación: situación de denegación de servicio de un dominio de E/S o un dominio de servicio
Contramedida: configuración granular de los dominios de E/S
Contramedida: configuración de dominios raíz y hardware redundantes
Amenaza: manipulación de un dominio de E/S
Contramedida: protección del SO del dominio invitado
Capítulo 2 Instalación y configuración segura de Oracle VM Server for SPARC
Capítulo 3 Consideraciones de seguridad para desarrolladores
Apéndice A Lista de comprobación para una implementación segura
Cualquier dominio que tiene acceso directo a dispositivos físicos de E/S, como puertos de red o discos, es un dominio de E/S. Para obtener información sobre la configuración de dominios de E/S, consulte Capítulo 6, Configuración de dominios de E/S de Guía de administración para Oracle VM Server for SPARC 3.1 .
Un dominio de E/S también puede ser un dominio de servicio si proporciona servicios de E/S a los dominios invitados, lo cual proporciona a los dominios el acceso al hardware.
Un atacante que bloquea los servicios de E/S de un dominio de E/S se asegura de que todos los dominios invitados dependientes queden igualmente bloqueados. Para que un ataque de denegación de servicio se realice con éxito puede que se sobrecargue la red back-end o la infraestructura de discos, o que se introduzca un fallo en el dominio. Cualquiera de estos ataques puede forzar el dominio para que se bloquee o emita un aviso grave. Del mismo modo, un atacante que suspende servicios del dominio de servicio hace que cualquier dominio invitado que dependa de estos servicios se cuelgue inmediatamente. Si el dominio invitado se cuelga, su funcionamiento se reanuda cuando se reanuda el servicio de E/S.
Los ataques de denegación de servicio suelen realizarse en la red. Dicho ataque puede realizarse con éxito si los puertos de red están abiertos para la comunicación, y el tráfico de red puede ocasionar un desborde. Una pérdida de servicio resultante bloquea los dominios invitados dependientes. Un ataque similar a los recursos de disco podría realizarse por medio de la infraestructura SAN o con un ataque al dominio de E/S. El único daño que se ocasiona es la detención temporal de todos los dominios invitados dependientes. Aunque el impacto de las tareas de denegación de servicio podría ser considerable, los datos no se pierden ni quedan en riesgo, y la configuración del sistema permanece intacta.
La configuración de varios dominios de E/S reduce el impacto de que un dominio falle o esté en riego. Puede asignar ranuras PCIe individuales a un dominio invitado para darle capacidades de dominio de E/S. Si el dominio raíz que posee el bus PCIe se bloquea, el bus se restablece, lo cual ocasiona posteriormente un bloqueo del dominio que se había asignado a la ranura individual. Esta función no elimina por completo la necesidad de tener dos dominios raíz que tengan cada uno un bus PCIe independiente.
La alta disponibilidad contribuye también a mejorar la seguridad porque garantiza que los servicios puedan soportar los ataques de denegación de servicio. Oracle VM Server for SPARC implementa metodologías de alta disponibilidad, como el uso de los discos redundantes y los recursos de red en dominios de E/S redundantes. Esta opción de configuración permite realizar actualizaciones sucesivas de los dominios de E/S y protege contra el impacto de un fallo del dominio de E/S que se ocasione por un ataque certero de denegación de servicio. Gracias a SR-IOV, los dominios invitados pueden tener acceso directo a los dispositivos de E/S individuales. Sin embargo, si SR-IOV no es una opción factible, considere la posibilidad de crear dominios de E/S redundantes. Consulte Contramedida: dominios de servicios separados por la granularidad.
Un dominio de E/S tiene acceso directo a dispositivos back-end, por lo general, discos, a los cuales virtualiza para luego ofrecerlos a los dominios invitados. Si un atacante logra su objetivo, obtiene acceso completo a estos dispositivos y puede leer los datos confidenciales o manipular el software en los discos de inicio de los dominios invitados.
Es tan probable que se realice un ataque certero al dominio de E/S como a un dominio de servicio o al dominio de control. El dominio de E/S es un blanco atractivo porque brinda acceso potencial a una gran cantidad de dispositivos de disco. Por lo tanto, tenga en cuenta esta amenaza cuando trabaje con datos confidenciales en un dominio invitado que se ejecute en discos virtualizados.
Cuando un dominio de E/S se encuentra en riesgo, el atacante tiene acceso total a los discos virtuales del dominio invitado.
Para proteger el contenido de los discos virtuales, haga lo siguiente:
Cifrado de los contenidos de los discos virtuales. En los sistemas Oracle Solaris 10, puede utilizar una aplicación que cifra sus propios datos, como pgp/gpg o los espacios de tablas cifrados de Oracle 11g. En los sistemas Oracle Solaris 11, puede utilizar conjuntos de datos cifrados ZFS para proporcionar cifrado transparente de todos los datos almacenados en el sistema de archivos.
Distribución de los datos en varios discos virtuales en diferentes dominios de E/S. Un dominio invitado puede crear un volumen en bandas (RAID 1/RAID 5), con bandas en varios discos virtuales que se obtienen de dos dominios de E/S. El atacante tendría dificultades para hacer uso de la parte de los datos que está disponible si uno de estos dominios de E/S se encuentra en riesgo.