Oracle® VM Server for SPARC 3.2 - Sicherheitshandbuch

Druckansicht beenden

 
Aktualisiert: März 2015
 
 

Servicedomain

Eine Servicedomain stellt Gastdomains in dem System einige virtuelle Services zur Verfügung. Services können einen virtuellen Switch, virtuellen Datenträger oder virtuellen Konsolenservice umfassen.

Figure 1–6 enthält ein Beispiel für eine Servicedomain, die Konsolenservices bereitstellt. Häufig hostet die Kontrolldomain die Konsolenservices und ist somit auch eine Servicedomain. Die Domains der Ausführungsumgebung kombinieren häufig die Funktionen einer Kontrolldomain, I/O-Domain und Servicedomain in einer oder zwei Domains.

Bedrohung: Manipulation einer Servicedomain

Ein Angreifer, der Kontrolle über eine Servicedomain erhält, kann Daten manipulieren oder eine Kommunikation abhören, die über die angebotenen Services erfolgt. Diese Kontrolle kann den Konsolenzugriff auf Gastdomains, den Zugriff auf Netzwerkservices oder den Zugriff auf Datenträgerservices umfassen.

Bewertung: Manipulation einer Servicedomain

Während die Angriffsstrategien dieselben sind wie bei einem Angriff auf die Kontrolldomain ist der mögliche Schaden geringer, weil der Angreifer die Systemkonfiguration nicht ändern kann. Der auftretende Schaden könnte den Diebstahl oder die Manipulation von Daten umfassen, die von der Servicedomain bereitgestellt werden, jedoch nicht die Manipulation von Datenquellen. Je nach Service könnte ein Angreifer gezwungen sein, Kernel-Module auszutauschen.

Abbildung 1-6  Servicedomain - Beispiel

image:In der Grafik wird dargestellt, wie die Kontrolldomain mit der Servicedomain kommuniziert, und wie Sie über eine virtuelle Konsole mit einer Gastdomain kommunizieren.
Gegenmaßnahme: Granulares Trennen von Servicedomains

Wenn möglich sollte jede Servicedomain ihren Clients nur einen Service anbieten. Diese Konfiguration garantiert, dass nur ein Service gefährdet werden kann, wenn die Sicherheit einer Servicedomain verletzt wird. Sie müssen jedoch die Wichtigkeit dieses Konfigurationstyps gegen zusätzliche Komplexität abwägen. Die Verwendung von redundanten I/O-Domains wird unbedingt empfohlen.

Gegenmaßnahme: Isolieren von Servicedomains und Gastdomains

    Sie können sowohl Oracle Solaris 10- als auch Oracle Solaris 11-Servicedomains von Gastdomains isolieren. Die folgenden Lösungen werden in der bevorzugten Reihenfolge der Implementierung dargestellt.

  • Stellen Sie sicher, dass Servicedomain und Gastdomain nicht denselben Netzwerkport gemeinsam verwenden. Außerdem schließen Sie keine virtuelle Switchoberfläche an der Servicedomain an. Schließen Sie bei Oracle Solaris 11-Servicedomains keine VNICs an den physischen Ports an, die für virtuelle Switches verwendet werden.

  • Wenn Sie denselben Netzwerkport für das Oracle Solaris 10-BS und das Oracle Solaris 11-BS verwenden müssen, wickeln Sie den Datenverkehr der I/O-Domain in einem VLAN ab, das nicht von Gastdomains verwendet wird.

  • Wenn Sie keine der vorherigen Lösungen implementieren können, schließen Sie keinen virtuellen Switch im Oracle Solaris 10-BS an, und wenden Sie IP-Filter im Oracle Solaris 11-BS an.

Gegenmaßnahme: Einschränken des Zugriffs auf virtuelle Konsolen

Stellen Sie sicher, dass der Zugriff auf virtuelle Konsolen nur auf die Benutzer begrenzt ist, die auf diese zugreifen müssen. Diese Konfiguration gewährleistet, dass ein einzelner Administrator nicht Zugriff auf alle Konsolen hat, was den Zugriff auf andere Konsolen als die Konsolen verhindert, die einem gefährdeten Konto zugewiesen sind. Weitere Informationen finden Sie in How to Create Default Services in Oracle VM Server for SPARC 3.2 Administration Guide .

Copyright © 2007, 2015, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. Rechtliche Hinweise
Zurück
Weiter