Jede Domain, die direkten Zugriff auf physische I/O-Geräte hat, wie Netzwerkports oder Datenträger, ist eine I/O-Domain. Weitere Informationen zur Konfiguration von I/O-Domains finden Sie in Kapitel 5, Configuring I/O Domains in Oracle VM Server for SPARC 3.2 Administration Guide .
Eine I/O-Domain könnte auch eine Servicedomain sein, wenn sie Gastdomains I/O-Services bereitstellt, was den Domains Zugriff auf die Hardware gibt.
Ein Angreifer, der die I/O-Services einer I/O-Domain blockiert, blockiert dadurch auch alle abhängigen Gastdomains. Ein erfolgreicher DoS-Angriff kann erreicht werden, indem das Backend-Netzwerk oder die Datenträgerinfrastruktur überlastet oder ein Fehler in die Domain eingeschleust wird. Beide Angriffe können die Domain blockieren oder zu einer Alarmmeldung führen. Ebenso verursacht ein Angreifer, der die Services einer Servicedomain unterbricht, eine sofortige Blockierung jeder Gastdomain, die von diesen Services abhängt. Eine blockierte Gastdomain nimmt den Betrieb wieder auf, wenn der I/O-Service wieder aufgenommen wird.
DoS-Angriffe erfolgen im Allgemeinen über das Netzwerk. Ein solcher Angriff kann erfolgreich sein, weil Netzwerkports für Kommunikation offen sind und von Netzwerkdatenverkehr überflutet werden können. Eine sich daraus ergebende Serviceunterbrechung blockiert abhängige Gastdomains. Ein ähnlicher Angriff auf Datenträgerressourcen kann über die SAN-Infrastruktur oder durch Angriff der I/O-Domain erfolgen. Der einzige Schaden ist eine temporäre Unterbrechung aller abhängigen Gastdomains. Während die Auswirkungen von DoS-Aufgaben beträchtlich sein können, werden weder Daten gefährdet noch gehen Daten verloren, und die Systemkonfiguration bleibt intakt.
Durch die Konfiguration von mehreren I/O-Domains werden die Auswirkungen eines Fehlers oder einer Gefährdung einer Domain verringert. Sie können einer Gastdomain individuelle PCIe-Slots zuweisen, damit sie I/O-Domainfunktionen erhält. Wenn die Root-Domain abstürzt, die Eigentümer des PCIe-Busses ist, wird dieser Bus zurückgesetzt, was zu einem nachfolgenden Crash der Domain führt, die dem jeweiligen Slot zugeordnet war. Trotz dieser Funktion sind weiterhin zwei Root-Domains erforderlich, die jeweils Eigentümer eines separaten PCIe-Busses sind.
Hohe Verfügbarkeit trägt auch zu erweiterter Sicherheit bei, weil sie gewährleistet, dass Services Denial-of-Service-Angriffen widerstehen können. Oracle VM Server for SPARC implementiert Hochverfügbarkeitsmethodologien wie die Verwendung redundanter Datenträger- und Netzwerkressourcen in redundanten I/O-Domains. Diese Konfigurationsoption ermöglicht rollende Upgrades der I/O-Domains und schützt vor den Auswirkungen einer fehlerhaften I/O-Domain aufgrund eines erfolgreichen DoS-Angriffs. Seit der Verfügbarkeit von SR-IOV können Gastdomains direkt auf einzelne I/O-Geräte zugreifen. Wenn SR-IOV jedoch keine Option ist, sollten Sie redundante I/O-Domains erstellen. Weitere Informationen finden Sie in Gegenmaßnahme: Granulares Trennen von Servicedomains.
Eine I/O-Domain hat direkten Zugriff auf Backend-Geräte, im Allgemeinen Datenträger, die sie virtualisiert und dann Gastdomains anbietet. Ein Angreifer hat vollen Zugriff auf diese Geräte und kann vertrauliche Daten lesen oder Software auf den Boot-Datenträgern der Gastdomains manipulieren.
Ein Angriff auf die I/O-Domain ist so wahrscheinlich wie ein erfolgreicher Angriff auf eine Servicedomain oder die Kontrolldomain. Die I/O-Domain ist aufgrund des potenziellen Zugriffs auf eine große Anzahl von Datenträgergeräten ein attraktives Ziel. Deshalb sollten Sie diese Bedrohung berücksichtigen, wenn Sie es mit vertraulichen Daten in einer Gastdomain zu tun haben, die auf virtualisierten Datenträgern ausgeführt wird.
Wenn eine I/O-Domain gefährdet ist, hat der Angreifer vollen Zugriff auf die virtuellen Datenträger der Gastdomain.
Schützen Sie den Inhalt der virtuellen Datenträger wie folgt:
Verschlüsseln des Inhalts der virtuellen Datenträger. Bei Oracle Solaris 10-Systemen können Sie eine Anwendung verwenden, die ihre eigenen Daten verschlüsseln kann, wie pgp/gpg oder verschlüsselte Oracle 11g Tablespaces. Bei Oracle Solaris 11-Systemen können Sie verschlüsselte ZFS-Datasets für eine transparente Verschlüsselung aller im Dateisystem gespeicherten Daten verwenden.
Verteilen von Daten auf mehrere virtuelle Datenträger über verschiedene I/O-Domains hinweg. Eine Gastdomain könnte einen Stripeset-Datenträger (RAID 1/RAID 5) erstellen, der durch Striping über mehrere virtuelle Datenträger verteilt wird, die aus zwei I/O-Domains abgerufen werden. Wenn eine dieser I/O-Domains gefährdet ist, hätte der Angreifer Schwierigkeiten, den verfügbaren Datenteil zu nutzen.