| Omitir vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Guía de seguridad de Oracle® VM Server for SPARC 3.1 |
| Omitir vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Guía de seguridad de Oracle® VM Server for SPARC 3.1 |
Capítulo 1 Descripción general de la seguridad de Oracle VM Server for SPARC
Funciones de seguridad que utiliza Oracle VM Server for SPARC
Descripción general del producto Oracle VM Server for SPARC
Aplicación de los principios de seguridad general a Oracle VM Server for SPARC
Seguridad en un entorno virtualizado
Protección del entorno de ejecución
Amenaza: errores involuntarios de configuración
Contramedida: creación de directrices operativas
Amenaza: errores en la arquitectura del entorno virtual
Contramedida: asignación cuidadosa de dominios invitados a plataformas de hardware
Contramedida: planificación de la migración de dominios de Oracle VM Server for SPARC
Contramedida: configuración correcta de conexiones virtuales
Contramedida: uso de etiquetas en VLAN
Contramedida: uso de aplicaciones de seguridad virtuales
Amenaza: efectos secundarios del uso compartido de recursos
Evaluación: efectos secundarios del uso compartido de recursos
Contramedida: asignación cuidadosa de los recursos de hardware
Contramedida: asignación cuidadosa de los recursos compartidos
Resumen: efectos secundarios del uso compartido de recursos
Amenaza: manipulación del entorno de ejecución
Evaluación: manipulación del entorno de ejecución
Contramedida: protección de rutas de acceso interactivo
Contramedida: minimización del SO Oracle Solaris
Contramedida: refuerzo de la protección del SO Oracle Solaris
Contramedida: uso de la separación de roles y el aislamiento de aplicaciones
Contramedida: configuración de una red de gestión dedicada
Amenaza: total denegación del servicio del sistema
Amenaza: vulneración del aislamiento
Evaluación: vulneración del aislamiento
Contramedida: validación de firmas de software y firmware
Contramedida: validación de los módulos de núcleo
Amenaza: denegación de servicio de dominio de control
Evaluación: denegación de servicio de dominio de control
Contramedida: protección del acceso a la consola
Administrador de Dominios lógicos
Amenaza: uso no autorizado de utilidades de configuración
Evaluación: uso no autorizado de utilidades de configuración
Contramedida: aplicación de la regla de dos personas
Contramedida: uso de derechos para el Administrador de Dominios lógicos
Contramedida: refuerzo de la protección del Administrador de Dominios lógicos
Contramedida: auditoría del Administrador de Dominios lógicos
Amenaza: manipulación de un dominio de servicio
Evaluación: manipulación de un dominio de servicio
Contramedida: dominios de servicios separados por la granularidad
Contramedida: aislamiento de dominios de servicio y dominios invitados
Contramedida: restricción del acceso a las consolas virtuales
Amenaza: situación de denegación de servicio de un dominio de E/S o un dominio de servicio
Evaluación: situación de denegación de servicio de un dominio de E/S o un dominio de servicio
Contramedida: configuración granular de los dominios de E/S
Contramedida: configuración de dominios raíz y hardware redundantes
Amenaza: manipulación de un dominio de E/S
Evaluación: manipulación de un dominio de E/S
Contramedida: protección de discos virtuales
Contramedida: protección del SO del dominio invitado
Capítulo 2 Instalación y configuración segura de Oracle VM Server for SPARC
Capítulo 3 Consideraciones de seguridad para desarrolladores
Apéndice A Lista de comprobación para una implementación segura
Todos los sistemas Oracle SPARC de la actualidad incluyen un controlador integrado del sistema (ILOM) que tiene las siguientes capacidades:
Gestiona los controles básicos del entorno, como la velocidad del ventilador y la energía del chasis
Permite actualizar el firmware
Proporciona la consola del sistema para el dominio de control
Puede acceder al ILOM mediante una conexión serie o, para acceder mediante un puerto de red, puede usar SSH, HTTP, HTTPS, SNMP o IPMI. En Sistemas Fujitsu M10, use XSCF en lugar del ILOM para realizar funciones similares.
Un atacante que obtiene control del ILOM puede poner en peligro el sistema de muchas maneras, incluidas las siguientes:
Cortando el suministro de energía de todos los dominios invitados en ejecución
Instalando firmware manipulado para obtener acceso a al menos a un dominio invitado
Estos escenarios se aplican a cualquier sistema que tenga un dispositivo controlador. En un entorno virtualizado, los daños pueden ser mucho mayores que en un entorno físico porque muchos dominios que se alojan en el mismo contenedor del sistema pueden estar en riesgo.
Del mismo modo, un atacante que asume el control del dominio de control o de un dominio de E/S puede desactivar fácilmente todos los dominios invitados dependientes y cerrar así los servicios de E/S correspondientes.
Aunque el ILOM suele estar conectado a una red administrativa, también puede acceder al ILOM desde el dominio de control mediante IPMI con el módulo de acceso de BMC. Por lo tanto, ambas conexiones deben estar bien protegidas y aisladas de las redes de producción comunes.
Asimismo, un atacante puede vulnerar un dominio de servicio desde la red o por un error en la pila de virtualización y, a continuación, bloquear un dominio invitado de E/S o cerrar el sistema. Aunque los daños son limitados porque los datos no se pierden ni se ponen en riesgo, una gran cantidad de dominios invitados pueden verse afectados. Por lo tanto, establezca protección contra esta amenaza latente para limitar los posibles daños.
Como el procesador de servicio del sistema, el ILOM controla funciones críticas, como el suministro de energía del chasis, las configuraciones de Oracle VM Server for SPARC y el acceso de la consola al dominio de control. Las siguientes medidas permiten proteger el ILOM:
Colocar el puerto de red del ILOM en un segmento de red que esté separado de la red administrativa, que se utiliza para los dominios en el entorno de ejecución.
Desactivar todos los servicios que no sean necesarios para realizar operaciones, como HTTP, IPMI, SNMP, HTTPS y SSH.
Configurar cuentas de administrador personales y dedicadas que otorguen solamente los derechos requeridos. Para maximizar la responsabilidad de las acciones realizadas por los administradores, asegúrese de crear cuentas de administrador personales. Este tipo de acceso es especialmente importante para el acceso a la consola, las actualizaciones de firmware y la gestión de configuraciones de inicio.
|