بخشی از مقاله
چکیده
با فراگیر شدن رایانش ابري، موضوع امنیت آن نیز موضوعی مهم خواهد بود، چرا که هرچه سرویسها بسوي ابري شدن پیش بروند، مهاجمین نیز در همین زمین دست به تأمین منافع خود خواهند زد. ماشینهاي مجازي بر بستري به نام هایپروایزر مستقر شدهاند؛ که تراکنشهاي خود را با محیط بیرون از طریق داده هاي خام انجام میدهد.
جهت اطلاع از وضعیت ماشینهاي مجازي باید بتوان این دادهها را تفسیر کرد و درست فهمید. که این وظیفه بر عهدهي پایشگر ماشین مجازي است. هدف از ارائهي این مقاله معرفی تهدیدات، روش هاي شناسایی و مقابله با آنها، از طریق تفسیر درست بازخوردهاي هایپروایزر میباشد.
.1 مقدمه
با ظهور اینترنت و به تبع آن سروسهای یی که در بستر آن ارائه م یگردند، مفهوم رای انشابر ي بیشتر مورد توجه قرار گرفته است. رایانش ابري مدل محاسباتیبر پای ه شبکهها ي راانهی اي مانند اینترنتاست که الگو ییتازه برا ي عرضه، مصرف و تحوی ل خدمات محاسباتی - شامل ز یرساخت، نرم افزار، بستر، و سا یر منابع - با به کارگ یريشبکه ارائه میکند. رایانش ابري از ترکی ب دو مفهوم رای انشو ابر تشکشدهیل است. ابر مفهوم جد ی دي نیست و در انجای استعاره از شبکهی اشبکه اي از شبکهها يوس یع مانند اینترناست که کاربر معمول ی از پشت صحنه و آنچه در پی آن اتفاق میافتد اطلاع دق یق ی ندارد - مانند داخل ابر - در نمودارها ي شبکه ها ي راانهی اي یازن زشکل ابر برا ي نشان دادن شبکهي اینترنت استفاده میشود
امنیت در رایانش ابري از دو جنبه قابل بررسی است :
.1 مسائل امنیتی مربوط به مشتر:کهیان شامل حفظ حر یم خصوصی، قابلی ت کنترل، اطمینان و شفاف یت دسترسی است.
.2 مسائل امنیتی مربوط به فراهم کنندگان: که شامل امنی ت زی ر ساختها ي فناور ي اطلاعات، شبکه و نرم افزار میشود.
موضوعیکه سعی شده در این پایان نامه بدان پرداخته شود حوزه دوم یعنی امنیت فراهم کنندگان را پوشش خواهد داد.
محاسبه ابري موضوع مورد توجه سازمان هایی است که با کم کردن هزنهی ها ي نرم افزاري وارائهپلتي فرم به-عنوان سرویس، در جستجوي کاهش هزینه هاي فناوري اطلاعات شان هستند، امن یت عامل اصلی و کلیدي موفقی ت برنامه هاي ابري بشمار می آید. در اکثر موارد، ارائه دهندگان خدمات باستی ی تضمین کنند زیرساخت آنها ایمن بوده و اپلیکیشن ها و داده ها ي مشتري امنی م ی باشند. یا ن اقدام با اجراي سیاست ها و مکان یسم ها ي امنیتی محقق می گردد.
تاکنون تحقیقات گستردهاي روي مبحث امنیت در ابر صورت گرفته است بیشتر توسعه دهندگان می دانند که هرچه که نرم افزار بزرگتر و پیچیده تر شود، حفظ امنیت آن نیز به همان میزان دشوارتر میگردد. هسته ي تمامی نرم افزارهاي مجازي سازي هایپروایزر است که به عنوان مدیر ماشین مجازي نیزشناخته می شود. هایپروایزر لای ه اي نرم افزارستیکه ب ینماش ین مجازي و سخت افزار زی رینقرار م یگی رد. هایپروایزر وظیفه ي تخصیص و تفکیکمنابع به ماش ینهاي مجازي و میزبان ها را بر عهده دارد . - 1 - به دست گرفتن کنترل هایپروایزر منجر به کنترل سخت افزاري می شود که VM بر روي آن در حال اجراست. و این به مهاجمان انگیزه اي قوي می دهد تا با یک حمله ي موفق سیستم را به طور کامل در اختیار گیرند
اگرچه هایپروایزرها از یک سیستم عامل کامل کوچکترند، ولی به ذات بسیار پیچیدهاند - معمولاً 100,000خط یا بیشتر کد دارند - 4 - که در نتیجه ي این مقیاس بزرگ از کد، نفوذ پذیري آن نیز افزایش مییابد . - 13 - لذا هایپروایزر در سالهاي اخیر هر اندازه که گستردهتر و قدرتمندتر شده است، به همان اندازه نیز پیچیدگی اش افزایش یافته در نتیجه حفرهها و چالشهاي امنیتی جدیدي نیز روبرویش قرار گرفتهاند. در ادامه سعی بر آن است که علاوه بر تبیین تهدیدات پیش رو، با تفسیري درست از بازخورد هاي هایپروایزر از نفوذ پذیري آن تا حد امکان کاسته شود.
.2 هایپروایزر
همانگونه که در مقدمه شرح داده شد، هایپروایزریا مدیر ماشین مجازي1، لایه اي نرم افزاریست که مابین ماشین مجازي و سخت افزار یا سیستم عامل میزبان قرار میگیرد تا معماري زیرین خود را مجازي سازي نموده و از دید لایه هاي بالاتر مخفی نماید . - 2 - هدف اصلی تخصیص منابعی مانند حافظه، پردازنده و سایر قطعات با ساخت سخت افزار مجازي براي ماشینهاي مجازي میهمان است . - 17 - از دیگر وظایف دیگر هایپروایزر متوانی به مخفی نمودن سخت افزار، و ایزوله نمودن پردازش و حافظه براي هر ماشین مجازیمیهمان، کنترل ارتباطات هر ماشین مجازي، ارائه ي سیستم عامل ها و ابزارهایی براي اجرا در محیط مجازي نام برد
دونوع عمده از هایپروایزر وجود دارد: Hardware Based2 که بر مبناي سخت افزار است و نوع دوم که به آن OS-Based3گفته میشود و بر مبناي سیستم عامل است. در نوع Hardware-Based ، هایپروایزر ﺑﻪ عنوان سیستم عامل پایه بر روي ماشین نصب شده و مستقیماً با سخت افزار ، که بصورت فیزیکی وجود دارد تعامل می - نماید اینها یپروایزر بالاترین سطح دسترسی را داشته به طوري که هر میزبان دسترسی کاملی بر روي تک تک ماشینهاي مجازیاش دارد. هایپروایزرهاي OS-Based بر روي یک سیستم عامل استاندارد نصب می شوند. این نوع از هایپروایزر نرم افزاري استکه طی رابطهاي که با سیستمعامل میزبان برقرار میکند، درایورها و نرمافزارها را براي ارتباط با سخت افزار فیزیکی به اشتراك می گذارد . - 12 - هر دو نوعها یپروایزر در شکل 1شرح داده شده اند.
چهار هایپروایزر مرجع وجود دارند که %93 سهم بازار را به خود اختصاص دادهاند. دو تاي آنها متن باز بوده Xen - و - KVM و دو تاي دیگر انحصاري میباشند VMWare - و . - 3 - - Hyper-V که هر چهار عنوان OS-Based بوده و بسیاري از مسائل امنیتی و راه حلهایشان حول این عناوین شکل میگیرد.
ماشین مجازي بطور کامل بر روي میزبان نصب شده و مستقیماً با هایپروایزر در تعامل است. که این در شکل1 نشان داده شده است. و در Paravirtualization، یک سیستم عامل ویژه به عنوان سیستم عامل میزبان اجرا شده و تعاملات با هایپروایزر از طریق رابطهاي برنامه نویسی کاربردي اي - APIs - که به همین منظور طراحی گردیده اند، صورت میپذیرد. Paravirtualization در شکل 2 شرح داده شده است. تفاوت اصلی بین این دو گونه این است که Full Virtualization نیاز به مجازي سازي کامل سیستم دارد، در حالی که Paravirtualization نیاز به یک سیستم عامل خاص جهت تعامل با هایپروایزر دارد