ITVM: uma abordagem para tolerância a intrusão utilizando máquinas virtuais

Abstract

A Internet tem sido o meio de comunicação utilizado por muitas empresas para divulgarem seus serviços. Dessa forma a segurança de tais serviços é um assunto de grande importância e necessidade. Como os sistemas atualmente são distribuídos pela Internet, estes estão expostos a um meio extremamente hostil, onde intrusões por entidades mal intencionadas acontecem com grande frequência. Estas intrusões causam perdas e danos muitas vezes em proporções catastróficas, tanto para empresas como para a sociedade. Nesta dissertação apresentamos uma infraestrutura cuja finalidade é fornecer suporte de tolerância a intrusões (faltas maliciosas ou bizantinas) para serviços. Nossa abordagem faz uso da tecnologia de virtualização e de memória compartilhada no sentido de conseguir custos mais baixos na execução de protocolos de máquina de estado (ME) em contexto bizantino. O uso da virtualização permitiu a inserção de um componente confiável no modelo. Como esta tecnologia separa em diferentes camadas os processos que gerenciam as máquinas virtuais e a que executam as máquinas virtuais é possível a inserção de um componente que gerencie as réplicas, iniciando ou desligando estas quando necessário. Além disso, este componente confiável é responsável pela execução do serviço de acordo do protocolo, e permitiu a criação de uma arquitetura com custos reduzidos, onde as requisições de clientes podem ser executadas com um número variável de réplicas (entre f +1 e 2f+1). O trabalho discute os algoritmos, apresentam detalhes de protótipo, testes e um confronto com trabalhos relacionados na literatura, onde mostramos que foi obtida uma redução do número de servidores necessários, assim como reduzimos o número de réplicas necessárias para a execução do serviço replicado.

The Internet has been a means of communication of daily basis for many companies share their service. Presently, the security of such services is a matter of great importance and necessity. These systems are now distributed over the Internet and they are exposed to an extremely hostile environment, where intrusions by malicious entities occur with great frequency. These intrusions cause damages, often catastrophic, both for companies and for society. This work presents an infrastructure based in virtualization which provides support to intrusion tolerance (Byzantine or malicious faults) to services. The introduced approach makes extensive use of virtualization technology and shared memory in order to reduce costs in the execution of state machine (ME) protocols in the Byzantine context. The use of virtualization technology allowed the insertion of a trusted component that in the model. As this technology separates into different layers, processes that manage the virtual machines and process that execute virtual machines, it is possible to insert a component that manages the replicas, starting or turning off these when necessary. In addition, this reliable component is responsible for the execution of agreement service, and allowed the creation of an architecture with reduced costs, where the customer requests can be performed with a variable number of replicas (between f+1 and 2f + 1). This work discusses the algorithms, presents details of a prototype, tests and a comparison with related work in the literature.