Qualquer domínio que tenha acesso direto a dispositivos físicos de E/S, como portas de rede ou discos, é um domínio de E/S. Para obter informações sobre como configurar domínios de E/S, consulte o Capítulo 5, Configuring I/O Domains, no Oracle VM Server for SPARC 3.2 Administration Guide .
Um domínio de E/S também poderá ser um domínio de serviço caso forneça serviços de E/S a domínios convidados, o que permitirá o acesso dos domínios ao hardware.
Um invasor que bloquear os serviços de E/S de um domínios de E/S fará com que todos os domínios convidados dependentes sejam igualmente bloqueados. Um ataque de negação de serviço bem-sucedido poderá ser alcançado por meio da sobrecarga da infraestrutura de disco ou da rede de back-end ou por meio da introdução de um erro no domínio. Ambos os ataques podem fazer com que o domínio pare ou dispare um alerta. Da mesma forma, um invasor que suspender os serviços de um domínio de serviço fará com que os domínios convidados que dependem desses serviços parem imediatamente. Se o domínio convidado parar, sua operação será retomada quando o serviço de E/S reiniciar.
Normalmente os ataques de negação de serviço são executados na rede. Esses ataques podem ser bem-sucedidos porque as portas de rede estão abertas para comunicação e podem ficar saturadas com o tráfego da rede. Uma perda resultante de serviço bloqueará os domínios convidados dependentes. Um ataque semelhante nos recursos de disco poderá ocorrer por meio da infraestrutura de SAN ou de um ataque ao domínio de E/S. O único dano é uma interrupção temporária de todos os domínios convidados dependentes. Embora o impacto das tarefas de negação de serviço possa ser significativo, os dados não são comprometidos nem perdidos, e a configuração do sistema permanece intacta.
A configuração de vários domínios de E/S reduz o impacto de uma falha ou comprometimento de um domínio. Você pode atribuir slots PCIe individuais a um domínio convidado para dotá-lo dos recursos de um domínio de E/S. Se ocorrer uma falha no domínio raiz que possui o barramento PCIe, esse barramento será redefinido, o que levará a uma falha subsequente do domínio atribuído ao slot individual. Esse recurso não elimina totalmente a necessidade de existirem dois domínios raiz, cada um com um barramento PCIe separado.
A alta disponibilidade também contribui para maior segurança, pois garante que os serviços suportem ataques de negação de serviço. O Oracle VM Server for SPARC implementa metodologias de alta disponibilidade, como o uso de recursos de disco e rede redundantes em domínios de E/S redundantes. Essa opção de configuração permite atualizações dinâmicas dos domínios de E/S e oferece proteção contra o impacto de uma falha em um domínio de E/S devido a um ataque de negação de serviço bem-sucedido. Com o advento do SR-IOV, os domínios convidados podem ter acesso direto a dispositivos de E/S individuais. Entretanto, quando o SR-IOV não for uma opção, considere a criação de domínios de E/S redundantes. Consulte Contramedida: Segregação granular de domínios de serviço.
Um domínio de E/S tem acesso direto a dispositivos de back-end, geralmente discos, os quais ele virtualiza e oferece aos domínios convidados. Um invasor bem-sucedido terá total acesso a esses dispositivos e poderá ler dados confidenciais ou manipular o software nos discos de inicialização dos domínios convidados.
A probabilidade de um ataque em um domínio de E/S é a mesma de um ataque bem-sucedido em um domínio de serviço ou de controle. O domínio de E/S é um alvo atraente devido ao acesso potencial a um grande número de dispositivos de disco. Portanto, considere essa ameaça ao lidar com dados confidenciais em um domínio convidado executado em discos virtualizados.
Quando um domínio de E/S é comprometido, o invasor tem total aceso aos discos virtuais do domínio convidado.
Proteja o conteúdo dos discos virtuais da seguinte maneira:
Criptografando o conteúdo dos discos virtuais. Nos sistemas Oracle Solaris 10, você poderá usar um aplicativo que criptografa seus próprios dados, como o pgp/gpg ou os tablespaces criptografados do Oracle 11g. Nos sistemas Oracle Solaris 11, você poderá usar conjuntos de dados criptografados pelo ZFS para permitir a criptografia transparente de todos os dados armazenados no sistema de arquivos.
Distribuindo os dados por vários discos virtuais em diferentes domínios de E/S. Um domínio convidado poderá criar um volume distribuído (RAID 1/RAID 5) por vários discos virtuais obtidos de dois domínios de E/S. Se um desses domínios de E/S for comprometido, o invasor terá dificuldade de usar a parte dos dados disponível.