Virtualizao e segurana Atualmente, a principal utilizao de mquinas virtuais no meio corporativo tem sido a consolidao de servidores, buscando a reduo

de custos em hardware, software e gerncia do parque tecnolgico [Newman et al. 2005, Ferre et al. 2006]. No entanto, vrios trabalhos de pesquisa e de- senvolvimento nos ltimos anos comprovaram a eccia da utilizao de mquinas virtuais no campo da segurana de sistemas.

Aplicaes da virtualizao em segurana

Conforme [Krause and Tipton 1999], so trs os princpios bsicos para garantir a segurana da informao: Condencialidade: a informao somente est visvel a sujeitos (usurios e/ou processos) explicitamente autorizados; Disponibilidade: a informao deve estar prontamente disponvel sempre que for necessria; Integridade: a informao somente pode ser modicada por sujeitos explicitamente autorizados e de formas claramente denidas.

Alm destes, outros critrios devem ser respeitados para um sistema ser considerado seguro [Smola 2003]: Autenticidade: garante que a informao ou o usurio da mesma autntico, ou seja, garante que a entidade envolvida quem arma ser; No-repdio: no possvel negar a existncia ou autoria de uma operao que criou, modicou ou destruiu uma informao; Auditoria: implica no registro das aes realizadas no sistema, identicando os su- jeitos e recursos envolvidos, as operaes realizadas, seus horrios, locais e outros dados relevantes.

Algumas das propriedades conceituais da virtualizao discutidas na seo 4.1.3.2 podem ser teis para o atendimento desses critrios de segurana: Isolamento: ao manter os ambientes virtuais isolados entre si e do sistema real sub- jacente, o hipervisor prov a condencialidade de dados entre os sistemas convida- dos. Adicionalmente, como os dados presentes em uma mquina virtual s podem ser acessados pelas respectivas aplicaes convidadas, sua integridade preservada. Alm disso, o isolamento permite a conteno de erros de software acidentais ou intencionais no mbito da mquina virtual [LeVasseur et al. 2004, Tan et al. 2007], o que permite melhorar a disponibilidade dos sistemas; Controle de recursos: Como o hipervisor intermedeia os acessos do sistema convidadoaohardware, possvelimplementarmecanismosparavericaraconsistncia desses acessos e de seus resultados, aumentando a integridade do sistema convi- dado; da mesma forma, possvel acompanhar e registrar as atividades do sistema convidado, para ns de auditoria [Dunlap et al.

2002];

Inspeo: a viso privilegiada do hipervisor sobre o estado interno do sistema convidado permite extrair informaes deste para o sistema hospedeiro, permitindo implementar externamente mecanismos de vericao de integridade do ambiente convidado, como antivrus e detectores de intruso [Laureano et al. 2007]; alm disso, a capacidade de inspeo do sistema convidado, aliada ao isolamento provido pelo hipervisor, torna as mquinas virtuais excelentes bales de ensaio para o estudo de aplicaes maliciosas como vrus e trojans; Encapsulamento: a possibilidade de salvar/restaurar o estado do sistema convidado torna vivel a implementao de mecanismos de rollback teis no caso de quebra da integridade do sistema convidado; da mesma forma, a migrao de mquinas virtuaisumasoluovivelparaoproblemadadisponibilidade[FuandXu2005];

Connamento de aplicaes Todavia, servios mal congurados, erros nas regras de controle de acesso, vulnerabilidades no servio ou no sistema operacional podem expor informaes indevidamente, comprometendo a condencialidade e integridade do sistema. Esse problema pode ser atenuado de diversas formas: Monitorar a aplicao usando IDS, antivrus etc. Esta soluo pode requerer um trabalho de congurao signicativo; alm disso, essas ferramentas tambm so processos, consumindo recursos e sendo passveis de falhas ou subverso; Designar um equipamento separado para a aplicao sensvel executar isolada- mente, o que pode custar caro; Colocar a aplicao para executar dentro de uma mquina virtual, isolando-a do restante do sistema hospedeiro. Em princpio, qualquer hipervisor convencional pode ser usado para connar uma aplicao. Todavia, neste caso especco, a principal motivao para o uso de mquinas virtuais a propriedade de isolamento. Como essa propriedade no implica necessariamente a virtualizao do processador ou dos demais recursos de hardware, tcnicas simplicadas e com baixo custo computacional foram concebidas para implement-la. Essas tcnicas so conhecidas como servidores virtuais.

Deteco de intruso Sistemas de deteco de intruso (IDS Intrusion Detection Systems) tm como funo monitorar uma rede ou sistema computacional, buscando detectar ataques ou atividades maliciosas. Esses sistemas continuamente coletam dados do sistema e os analisam atravs de tcnicas diversas, como reconhecimento de padres, anlise estatstica e minerao de dados. Ao detectar uma atividade maliciosa, podem alertar o administrador do sistema e/ou ativar contra-medidas. De acordo com a origem da informao analisada, os IDSs podem ser classicados como: IDSs de mquina (HIDS Host-based IDS): monitoram um computador para identicar atividades maliciosas locais, como subverso de servios, vrus e trojans.

IDSs de rede (NIDS Network-based IDS): monitoram o trfego de uma rede, para identicar ataques aos computadores a ela conectados.

Sistemas NIDS monitoram vrios computadores simultaneamente, mas sua ec- cia diminui na medida em que o trfego da rede aumenta, pela necessidade de analisar pacotes mais rapidamente. Sistemas HIDS no sofrem desses problemas, pois analisam as informaes disponveis dentro de cada sistema. Todavia, um HIDS um processo local, que pode ser desativado ou subvertido por um ataque bem-sucedido.

Anlise de programas maliciosos [Klaus 1999, Skoudis and Zeltser 2003] consideram a existncia de dois tipos de programas prejudiciais (gura 4.22): Intencionais: programas escritos para se inltrar em um sistema, sem conhecimento de seus usurios,com a inteno de causar dano,furto ou sequestro de informaes. Esses programas so conhecidos como malwares (de malicious softwares); No-intencionais: programas normais contendo erros de programao ou de congurao que permitam a manipulao no-autorizada das informaes de um sistema; esses erros de programao ou de congurao so denominados vulnerabilidades. Tolerncia a faltas A propriedade de isolamento das mquinas virtuais pode ser usada para restringir a propagao de erros de software nos sistemas. Alguns projetos de pesquisa exploram a possibilidade de usar mquinas virtuais para encapsular partes de sistemas operacionais ou de aplicativos, buscando aumentar assim a sua disponibilidade. Por exemplo, a maioria das falhas em um sistema operacional causada por drivers construdos por terceiros [Herder et al. 2006]. Como estes drivers fazem parte do sistema operacional, eles executam no nvel mais privilegiado do processador. Baseado na virtualizao do processador possvel criar um ambiente isolado para a execuo de drivers suspeitos ou instveis, restringindo o alcance de eventuais erros nos mesmos. Exemplos de mquinas virtuais Esta seo apresenta alguns sistemas de mquinas virtuais de uso corrente. Sero apre- sentados os sistemas VMWare, FreeBSD Jails, Xen, User-Mode Linux, QEMU, Valgrind e JVM. Entre eles h mquinas virtuais de aplicao e de sistema, com virtualizao total ou paravirtualizao, alm de abordagens hibridas. Eles foram escolhidos por estarem entre os mais representativos de suas respectivas classes.