comércio eletrônico (2013/2) prof. dr. charles christian miers alunos: bruno bastos rodrigues,...
TRANSCRIPT
![Page 1: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/1.jpg)
Comércio Eletrônico (2013/2)
Prof. Dr. Charles Christian Miers
Alunos: Bruno Bastos Rodrigues,
Lucas da Cunha,
Ramon Michels Ruppenthal
Segurança em Máquinas Virtuais no OpenStack
![Page 2: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/2.jpg)
Objetivo Geral/Específicos
Objetivo Geral: apresentar preocupações e soluções de segurança inerentes à virtualização de recursos dentro do contexto de nuvem, utilizando como estudo de caso a plataforma OpenStack Grizzly.
Objetivos Específicos:Entendimento dos conceitos básicos envolvidos;Elencar as principais questões de segurança
relacionadas à virtualização;Testes práticos na plataforma OpenStack em pontos
específicos.
2
![Page 3: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/3.jpg)
Introdução a Computação em Nuvem
Definição (NIST): “É um modelo que permite um acesso universal e adequado à rede sob-demanda
para um conjunto compartilhado de recursos computacionais configuráveis (por exemplo: rede, servidores, armazenamento, aplicações, serviços) que podem ser rapidamente fornecidos e disponibilizados com um mínimo de esforço de gestão ou interação com o fornecedor do serviço”
Porque utilizar Computação em Nuvem?
•
3
![Page 4: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/4.jpg)
Introdução Computação em Nuvem
NIST disponibiliza definições de Nuvem que são aceitas como referência mundial.
Adaptado de: (MELL e GRANCE, 2009). 4
![Page 5: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/5.jpg)
Adaptado de: (LINKHEAD, 2010).
Modelos de Implantação
5
![Page 6: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/6.jpg)
Modelos de Serviço
6
![Page 7: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/7.jpg)
Arquitetura de Referência NIST
Adaptado de: (MELL e GRANCE, 2009)7
![Page 8: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/8.jpg)
Como aproveitar ao máximo os recursos de hardware?
8
![Page 9: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/9.jpg)
Virtualização de Recursos de Hardware!!!
9
![Page 10: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/10.jpg)
Virtualização de Recursos
Conceitos
Tipos de Virtualização
Soluções de Virtualização
10
![Page 11: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/11.jpg)
Virtualização
Fonte: (REDES E SERVIDORES, 2011)
O conceito surgiu em 1967 pela IBM com a criação do primeiro hypervisor (POPEK; GOLDBERG, 1973).
O que é? Abstração de um conjunto de recursos (computacionais e/ou de comunicação)
É possível virtualizar diversos componentes...
11
![Page 12: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/12.jpg)
Fonte: vmware.com
Aproveitamento de Recursos Ociosos
12
![Page 13: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/13.jpg)
Tipos de Virtualização
13
![Page 14: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/14.jpg)
Fonte: www.ibm.com
Virtualização de Hardware
14
Muito utilizada em mainframes;Partições lógicas (LPAR) dividem os recursos do
hardware;
![Page 15: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/15.jpg)
Containers
15
Também chamada de virtualização de S.O. O kernel e algumas ferramentas devem ser modificadas; Para cada instância, cria um ambiente virtual isolado (container)
executado sobre um único kernel que garante o isolamento; Consome bem menos recursos.
![Page 16: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/16.jpg)
Virtualização por Software
16
![Page 17: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/17.jpg)
Hypervisor
17
Hypervisor é uma camada de software que permite ao node executar diversas máquinas virtuais com a possibilidade de configuração e hardware diferentes do node, também é comumente chamado de VMM (Virtual Machine
Monitor).Exemplos: VMWare, Xen, KVM, LXC, PowerVM,
etc.
![Page 18: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/18.jpg)
Tipos de Hypervisors
18
Tipo 1: Bare-Metal (No Metal)Tipo 2: Host (Hospedado em um SO)
![Page 19: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/19.jpg)
Virtualização Total
Fonte: www.datamotion.com (Figura)
Um ou mais sistemas operacionais (SOs) e os aplicativos que eles contêm são executados em cima do hardware virtual;
Cada instância de um sistema operacional e seus aplicativos é executada em uma MV separada chamada de sistema operacional hospedado.
19
![Page 20: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/20.jpg)
Paravirtualização
Fonte: www.datamotion.com (Figura)
Em vez de utilizar diretamente as instruções de hardware, os SOs virtualizados utilizam uma API (Application Programming Interface) exposta pelo Hypervisor para executar as instruções normais do sistema operacional hospedado (KOSLOVSKI, 2011).
20
![Page 21: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/21.jpg)
Emulação
Fonte: www.datamotion.com (Figura)21
Máquina virtual simula um hardware com CPU diferente do hardware físico;
Hypervisor precisa converter instruções;SO funciona sem modificações.
![Page 22: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/22.jpg)
Virtualização Assistida por Hardware
22
Hardware auxilia no isolamento das máquinas virtuais;
Hardware se encarrega de partes ineficientes e/ou complexas da virtualização via software.
![Page 23: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/23.jpg)
Plataformas de Virtualização
23
O OpenStack divide as plataformas em 3 grupos:Grupo A: os drivers são totalmente suportados.
Hypervisors: libvirt qemu/KVM em x86;Grupo B: os drivers não foram totalmente
testados. Hypervisors: XenAPI em x86;Grupo C: os drivers foram minimamente testados
ou não foram testados. Hypervisors: VMWare, baremetal, docker, Hyper-V, libvirt (LXC, Xen), PowerVM e ARM.
![Page 24: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/24.jpg)
Os 3 Principais Hypervisors para o OpenStack
24
![Page 25: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/25.jpg)
XENXen:
Originário de um projeto de pesquisa da universidade de Cambridge, na Inglaterra em 2003 (BARHAM et al., 2003). Xen tem seus componentes divididos em dois Domínios:
Domínio 0 (Dom0): tem o maior privilégio em uma máquina, ou seja, é a única máquina virtual (por padrão) que possui acesso e controle direto sobre o hardware;
Domínio U (DomU): Os domínios hospedados em Xen são gerenciados (criados, destruídos, suspensos, reiniciados, etc.) através de interfaces administrativas disponibilizadas no Dom0.
25
![Page 26: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/26.jpg)
Adaptado de: (MENEZES, 2008)
Arquitetura Xen
26
![Page 27: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/27.jpg)
KVM KVM (Kernel-based Virtual Machine) foi criado em
2007 pela empresa Red Hat e sua tecnologia é voltada ao Linux;
Os desenvolvedores do KVM criaram um método que transformou o próprio kernel do Linux em um MMV, assim, pôde-se simplificar a gestão e melhorar o desempenho em ambientes virtualizados (HABIB, 2008);
27
![Page 28: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/28.jpg)
Adaptado de: (HABBIB, 2008)
Arquitetura KVM
28
![Page 29: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/29.jpg)
VMWare VMware:
Criado em 1998 e em 2004 foi comprado pela EMC pelo valor de U$625 milhões (VMWARE, 2012b);
Teoricamente, qualquer SO (Sistema Operacional) que pode ser executado em uma arquitetura x86 pode funcionar como um SO hospedado no VMware.
29
![Page 30: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/30.jpg)
Fonte: www.vmware.com
Arquitetura VMWare
30
![Page 31: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/31.jpg)
Introdução da plataforma OpenStack
31
![Page 32: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/32.jpg)
Projeto OpenStack
Fonte: (DIEDER, 2013)
Sistema Operacional de NuvemCriação de nuvem pública / privada IaaSFundação OpenStack+ 1000 membros individuais+ 850 organizações+ 87 paísesInício desenvolvimento em 2010Idealizado pela NASA (EUA) e RackspaceRelease atual: HavanaLinguagem: Python
32
![Page 33: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/33.jpg)
Fonte: (QYJOHN, 2012)
Apoio da Comunidade ao OpenStackNúmero mensal de participantes
33
![Page 34: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/34.jpg)
Visão Geral
Fonte: (DIEDER, 2013)34
![Page 35: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/35.jpg)
Necessidade de Segurança no Ambiente de Nuvem
“Pelo fato da computação em nuvem ser um projeto emergente, além de trazer consigo vulnerabilidades de tecnologias que lhe deram origem, traz à luz também novas vulnerabilidade” (CASTRO et. al, 2012).Componentes de rede;Máquinas virtuais; API’s;Componentes WEB;Entre outros.
35
![Page 36: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/36.jpg)
Necessidade de Segurança nas VM’sNecessidade de orquestrar instruções aos recursos físicos
Cada processador suporta um conjunto de instruções.Algumas executam em modo privilegiado e outras em modo usuário.
36
![Page 37: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/37.jpg)
Guias para Segurança em Virtualização
37
![Page 38: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/38.jpg)
Importância dos Guias de Segurança em Virtualização
38
Fornecem uma visão geral da segurança em virtualização;
Identificam as principais questões de segurança relacionadas;
Estabelecem normas, prioridades e medidas de prevenção.
![Page 39: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/39.jpg)
Principais Guias Relacionados
39
NIST – Guide to Security for Full Virtualization Technologies
PCI Security Standards Council – Data Security Standards (DSS) Virtualization Guideline
Red Hat – Virtualization Security Guide
![Page 40: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/40.jpg)
NIST
40
Subdivide as recomendações em 4 áreas:Segurança do hypervisor;Segurança do Guest;Segurança da infraestrutura virtualizada; eSegurança na virtualização de desktops.
Fornece um ciclo de planejamento e utilização para uma virtualização segura:Iniciação;Planejamento e projeto;Implementação;Operações e Manutenção; eDisposição.
![Page 41: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/41.jpg)
Recomendações por Áreas do NIST
41
Segurança do Hypervisor:Instalar updates de segurança;Restringir acesso administrativo;Sincronizar a infraestrutura com um timeserver confiável;Desabilitar serviços não utilizados; eMonitoramento, análise de logs.
Segurança dos GuestsSeguir recomendações práticas para gerenciamento de
S.O físico;Instalar updates de segurança;Backup de drivers virtuais regularmente; eUtilizar diferentes soluções de autenticação.
![Page 42: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/42.jpg)
Recomendações por Áreas do NIST
42
Segurança da infraestrutura virtual:Isolamento de rede;Isolamento de armazenamento; eIsolamento de instruções.
Virtualização de Desktops:Única diferença para virtualização de servidores é a
capacidade de gerenciamento de imagens.Servidores -> gerenciamento de imagens restritoDesktop -> responsabilidade é do usuário
![Page 43: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/43.jpg)
Fases de Planejamento e Utilização Segura da Virtualização
43
Fases de Planejamento e Utilização Segura da Virtualização
Iniciação-Tarefas de organização;- Ident. de requisitos;- Ident. de plataformas;-Ident. de Aplicações, etc.
Planejamento e Projeto- Especificar características/ componentes relacionados;-Métodos de autenticação;-Mecanismos de cifragem, etc;
Implementação-Configuração dos equipamentos e componentes
Operação e Manutenção- Revisão de logs;- Detecção de ataques;- Monitoramento constante
Disposição/Remoção- Preservação das informações;- Exclusão apropriada de dados;- Descarte apropriado de equipamentos, etc.
1 2 3 4 5
![Page 44: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/44.jpg)
Red Hat
44
Subdivide as recomendações em 3 áreas:Segurança do host/hypervisor;Segurança dos Guests; eSegurança de rede no ambiente virtualizado.
Apresenta diversas recomendações específicas para o Red Hat Enterprise Linux.
![Page 45: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/45.jpg)
Recomendações por Áreas
45
Segurança do host/hypervisorExecutar apenas serviços recomendados;Limitar acesso apenas à usuários com
necessidade de gerenciar o sistema;Garantir que seja possível realizar auditorias; eUtilizar canais seguros de comunicação
SSL/TLS;Criar rede isolada de gerenciamento.
![Page 46: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/46.jpg)
Recomendações por Áreas
46
Segurança dos GuestsUtilização de canais seguros de comunicação;Garantir a segurança das aplicações; eCifragem de dados para que não sejam acessados
fora do escopo de segurança dos guests.Segurança de Rede
Utilização de protocolos seguros de comunicação;Firewalls;Políticas; eIsolamento da rede de administradores dos guests.
![Page 47: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/47.jpg)
PCI Security Standards
47
Subdivide suas seções em 3 áreas:Visão geral de virtualização;Riscos para ambientes virtualizados; eRecomendações.
![Page 48: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/48.jpg)
48
Visão geralConceitos de virtualização (tipos/classes);Componentes da virtualização.
Riscos para ambientes virtualizadosVulnerabilidades no ambiente físico aplicado em
um ambiente virtual;Vulnerabilidades proporcionadas pelo hypervisor;Aumento da complexidade dos sistemas
virtualizados e redes;Mais de uma função por sistema físico.
Recomendações por Áreas
![Page 49: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/49.jpg)
Recomendações por Áreas
49
Mistura de VM’s de diferentes níveis de confiança;
Falta de separação de funções;VM’s em estado de espera;Imagens e Snapshots;Imaturidade das funções de monitoramento;Vazamento de informações entre segmentos
virtuais de rede.
![Page 50: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/50.jpg)
50
Pontos Abordados NIST RED HAT PCI
1 – Segurança do hypervisor. (Monitoramento/logs/Configuração/ restrições de acesso administrativo)
Abordado Abordado Abordado
2 – Segurança da infraestrutura virtual
Abordado Abordado Abordado
3 - Mistura de VM’s de diferentes níveis de confiança no mesmo host
N.A N.A Abordado
4 - Segurança em virtualização de servidores
Abordado Abordado Abordado
5 - Segurança em virtualização de desktops
Abordado N.A Abordado
Comparativo
![Page 51: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/51.jpg)
Comparativo
51
Pontos Abordados NIST RED HAT PCI
6 - Vazamento de informações entre segmentos virtuais de rede.
Abordado N.A Abordado
7 - Imaturidade das funções de monitoramento
N.A N.A Abordado
8 – Segurança na geração de Imagens e Snapshots
N.A N.A Abordado
9 – Isolamento de Rede Abordado Abordado Abordado
10 – Proteção da Imagem da VM
Abordado N.A Abordado
11 – Segurança dos dados da VM
Abordado Abordado Abordado
12 - Segurança das API’s do hypervisor
N.A N.A N.A
![Page 52: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/52.jpg)
Análise das Vulnerabilidades dos Hypervisors
52
Fontes de análise: LaunchPad (Bugs) Parâmetros:
Status: nova, confirmada, em triagem, em progresso e corrigida, incompleto, correção enviada, correção liberada, não será corrigido.
Importance (Relevância ou Importância): lista de espera, indefinida, baixa, média, alta e crítica.
CVE (Vulnerabilidades)Parâmetros:
Severidade: baixa (0-3), média (4-6), alta e média (4-10), alta (7-10);
Vetor de acesso: rede, rede local, apenas local;Complexidade de acesso: baixa, média e alta;Autenticação: nenhuma, única, múltipla.
![Page 53: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/53.jpg)
(LAUNCHPAD, 2013)
LaunchPad LaunchPad: estrutura para que a comunidade submeta bugs; Categorização dos bugs listados; Cada tipo de bug possui uma equipe especializada; e OSSG (OpenStack Security Group) --> VMT (Vulnerability Management
Team)
53
![Page 54: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/54.jpg)
(CVE MITRE, 2013)
CVE (Common Vulnerabilities and Exposures)
54
É uma lista de problemas comuns de segurança pertinentes a diversos sistemas
Metas:Enumerar todos os problemas de segurança
publicamente conhecidosPadronizar os tipos de problemasSer publico, aberto compartilhável, sem restrições
de distribuição
![Page 55: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/55.jpg)
Qemu/KVM - Bugs
Fonte: (LAUNCHPAD, 2013).55
![Page 56: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/56.jpg)
Qemu/KVM - Vulnerabilidades
Fonte: (CVE MITRE, 2013).56
![Page 57: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/57.jpg)
Xen - Bugs
Fonte: (LAUNCHPAD, 2013).57
![Page 58: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/58.jpg)
Xen - Vulnerabilidades
Fonte: (CVE MITRE, 2013).58
![Page 59: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/59.jpg)
Fonte: (LAUNCHPAD, 2013).
VMWare - Bugs
59
![Page 60: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/60.jpg)
Fonte: (CVE MITRE, 2013).
VMWare - Vulnerabilildades
60
![Page 61: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/61.jpg)
Considerações sobre o Comparativo
Fonte: (GONZALEZ et. al., 2012).61
![Page 62: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/62.jpg)
Estudo de Caso com o OpenStack
62
![Page 63: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/63.jpg)
Objetivo do Estudo de Caso
63
Compreensão geral da plataforma;DevStack, ArquiteturaNova
Realizar a criação de uma VM;Monitoramento
Verificar a comunicação entre os componentes;Verificar se a imagem requisitada no Glance está
cifradaSoluções para possíveis problemas encontrados.
Opções de segurança SELinux sVirt
![Page 64: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/64.jpg)
Adaptado de (PEPPLE, 2012)
Arquitetura
64
![Page 65: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/65.jpg)
Fonte: (PEPPLE, 2012)
Nova
65
Infraestrutura computacional (codinome Nova):Gerenciador da infraestrutura computacional de uma nuvem
OpenStack
Controla todas as necessidades de recursos computacionais, rede, autorização, e escalabilidade da nuvem.
![Page 66: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/66.jpg)
Instalação do OpenStack
66
Abordagem para desenvolvedoresInstalação por scripts
Multi-node, Single-node, em VM
Não recomendada para uso em produção!Scripts facilitam a instalação porém limitam a
personalização.
![Page 67: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/67.jpg)
Configuração do DevStack
67
Hypervisor utilizado pelo DevStack:QemuAbordagem multi-node
ComputeController
![Page 68: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/68.jpg)
Criação de uma VMpor CLI
68
1 – Verificar os grupos de segurança2 – Habilitar ping/ssh3 – Adicionar Regras4 – Gerar Chave5 – Listar os tipos de imagens6 – Listar as imagens7 – Criar a VM
![Page 69: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/69.jpg)
Processo de Criação de uma VM
69
![Page 70: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/70.jpg)
Processo de Criação de uma VM
70
![Page 71: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/71.jpg)
Processo de Criação de uma VM
71
![Page 72: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/72.jpg)
Processo de Criação de uma VM
72
![Page 73: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/73.jpg)
Monitoramento
73
Objetivo: Verificação da comunicação interna (autenticação no Keystone) e da requisição da imagem no Glance.
Procedimento: filtragem pelas portasIP_HOST:9292 (Glance)IP_HOST:5000 (Keystone)
![Page 74: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/74.jpg)
Monitoramento
74
![Page 75: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/75.jpg)
MonitoramentoGlance autenticando no Keystone
75
![Page 76: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/76.jpg)
MonitoramentoGlance autenticando no Keystone
76
![Page 77: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/77.jpg)
MonitoramentoGlance buscando a imagem no MySQL
77
![Page 78: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/78.jpg)
MonitoramentoGlance buscando a imagem no MySQL
78
![Page 79: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/79.jpg)
Considerações Parciais
79
Comunicação interna realizada por padrão de forma insegura.Credenciais passadas em texto as claras.
Imagem requisitada para criação da VM não é cifrada
Solução: PKI + Certification Authority (CA) para validar a PKI de uma entidade (usuario, sistema, componente, entre outros)
![Page 80: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/80.jpg)
Correção
80
Configurar Glance.conf para cifrar os metadados da imagem.
Etc/Glance/Glance.conf
![Page 81: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/81.jpg)
Imagens Cifradas
81
![Page 82: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/82.jpg)
Correção
Fonte: http://docs.openstack.org/developer/keystone/configuration.html#generating-ssl-certificates
82
Configurar Keystone.conf para utilizar tokens PKI, comunicando-se com SSL e certificadas com X509.
etc/Keystone/Keystone.conf
![Page 83: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/83.jpg)
Fonte: (OSSG, 2013) OpenStack Security Group83
Certificados + SSL
Somente no release Folsom o recurso foi adicionado
![Page 84: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/84.jpg)
Gerando Certificados no Keystone
84
![Page 85: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/85.jpg)
Resultado
85
![Page 86: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/86.jpg)
Resultado
86
![Page 87: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/87.jpg)
sVirt (SELinux) + virsh (Libvirt)Isolamento de VM’s
87
![Page 88: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/88.jpg)
Fonte: (IBM, 2013)
Isolamento com sVirt
88
![Page 89: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/89.jpg)
Gerenciamento do Ciclo de Vida das VMs com o virsh
89
![Page 90: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/90.jpg)
Considerações Finais
90
Hardware
Nuvem
Hypervisor
VM-2VM-1
VM-NVulnerabilidades de virtualização de nuvem
possuem alta complexidade
Virtualização = abstração de softwareVirtualização na nuvem = 2x abstração
No CVE => Maioria das vulnerabilidades provenientes de erros de programação
Rápida evolução da plataforma, consequentemente da sua segurança.
![Page 91: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/91.jpg)
Muitas vezes a segurança da plataforma depende da sua configuração adequada.As configurações de segurança não são habilitadas
por padrão tanto para o DevStack e a para instalação tradicional.
Habilitar o protocolo SSL proporciona segurança na comunicação interna na plataforma.
Considerações Finais
91
![Page 92: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/92.jpg)
Considerações Finais
92
Compreensão da importância da virtualização no contexto de nuvem, dos diversos tipos de virtualização, sua segurança.
Visão geral do funcionamento da plataforma/hypervisors e da segurança por meio dos guias.
![Page 93: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/93.jpg)
Referências
93
DIEDER, MARCELO. Como Gerenciar uma Nuvem Pública ou Privada Utilizando o OpenStack. Fórum Internacional de Software Livre (FISL) 14ª edição. Porto Alegre, Brasil. 2013.
GONZALEZ, M.; MIERS, C.; ROJAS, M.A.; REDÍGOLO, F.; CARVALHO, T.; NÄSLUND, M.; POURZANDI, M. A Quantitative Analysis of Current Security Concerns and Solutions for Cloud Computing. Journal of Cloud Computing (JoCCASA), vol. 1, 2012.
LAUNCHPAD (2013). OpenStack. Disponível em: https://launchpad.net/openstack.
MELL, P.; GRANCE, T. The NIST Definition of Cloud Computing. National Institute of Standards and Technology (NIST), Information Technology Laboratory. Gaithersburg, Maryland – USA. 2011.
PCI Security Standards Council. (2011). Data Security Standard (PCI DSS). Virtualization Special Interest Group. Disponível em: https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
![Page 94: Comércio Eletrônico (2013/2) Prof. Dr. Charles Christian Miers Alunos: Bruno Bastos Rodrigues, Lucas da Cunha, Ramon Michels Ruppenthal Segurança em Máquinas](https://reader031.vdocuments.pub/reader031/viewer/2022013011/552fc14c497959413d8e27cc/html5/thumbnails/94.jpg)
Referências
94
PEPPLE, K. (2012). OpenStack Folsom Architecture. Disponível em: http://ken.pepple.info/openstack/2012/09/25/openstack-folsom-architecture/
Red Hat. (2013). Virtualization Security Guide. Disponível em: https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Virtualization_Security_Guide/
RITA DE C. C. DE CASTRO; LUIZA DOMINGOS; GLAUCIVÂNIA LUZ; CLAUDIO PEREIRA; MARCELO GOMES. Gestão de Vulnerabilidades em Cloud Computing: Um Cenário da Nuvem Pública. Universidade Estadual do Ceará (UECE). 2012.
SLIPETSKYY, R. Security Issues In OpenStack. Master thesis in Security and Mobile Computing, Departament of Telematics, Norwegian University of Science and Technology (NUST). Junho de 2011.
VMWare. (2013). VMWare Virtualization. Disponível em: http://www.vmware.com/virtualization/
WEN, X.; GU, G.; LI, Q.; GAO, Y.; ZHANG, X. Comparison of Open-Source Cloud Management Platforms: OpenStack and OpenNebula. In 9th International Conference on Fuzzy Systems and Knowledge Discovery, FSKD '12, pages 2457- 2461. 2012.