Virtualizzazione applicazioni per la sicurezza Luigi Catuogno Fisciano, 24 ottobre 2008
Sommario Virtualizzazione e para-virtualizzazione Sicurezza Separazione delle applicazioni Virtual data center Trusted Virtual Data Centers Trusted Computing Trusted Virtual Domain
AVVISO In questa presentazione si è deciso di privilegiare una descrizione intuitiva dei temi trattati, al prezzo di qualche imprecisione ed inesattezza nei dettagli Chi è interessato all argomento, può contattarmi liberamente, sarò lieto di fornirgli riferimenti bibliografici e documentazione più rigorosa
Approccio tradizionale Una macchina fisica (PM) Un sistema operativo Scelta vincolante per l implementazione dei servizi Più servizi istallati nello stesso sistema In caso di congestione si deve acquisire una nuova PM e redistribuire I servizi
Approccio tradizionale Physical Machine Weak srv WEB srv Gestionale S.O. HARDWARE Dischi Rete
Annosi problemi L Approccio tradizionale Poco scalabile Non c è soluzione al sottoutilizzo (si finisce nelle mani di seti@home) Disaster Recovery laborioso Maggiore vulnerabilità La sicurezza della PM è quella della sua applicazione più debole..
Disaster Recovery Il servizio di backup protegge i file di lavoro del servizio In caso di crash: Occorre istallare una nuova macchina fisica identica Occorre ripristinare lo stato dell applicazione recuperando I file dalle unità di backup
Vulnerabilità Physical Machine Weak srv WEB srv Gestionale S.O. HARDWARE Dischi Rete
Virtualizzazione Emulazione software di una piattaforma hardware VMWare workstation SUN xvm Virtualbox Eseguita dal sistema ospitante (host) come una applicazione utente In grado di eseguire a sua volta un sistema operativo (guest) Il sistema ospite non deve essere modificato
Paravirtualizzazione Implementazione di uno strato di controllo (hypervisor) dell accesso all hardware della macchina fisica (physical machine) XEN Gestisce la creazione ed il funzionamento di istanze di s.o. In grado di eseguire a loro volta un sistema operativo (guest) Il sistema ospite deve supportare l interfaccia del monitor modificato Prestazioni generalmente migliori
XEN Un monitor per macchine virtuali Rilasciato sotto licenza GPL Realizzato presso il Computer Laboratory dell'università di Cambridge Disponibile per numerose piattaforme
Architettura Hypervisor Regola e controlla l accesso delle varie istanze di macchina virutale all hardware sottostante Management VM (Dom 0) Macchina virtuale privilegiata avviata al boot dall hypervisor al quale ha completo accesso User VM (Dom U) Macchina(e) virtuale(i) creata dal Dom 0 secondo le esigenze. Accesso non privilegiato alle risorse della PM
Architettura Management VM Policy VM1 WEB srv VM2 Gestionale Hypervisor HARDWARE Dischi Rete
Le macchine virtuali Possono essere facilmente trasferite da una PM all altra Disaster recovery Modifica dinamica dell assetto del data center Ottimizzazione dell uso dell hardware Riduzione dei consumi
Virtual Data Center VM1 VM2 VM4 VM3 VM6 VM5
Virtual Data Center VM1 VM6 VM5 VM2 VM4 VM3
Disaster Recovery La macchina fisica ospita una serie di macchine virtuali implementanti I servizi Il sistema di backup della macchina fisica lavora sulle immagini delle macchine virtuali In caso di crash: Si può approntare una macchina ospite (non necessariamente identica alla precedente) dotata di una virtual machine La procedura di restore produce un server già configurato e pronto a riprendere il lavoro I tempi di fermo macchina sono più brevi
Sicurezza Se si verifica una intrusione su una VM Solo una applicazione viene compromessa L intruso resta confinato nella VM L Hypervisor attua le policy definite dall amministratore a prescindere dal comportamento di ogni singola VM L attacco non può propagarsi alle altre VM
Architettura Management VM Policy VM1 WEB srv VM2 Gestionale Hypervisor HARDWARE Dischi Rete
Quindi l Hypervisorl Hypervisor E in grado di rilevare che la VM È stata compromessa Effettua azioni in contrasto con la policy Impedisce eventuali operazioni non consentite Ma come fa?
Trusted Computing Tecnologia sviluppata da un consorzio di costruttori di hardware e software Trusted Computing Group (TCG) Finalizzata alla creazione di una piattaforma fidata (TP) Mediante l utilizzo di un componente hardware blindato (TPM) inserito in ogni piattaforma
Trusted Platform Module Implementa le principali funzionalità crittografiche firma, cifratura, hash, secure key repository etc.. Ogni TPM è dotato da un ID ed di una coppia di chiavi Pubblica e Privata UNIVOCHE Ogni chip è univocamente identificabile
Trusted Platform Module Imlementa diverse funzionalità per garantire l integrità del S.O. e del software in esecuzione Boot sicuro Remote attestation E in grado di fornire ad un challenger esterno una prova dell integrità del sistema.
Quindi l Hypervisorl Hypervisor E in grado di rilevare che la VM è stata compromessa Grazie al meccanismo di remote attestation Impedisce eventuali operazioni non consentite Alle VM che non sono in grado di provare la propria integrità
Trusted Virtual Data Center Un cluster di Host che ospitano VM: Proprietari diversi Diverse policy di sicurezza Le VM possono essere trasferite da una PM all altra dinamicamente Senza pregiudicare la separazione tra i diversi domini Consentendo la comunicazione tra macchine dello stesso dominio Gli Host sono in grado di adeguare le policy di sicurezza della MVM a seconda del workload corrente
Virtual Data Center VM1 VM2 VM4 VM3 VM6 VM5
Trusted Virtual Data Center Le macchine host possono realizzare una separazione dell uso della rete Connettendo macchine di uno stesso dominio a VLAN con l ID ad esso assegnato Separando l accesso ed il traffico a VLAN con ID diversi
Architettura Management VM VM1 VM2 Policy Hypervisor HARDWARE Dischi
Tusted Virtual Domain Le macchine guest appartenenti allo stesso dominio Dispongono di risorse di calcolo separate Sono connesse attraverso una VLAN isolata vedono un data center popolato esclusivamente da macchine appartenti allo stesso dominio
Trusted Virtual Domains VM1 VM3 VM6 VM2 VM5 VM4 VM1 VM6 VM5 VM2 VM4 VM3
Considerazioni TVD e TVDC sono tecnologie emergenti Fortemente sostenute da IBM e TCG Basate (quasi) completamente su open source Linux XEN OpenSSL Etc..
Grazie!