i
Sommario
Negli ultimi anni si stanno diffondendo alcuni programmi di virtualizzazione a livello hardware che permettono di sfruttare in maniera semplice e trasparente le risorse hardware presenti su un calcolatore e quindi consentono di abbattere i costi di realizzazione e di gestione dell infrastruttura IT. Questa tecnologia offre significativi vantaggi rispetto ai sistemi tradizionali, tra i quali l isolamento tra macchine virtuali, la capacità di salvare, sospendere o esaminare lo stato di ciascuna macchina virtuale e di migrare una macchina virtuale tra macchine fisiche diverse.
Questa tesi presenta una architettura per la protezione delle risorse condivise tra un numero arbitrario di macchine virtuali residenti sulla medesima macchina fisica o su macchine fisiche facenti parte di una rete privata.
L architettura deve forzare tutte le macchine virtuali utente a rispettare una politica di sicurezza a grana fine sui file condivisi, permettere la differenziazione del livello di protezione associato ai file in base alla criticità dei dati in esso contenuti, limitare l'overhead dovuto al controllo degli accessi rispetto alle prestazioni del contesto iniziale e non ridurre significativamente l'usabilità del sistema.
iii
Ringraziamenti
Durante questi anni la mia famiglia ha rappresentato per me un punto di riferimento onnipresente e un supporto insostituibile sia negli attimi di gioia che in quelli di scoramento. In particolare non finirò mai di ringraziare i miei genitori per l amore e la fiducia incondizionata che hanno riposto in me. Spero che questo mio modesto traguardo possa, almeno in parte, ripagare i loro sforzi e le loro aspettative.
Voglio ringraziare il Prof. Fabrizio Baiardi per la sua disponibilità, per l interesse che ha rivolto verso questa tesi e per aver contribuito ad accrescere in me la passione per la sicurezza dell informazione. Inoltre, sono grato al Dott. Daniele Sgandurra, il cui contributo tecnico e morale è stato prezioso per il completamento di questo lavoro.
Infine, una nota è rivolta a quei colleghi con cui ho condiviso il periodo trascorso a Pisa: Giorgio, Federico, Luca, Giovanni, Roberto e tanti altri.
Un uomo si propone il compito di disegnare il mondo. Trascorrendo gli anni, popola uno spazio con immagini di provincie, di regni, di montagne, di baie, di navi, d isole, di pesci, di dimore, di strumenti, di astri, di cavalli, e di persone. Poco prima di morire, scopre che quel paziente labirinto di linee traccia l immagine del suo volto
(J. L. Borges)
v
I ndice
Introduzione 1
1 - La virtualizzazione 9
1.1 - Livelli di virtualizzazione...10
1.2 - La virtualizzazione a livello hardware: il Virtual Machine Monitor... 13
1.2.1 Binary translation e dynamic recompilation...15
1.3 - Benefici e problemi per la sicurezza negli ambienti virtualizzati... 16
1.4 - Una tecnologia di virtualizzazione: Xen...19
1.4.1 La gestione della memoria...21
1.4.2 La CPU...23
1.4.3 I dispositivi di I/O...24
1.4.4 La rete...24
1.4.5 - La comunicazione tra domini.. ...26
1.4.6 - sHype: un meccanismo di sicurezza in Xen...28
2 La condivisione e la protezione dei file 32
2.1 Network File System ... ...33
2.1.1 Remote Procedure Call .. ...35
2.1.2 Virtual File System ... 37
2.1.3 Caching .. ...39
2.1.4 Sicurezza in NFS . ... ..40
2.1.5 Motivazioni della scelta ...41
2.2 Security Enhanced Linux .. .. ....42
2.2.1 Modelli per il controllo degli accessi ... ..43
2.2.2 Architettura di SELinux .. . .47
2.2.3 Motivazioni della scelta ... .. . ...51
3 - Analisi del rischio nei sistemi dedicati alla condivisione di file 52
3.1 La politica di sicurezza per la condivisione di file tra macchine virtuali...52
3.2 Contesto e assunzioni...55
3.3 Analisi degli asset...56
3.4 Analisi delle vulnerabilità...57
3.5 Analisi degli attacchi...58
3.5.1 Attacchi alla confidenzialità...59
3.5.2 Attacchi alla integrità...60
3.5.3 Attacchi alla disponibilità...61
3.5.4 Attacchi alla autenticazione...62
3.6 Analisi delle minacce...62
3.7 Requisiti...63
4 Architettura complessiva del sistema 65
4.1 La protezione delle risorse condivise . . . ....65
4.2 Il modello astratto .. .. .67
4.3 Il prototipo .. . ...73
4.3.1 - L'integrazione tra NFS ed SELinux . . ..75
4.3.2 Un nuovo soggetto della politica di SELinux . . . .76
4.3.3 L'implementazione della modifica . . ... ..78
5 Valutazione delle prestazioni 81
5.1 Configurazione .. 81
5.1.1 Sistema ... .82
5.1.2 Politica di sicurezza ... .84
5.2 Prestazioni . ... . . 85
5.2.1 Sicurezza . . . ..85
5.2.2 Banda di trasmissione . .. . .86
6 Conclusioni 90
Bibliografia 92
vii
E lenco delle figure
Figura 1: Esempi di virtualizzazione .. ....3
Figura 2: Esempio di infrastruttura per la condivisione di file tra macchine virtuali...6
Figura 3: Componenti e interfacce . .. . .11
Figura 4: compatibilità e incompatibilità . . .. ...11
Figura 5: livelli di virtualizzazione . .. . 13
Figura 6: l architettura di Xen . . . 20
Figura 7: lo spazio di indirizzamento nell'architettura x86/32 . . . 22 Figura 8: il livello dei privilegi nell'architettura x86 . . ...23
Figura 9: la comunicazione tra i domini . . .26
Figura 10: l'architettura di sHype . . . 29
Figura 11: l architettura di NFS . .. ..33
Figura 12: il Virtual File System . . .38
Figura 13: le classi di politiche per il controllo degli accessi 44
Figura 14: architettura di SELinux .49
Figura 15: il flusso di controllo degli accessi 50
Figura 16: il modello di utilizzo 56
Figura 17: mapping tra utenti, applicazioni, macchine virtuali e macchine fisich. ..68
Figura 18: il modello astratto .69
Figura 19: il confinamento dei domini di protezione .71
Figura 20: il prototipo . ..74
Figura 21: configurazione del kernel di Linux ...78
Figura 22: la comunicazione all interno del VMM . .83
Figura 23: risultati della operazione di scrittura in locale senza SELinux 87 Figura 24: risultati della operazione di scrittura in remoto con SELinux .88
Figura 25: risultati complessivi del test di lettura ...88
Figura 25: risultati complessivi del test di scrittura . .89
E lenco delle tabelle
Tabella 1: livelli della politica di sicurezza . 70
Tabella 2: la configurazione del sistema ...82
ix
