Qualsiasi dominio con accesso diretto ai dispositivi I/O fisici, come porte di rete o dischi, è un dominio I/O. Per informazioni sulla configurazione dei domini I/O, vedere Capitolo 5, Configuring I/O Domains in Oracle VM Server for SPARC 3.2 Administration Guide .
Un dominio I/O può fungere anche da dominio di servizio se fornisce servizi I/O a domini guest, concedendo in tal modo ai domini l'accesso all'hardware.
Un attacco che blocca i servizi I/O di un dominio I/O garantisce un blocco equivalente in tutti i domini guest dipendenti. Un attacco DoS può essere portato a termine con successo tramite il sovraccarico della rete di back-end o dell'infrastruttura del disco mediante l'inserimento di un errore nel dominio. Entrambi gli attacchi possono forzare la sospensione o un errore grave del dominio. Allo stesso modo, un attacco che determina la sospensione dei servizi di un dominio di servizio causa la sospensione immediata di tutti i domini guest che dipendono da tali servizi. In caso di sospensione del dominio guest, le operazioni verranno riprese quando verrà ripristinato il servizio I/O.
Gli attacchi DoS vengono in genere eseguiti in rete. È possibile che questo tipo di attacco abbia successo in quanto le porte di rete sono aperte per la comunicazione e possono essere sovraccariche a causa del traffico di rete. La perdita di servizio risultante determina il blocco dei domini guest dipendenti. Un attacco simile alle risorse su disco può essere eseguito mediante l'infrastruttura SAN o il dominio I/O. L'unico danno è un arresto temporaneo di tutti i domini guest dipendenti. Sebbene l'impatto delle attività DoS possa essere considerevole, i dati non vengono compromessi né persi e la configurazione del sistema rimane intatta.
La configurazione di più domini I/O riduce l'impatto causato dall'errore o dalla compromissione di un singolo dominio. È possibile assegnare singoli slot PCIe a un dominio guest per conferirgli le funzionalità di dominio I/O. In caso di crash del dominio radice proprietario del bus PCIe, il bus viene reimpostato, con conseguente crash del dominio assegnato al singolo slot. Questa funzione non elimina completamente la necessità di utilizzare due domini radice, ciascuno proprietario di un bus PCIe separato.
L'alta disponibilità contribuisce anche a una maggiore sicurezza in quanto garantisce che i servizi possano resistere agli attacchi di negazione del servizio. Oracle VM Server per SPARC implementa metodologie di alta disponibilità come l'uso di risorse su disco e in rete ridondanti in domini I/O ridondanti. Questa opzione di configurazione consente di eseguire gli aggiornamenti senza interruzioni dei domini I/O e protegge dall'impatto di un errore in un dominio I/O dovuto a un attacco DoS riuscito. Con l'avvento di SR-IOV, i domini guest sono dotati di accesso diretto ai singoli dispositivi I/O. Quando tuttavia non è possibile utilizzare SR-IOV, considerare la possibilità di creare domini I/O ridondanti. Vedere Contromisura: isolamento dei domini di servizio tramite granularità.
Un dominio I/O è dotato di accesso diretto ai dispositivi di back-end, in genere dischi, che virtualizza e in seguito offre ai domini guest. Un attacco riuscito comporta l'accesso completo a questi dispositivi e la lettura dei dati sensibili o la manipolazione del software nei dischi di boot dei domini guest.
L'attacco a un dominio I/O è verosimile quanto un attacco riuscito a un dominio di servizio o al dominio di controllo. Il dominio I/O è un obiettivo interessante in quanto offre potenziale accesso a un numero elevato di dispositivi su disco. Considerare pertanto questa minaccia quando si gestiscono dati sensibili in un dominio guest in esecuzione su dischi virtualizzati.
Quando un dominio I/O è compromesso, l'intruso dispone di accesso completo ai dischi virtuali del dominio guest.
Proteggere il contenuto dei dischi virtuali effettuando le operazioni elencate di seguito.
Cifratura del contenuto dei dischi virtuali. Nei sistemi Oracle Solaris 10 è necessario utilizzare un'applicazione in grado di cifrare i propri dati, come pgp/gpg o le tablespace cifrate di Oracle 11g. Nei sistemi Oracle Solaris 11 è necessario utilizzare i set di dati cifrati ZFS per fornire una cifratura trasparente di tutti i dati archiviati nel file system.
Distribuzione dei dati in più dischi virtuali in diversi domini I/O. Un dominio guest deve creare un volume con striping (RAID 1/RAID 5) che esegue lo striping di più dischi virtuali ottenuti da due domini I/O. Se uno di questi domini I/O è compromesso, l'intruso avrà difficoltà nell'utilizzare la parte di dati disponibile.