Cloud Security

Amenazas basadas en VMM

◼ Falta de recursos y denegación de servicio para algunas
máquinas virtuales. Causas probables:
 (a) límites de recursos mal configurados para algunas VM.
 (b) una máquina virtual no autorizada con la capacidad de eludir
los límites de recursos establecidos en VMM.
◼ Ataques de canal lateral de VM: ataque malicioso en una o más
VM por una máquina virtual no autorizada bajo el mismo VMM.
Causas probables:
 (a) falta de aislamiento adecuado del tráfico entre VM’s debido a una
mala configuración de la red virtual que reside en el VMM.
 (b) limitación de los dispositivos de inspección de paquetes para
manejar el tráfico de alta velocidad, por ejemplo, tráfico de video.
 (c) presencia de instancias de VM creadas a partir de imágenes de
VM inseguras, por ejemplo, una imagen de VM con un sistema
operativo invitado sin los últimos parches.
◼ Ataques de desbordamiento de búfer.
2
Seguridad de la virtualización
◼ La VM captura el estado completo de un sistema operativo que se
ejecuta en dicha máquina; este estado se puede guardar en un
archivo y luego el archivo se puede copiar y compartir.
Trascendencia :
 Capacidad para admitir el modelo de entrega de IaaS. El usuario
selecciona una imagen que coincide con el entorno local utilizado por la
aplicación lo carga y ejecuta en la nube usando esta imagen.
 Mayor confiabilidad. Un SO con todas las aplicaciones en ejecución
debajo de él se puede replicar y cambiar a un modo de espera activo.
 Mejor prevención y detección de intrusiones. Un clon puede buscar
patrones conocidos en la actividad del sistema y detectar intrusiones. El
operador puede cambiar a un modo de espera activo cuando se
detectan eventos sospechosos.
 Pruebas de software más eficientes y flexibles. En lugar de una gran
cantidad de sistemas dedicados que se ejecutan en diferentes SO,
diferentes versiones de cada sistema operativo y diferentes parches
para cada versión, la virtualización permite que la multitud de instancias
de SO compartan una pequeña cantidad de sistemas físicos.
3
 Más ventajas de la virtualización
◼ Mecanismos sencillos para implementar políticas de gestión de
recursos :
 Para equilibrar la carga de un sistema, un VMM puede mover un SO
y las aplicaciones que se ejecutan debajo de él a otro servidor
cuando la carga en el servidor actual excede la marca de agua alta.
 Para reducir el consumo de energía, la carga de los servidores con poca
carga se puede mover a otros servidores y luego apagar o poner en
modo de espera los servidores con poca carga.
◼ Cuando se implementan registros seguros y protección contra
intrusiones en la capa VMM, los servicios no se pueden deshabilitar ni
modificar. La detección de intrusiones se puede deshabilitar y un intruso
puede modificar el registro cuando se implementa en el nivel del
sistema operativo. Un VMM puede registrar solo eventos de interés
para un análisis posterior al ataque.

4
 Efectos indeseables de la virtualización
◼ Capacidad disminuida para administrar los sistemas y rastrear su estado.
 El número de sistemas físicos en el inventario de una organización está
limitado por el costo, el espacio, el consumo de energía y el apoyo humano.
La creación de una máquina virtual (VM) se reduce en última instancia a
copiar un archivo, por lo tanto, la explosión de la cantidad de VM. La única
limitación para la cantidad de máquinas virtuales es la cantidad de espacio
de almacenamiento disponible.
 Aspecto cualitativo de la explosión del número de máquinas virtuales:
tradicionalmente, las organizaciones instalan y mantienen la misma versión
del software del sistema. En un entorno virtual, la cantidad de sistemas
operativos diferentes, sus versiones y el estado del parche de cada versión
serán muy diversos. La heterogeneidad gravará al equipo de soporte.
 El ciclo de vida del software tiene serias implicaciones en la seguridad. El
supuesto tradicional el ciclo de vida del software es una línea recta, por lo
tanto, la gestión de parches se basa en un avance monótono. El modelo de
ejecución virtual se asigna a una estructura de árbol en lugar de una línea;
de hecho, en cualquier momento se pueden crear múltiples instancias de la
VM y luego, cada una de ellas se puede actualizar, se pueden instalar
diferentes parches, etc.. 5
Implicaciones de la virtualización en la seguridad
◼ La infección puede durar indefinidamente: algunas de las VM infectadas
pueden estar inactivas en el momento en que se toman las medidas para
limpiar los sistemas y luego, en un momento posterior, se despiertan e
infectan otros sistemas; el escenario puede repetirse.
◼ En un entorno informático tradicional, se puede alcanzar un estado estable.
En este estado estable, todos los sistemas se llevan a un estado deseable.
Este estado deseable se alcanza instalando la última versión del software del
sistema y luego aplicando a todos los sistemas los últimos parches. Debido a
la falta de control, es posible que un entorno virtual nunca alcance un estado
tan estable.
◼ Un efecto secundario de la capacidad de registrar en un archivo el estado
completo de una VM es la posibilidad de revertir una VM. Esto permite un
nuevo tipo de vulnerabilidad provocada por eventos registrados en la
memoria de un atacante.
◼ La virtualización socava el principio básico de que los datos sensibles al
tiempo almacenados en cualquier sistema deben reducirse al mínimo.

6
Riesgos de seguridad que plantean las imágenes compartidas

◼ El intercambio de imágenes es fundamental para el modelo de entrega

en la nube de IaaS. Para ejemplo, un usuario de AWS tiene la opción de
elegir entre
 Imágenes de máquinas de Amazon (AMI) accesibles a través del inicio
rápido.
 Menús de la comunidad AMI del servicio EC2.
◼ Muchas de las imágenes analizadas por un informe reciente permitieron
a un usuario recuperar archivos, recuperar credenciales, claves
privadas u otro tipo de información confidencial con poco esfuerzo y
utilizando herramientas estándar.
◼ Una auditoría de vulnerabilidad de software reveló que el 98% de las
AMI de Windows y el 58% de las AMI de Linux auditadas tenían
vulnerabilidades críticas.
◼ Riesgos de seguridad:
 Puertas traseras y credenciales sobrantes.
 Conexiones no solicitadas.
 Malware.
7
Riesgos de seguridad planteados por un SO de gestión

◼ Un monitor de máquina virtual, o hipervisor, es considerablemente más

pequeño que un sistema operativo, por ejemplo, el Xen VMM tiene ~ 60.000
líneas de código.
◼ La Trusted Computer Base (TCB) de un entorno de computación en la nube
incluye no solo el hipervisor, sino también el SO de administración.
◼ El SO de administración admite herramientas administrativas, migración
en vivo, controladores de dispositivos y emuladores de dispositivos.
◼ En Xen, el SO de gestión se ejecuta en Dom0; maneja la construcción de
todos los dominios de usuario, un proceso que consta de varios pasos :
 Asigne memoria en el espacio de direcciones de Dom0 y cargue el kernel del
sistema operativo invitado desde el almacenamiento secundario.
 Asignar memoria para la nueva máquina virtual y usar mapeo externo para
cargar el kernel en la nueva máquina virtual.
 Configurar las tablas de páginas iniciales para la nueva máquina virtual.
 Libere la asignación externa en la nueva memoria de la máquina virtual,
configure los registros de la CPU virtual y ejecute la nueva máquina virtual.

8
 Management OS

Administrative tools
Application Application Application

Live migration

Device drivers Guest OS Guest OS Guest OS

Device emulation

Xen
Domain0 control Virtual x86 Virtual physical Virtual block
interface Virtual network
CPU memory devices

x86 Hardware

La base informática confiable de un entorno basado en Xen incluye el

hardware, Xen y el sistema operativo de administración que se ejecuta en
Dom0. El sistema operativo de administración admite herramientas
administrativas, migración en vivo, controladores de dispositivos y emuladores
de dispositivos. Un sistema operativo invitado y las aplicaciones que se
ejecutan en él residen en una DomU.
30