Virtualizao de redes

A virtualizao uma abstrao do recurso que permite o compartilhamento no

tempo do recurso sem que o usurio possa perceber que o recurso est sendo
compartilhado.

Modelo xen
Uma plataforma tambm utilizada para a virtualizao de redes, mas que d
maior flexibilidade na programao dos ambientes virtuais o Xen [72]. Por ser
baseado em virtualizao com camada de abstrao de hardware (Hardware
Abstraction Layer - HAL), o Xen permite que cada ambiente virtual possa
funcionar sobre qualquer sistema operacional, tendo total controle de todas as
camadas da arquitetura da rede. O Xen possui dois modos de operao, sendo
um baseado em virtualizao total e o outro baseado em paravirtualizao. Na
virtualizao total, o hardware totalmente emulado para a mquina virtual e o
sistema operacional visitante executa aes protegidas. Uma vez que a
mquina virtual executada no espao de aplicao do sistema operacional
hospedeiro, essas aes privilegiadas no poderiam ser executadas. Para
evitar erros, o hipervisor intercepta essas aes, as executa e retorna o
resultado para a mquina virtual. Com isso, a mquina virtual perde
desempenho. Na paravirtualizao, o sistema operacional da mquina virtual
levemente modificado para chamar o hipervisor sempre que uma ao
privilegiada necessria. Com isso, o hipervisor pode ser projetado de forma
mais simples e o desempenho do ambiente virtual melhora.
Modelo OpenFlow
Embora diferentes plataformas de virtualizao possam ser utilizadas para a
construo de redes virtualizadas, existem ainda outras propostas de
virtualizao de rede que so baseadas em conceitos diferentes. Esse o caso
do OpenFlow [81]. O OpenFlow baseado no conceito de que os elementos da
rede devem ser simples e facilmente programveis. Nesse caso, no existe um
hipervisor dentro de cada elemento da rede, mas sim um hipervisor que
controla o acesso dos planos de controle de cada rede virtual aos elementos da
rede.
Mais
Novas abordagens para virtualizao de rede tambm so criadas com base
na juno de diferentes tecnologias de virtualizao. O XenFlow [82] uma
plataforma baseada em Xen e OpenFlow, cujo objetivo criar uma rede
virtualizada com amplo suporte migrao e com controle distribudo. A ideia
juntar a principal vantagem do Xen, que o amplo suporte inovao, uma vez
que o ambiente virtual uma mquina com sistema operacional prprio, com a
principal vantagem do Open-Flow, que a facilidade de migrar fluxos,
remapeando as topologias virtuais sobre a topologia fsica.
Uma vez que o Xen e o OpenFlow so alvos de muitas pesquisas sobre
virtualizao de redes e representam duas formas distintas de virtualizar a
rede, essas duas plataformas so discutidas com mais detalhes a seguir.

Virtualizao a simulao de um hardware/software que roda sobre

outro software. Este conceito de ambiente simulado chamando de mquina
virtual (VM Virtual Machine).
Basicamente, a virtualizao permite que as organizaes possam trabalhar
com diversas plataformas de software (sistemas operacionais), no havendo
necessidade de aumento no nmero de mquinas fsicas. Ou seja, a
virtualizao permite um alto nvel de flexibilidade e portabilidade. Com isso
desmitificou-se a ideia de que para um novo servio de TI a ser implantado em
um ambiente era necessrio uma mquina fsica nova.

Outra caracterstica deste tipo de tecnologia o compartilhamento dos

recursos de hardware(processador, memria, interface de rede, disco, etc.)
do host fsico com todas as mquinas virtuais ali presentes. Por exemplo, caso
um host possua quatro processadores, ele pode compartilhar um processador
com cada uma das quatro mquinas virtuais.

Todo o gerenciamento e alocao de recursos de hardware de uma mquina

virtual feito pelo Hypervisorou Monitor de Mquina Virtual (VMM Virtual
Machine Monitor). O Hypervisor uma camada de softwarelocalizada entre a
camada de hardware e o sistema operacional. , tambm, responsvel por
controlar o acesso do sistema operacional visitante (mquina virtual) aos
dispositivos de hardware. Ele tambm deve prover recursos que garantam a
segurana das mquinas virtuais atravs de mecanismos como isolamento,
particionamento e encapsulamento.

A virtualizao dividida basicamente em paravirtualizao e virtualizao

completa. Na completa, o hypervisor simula todo o hardware da mquina fsica,
fazendo com que as mquinas virtuais executem de forma isolada. Em outras
palavras, o hypervisor emula todo o hardware para as VMs, fazendo com que o
sistema operacional execute como se no estivesse em um ambiente virtual.
Sua vantagem a larga aceitao por parte de diversos tipos de sistemas
operacionais.

J a paravirtualizao entrega para as VMs um hardware igual ao real, com

isso o sistema a ser virtualizado pode sofrer alteraes no decorrer do tempo.
Funcionalidade esta que a virtualizao completa no permite, j que nela
o hardware entregue de forma virtual. A principal caracterstica da
paravirtualizao o desempenho, ou seja, sua facilidade em se adaptar s
modificaes do sistema operacional devido a sua similaridade com
o hardware real.

A virtualizao contribuiu para o desenvolvimento e aprimoramento de outras

tecnologias j existentes, fazendo com que elas se aperfeioassem, tais como:
sistemas operacionais, componentes de hardware, storage e rede.

Com os avanos desta tecnologia, as tcnicas e melhorias em segurana em

ambientes deste tipo tambm tiveram que ser aperfeioadas e recriadas para
garantir a integridade e segurana de dados e hardware.

O objetivodestetrabalho analisarambientes virtualizadosquanto segurana,

trazendo tona assuntos s vezes incomuns quando se fala de
virtualizao.Este trabalho pretende verificar o quantoo hypervisor seguro.
Para isso, identificar possveis brechas paraataques, descrever quais so
estes ataques e as contramedidas oferecidas pelas solues disponveis no
mercado.

Em complemento, vamos estabelecer um contraponto entre as tecnologias

existentes, mostrando como algumas tratam a temtica da segurana e como
asorganizaespodem se precaver de incidentes e ameaas.

Viso Geral do Hypervisor

O Hypervisor uma camada de software localizada entre o hardware e as
mquinas virtuais, sendo responsvel por fornecer recursos (storage, CPU,
memria, rede, etc.) da mquina fsica para a mquina virtual. Ele permite que
vrios sistemas operacionais possam ser executados em um mesmo host.

A virtualizao do tipo completa fornece dois tipos de hypervisor. O tipo 1,

chamado de bare-metal e o tipo 2, chamado de hosted. O hypervisor do
tipo bare-metal interage diretamente com o hardware da mquina fsica. Ele
completamente independente do sistema operacional do host. J no
tipo hosted, o hypervisorroda sobre o sistema operacional do host, sendo isto
possvel em qualquer tipo de SO.

Como mostra a Figura 1 o tipo hosted possui uma camada a mais de aplicao
junto com a camada do hypervisor, e ambas sobre o sistema operacional
do host. Esta camada de aplicao permite, por exemplo, a troca de arquivos
entre o SO do host com o ambiente virtual e tambm permite que os usurios
possam executar aplicaes tais como web browsers e clientes de e-mail
paralelamente ao ambiente virtualizado. Isto no possvel no tipo bare-metal.

abrir imagem em nova janela

Figura 1. Ilustrao do hypervisor tipo hosted e bare-metal

Open Flow
O FlowVisor
O FlowVisor funciona como um proxy entre os controladores e os elementos
encaminhadores e o elemento responsvel por definir qual trfego pertence a
qual rede, assim como por determinar quanto dos recursos fsicos podem ser
utilizados por rede virtual. Na ausncia do FlowVisor, um nico controlador
pode atuar em nome de vrias redes virtuais, onde cada plano de controle
definido como um conjunto de aplicaes
Escalabilidade com relao s redes virtuais
A escalabilidade com relao ao nmero de redes virtuais rodando sobre o
mesmo substrato fsico um fator importante para a definio do tipo de
aplicaes que podem ser feitas com o ambiente virtualizado. Os requisitos da
nova Internet ainda so uma questo em aberto e a nova arquitetura no
deveria restringir o nmero de redes que operam sobre a infraestrutura fsica
disponvel. A abordagem do Xen menos flexvel nesse sentido, porque o
elemento de rede virtual uma mquina virtual, a qual exige mais recursos de
hardware, como poder de processamento e espao de memria, do que o
processamento de um simples conjunto de fluxos em um comutador OpenFlow.
Por esta razo, OpenFlow suporta milhares de redes virtuais rodando em
paralelo, enquanto o Xen restrito ao nmero de mquinas virtuais que podem
ser multiplexadas sobre o mesmo hardware. Vale ressaltar que a
escalabilidade Xen pode ser melhorada se o Domnio 0 usado como um
plano de dados compartilhado..

https://www.youtube.com/watch?v=MOcBvh1RPF0
https://www.youtube.com/watch?v=I14r54581HY

Parou 86
Pagina 56 a 90