Guia de Segurança do Oracle® VM Server for SPARC 3.2

Exit Print View

Updated: Março de 2015
 
 

Domínio de serviço

Um domínio de serviço fornece alguns serviços virtuais aos domínios convidados no sistema. Esses serviços podem incluir um serviço de switch virtual, disco virtual ou console virtual.

A Figure 1–6 mostra um exemplo de domínio de serviço que oferece serviços de console. Em geral, o domínio de controle hospeda os serviços de console e, portanto, também é um domínio de serviço. Os domínios do ambiente de execução geralmente combinam as funções de um domínio de controle, de um domínio de E/S e de um domínio de serviço em um ou dois domínios.

Ameaça: Manipulação de um domínio de serviço

Um invasor que obtiver controle de um domínio de serviço poderá manipular dados ou ter acesso a qualquer comunicação que ocorra por meio dos serviços oferecidos. Esse controle poderá incluir o acesso do console aos domínios convidados, o acesso a serviços de rede ou o acesso a serviços de disco.

Avaliação: Manipulação de um domínio de serviço

Embora as estratégias de ataque sejam as mesmas de um ataque no domínio de controle, o dano potencial é menor porque o invasor não pode modificar a configuração do sistema. O dano resultante poderá incluir o roubo ou a manipulação dos dados oferecidos pelo domínio de serviço, mas não a manipulação de quaisquer origens de dados. Dependendo do serviço, o invasor talvez precise trocar módulos de kernel.

Figure 1-6  Exemplo de domínio de serviço

image:O gráfico mostra como o domínio de controle se comunica com o domínio de serviço e que é possível a comunicação com um convidado por meio de um console virtual.
Contramedida: Segregação granular de domínios de serviço

Se possível, faça com que cada domínio de serviço ofereça apenas um serviço aos seus respectivos clientes. Essa configuração garantirá que somente um serviço seja comprometido em caso de violação de um domínio de serviço. Entretanto, avalie a importância desse tipo de configuração em relação à complexidade adicional. Observe que a existência de domínios de E/S redundantes é altamente recomendável.

Contramedida: Isolamento de domínios de serviço e de domínios convidados

    É possível isolar os domínios de serviço do Oracle Solaris 10 e do Oracle Solaris 11 dos domínios convidados. As soluções a seguir são mostradas na ordem preferencial de implementação:

  • Certifique-se de que o domínio de serviço e o domínio convidado não compartilhem a mesma porta de rede. Além disso, não conecte uma interface de switch virtual ao domínio de serviço. Para os domínios de serviço do Oracle Solaris 11, não conecte VNICs às portas físicas usadas para switches virtuais.

  • Caso deva usar a mesma porta de rede para os sistemas operacionais Oracle Solaris 10 e Oracle Solaris 11, coloque o tráfego do domínio de E/S em uma VLAN que não seja usada pelos domínios convidados.

  • Se não for possível implementar nenhuma das soluções anteriores, não conecte o switch virtual ao sistema operacional Oracle Solaris 10 e aplique filtros de IP no sistema operacional Oracle Solaris 11.

Contramedida: Restrição do acesso a consoles virtuais

Certifique-se de que o acesso aos consoles virtuais individuais esteja limitado somente aos usuários que devem acessá-los. Essa configuração garantirá que nenhum administrador tenha acesso a todos os consoles, o que impede o acesso a consoles diferentes dos atribuídos a uma conta comprometida. Consulte How to Create Default Services no Oracle VM Server for SPARC 3.2 Administration Guide .