第 1 章 Oracle VM Server for SPARC 安全概述
Oracle VM Server for SPARC 使用的安全功能
Oracle VM Server for SPARC 产品概述
将常规安全原则应用到 Oracle VM Server for SPARC
对策:规划 Oracle VM Server for SPARC 域迁移
对策:使用 Logical Domains Manager 权限
可直接访问物理 I/O 设备(如网络端口或磁盘)的任何域都是 I/O 域。有关配置 I/O 域的信息,请参见Oracle VM Server for SPARC 3.1 管理指南 中的第 6 章 设置 I/O 域。
如果某个 I/O 域向来宾域提供 I/O 服务(这将授予域访问硬件的权限),则该 I/O 域也可能是服务域。
阻止 I/O 域的 I/O 服务的攻击者可确保同等阻止所有依赖的来宾域。通过让后端网络或磁盘基础结构过载,或者向域中注入错误,可能成功实现 DoS 攻击。攻击可能会强制将域挂起,或者使域出现紧急情况。同样,暂挂了某个服务域的服务的攻击者会导致依赖于这些服务的任何来宾域立即挂起。如果来宾域挂起,则将在 I/O 服务恢复时恢复操作。
DoS 攻击通常通过网络进行。因为网络端口开放用于通信,可能会不堪网络通信流量的重负,因此此类攻击可能会成功。因此而导致的服务丢失会阻止依赖的来宾域。对磁盘资源的类似攻击可以通过 SAN 基础结构或者通过攻击 I/O 域进行。造成的唯一损害是暂时停止所有依赖的来宾域。虽然 DoS 任务造成的影响可能会很严重,但是数据既不会丢失,也不会受损,系统配置保持不变。
配置多个 I/O 域可减轻一个域发生故障或受损造成的影响。可以将单个 PCIe 插槽分配给来宾域,为其提供 I/O 域功能。如果拥有 PCIe 总线的根域崩溃,则将重置该总线,从而导致随后分配有单个插槽的域崩溃。有了此功能,并不意味着完全不需要两个各自拥有独立 PCIe 总线的根域。
高可用性也有助于增强安全性,因为可以确保服务能承受拒绝服务攻击。Oracle VM Server for SPARC 实现了一些高可用性方法,例如,使用冗余磁盘以及冗余 I/O 域中的网络资源。利用此配置选项,可以滚动升级 I/O 域,防止受到由于成功的 DoS 攻击而发生故障的 I/O 域的影响。随着 SR-IOV 的出现,来宾域可以直接访问单个 I/O 设备。但是,当不能选择 SR-IOV 时,可考虑创建冗余 I/O 域。请参见对策:精细划分服务域。
I/O 域可以直接访问后端设备(通常是磁盘);I/O 域将这些设备虚拟化,然后将其提供给来宾域。成功的攻击者拥有这些设备的完全访问权限,可以读取来宾域的引导磁盘上的敏感数据或操纵其上的软件。
在成功攻击了服务域或控制域后,可能会发生 I/O 域攻击。I/O 域是一个有吸引力的目标,因为成功攻击 I/O 域就可以访问大量的磁盘设备。因此,在处理虚拟化磁盘上运行的来宾域中的敏感数据时,要考虑这种威胁。
在 I/O 域受损时,攻击者将拥有对来宾域的虚拟磁盘的完全访问权限。
可通过以下措施保护虚拟磁盘的内容:
将虚拟磁盘内容加密。在 Oracle Solaris 10 系统上,可以使用能将自己的数据加密的应用程序,如 pgp/gpg 或 Oracle 11g 加密表空间。在 Oracle Solaris 11 系统上,可以使用 ZFS 加密数据集,为文件系统中存储的所有数据提供透明的加密。
将数据分布在跨不同 I/O 域的多个虚拟磁盘上。来宾域可以创建条带化的 (RAID 1/RAID 5) 卷;该卷在从两个 I/O 域获取的多个虚拟磁盘上条带化。当其中一个 I/O 域受损时,攻击者将难以利用可用数据部分。