Zabezpieczenia funkcji Hypervisor w flocie platformy Azure
System funkcji hypervisor platformy Azure jest oparty na funkcji Hyper-V systemu Windows. System funkcji hypervisor umożliwia administratorowi komputera określenie partycji gościa, które mają oddzielne przestrzenie adresowe. Oddzielne przestrzenie adresowe umożliwiają ładowanie systemu operacyjnego i aplikacji działających równolegle z systemem operacyjnym (hosta), który jest wykonywany w partycji głównej komputera. System operacyjny hosta (znany również jako uprzywilejowana partycja główna) ma bezpośredni dostęp do wszystkich urządzeń fizycznych i urządzeń peryferyjnych w systemie (kontrolery magazynu, adaptacje sieciowe). System operacyjny hosta umożliwia partycji gościa współużytkowanie tych urządzeń fizycznych przez uwidacznianie "urządzeń wirtualnych" do każdej partycji gościa. W związku z tym system operacyjny wykonywany w partycji gościa ma dostęp do zwirtualizowanych urządzeń peryferyjnych udostępnianych przez usługi wirtualizacji wykonywane w partycji głównej.
Funkcja hypervisor platformy Azure jest oparta na następujących celach zabezpieczeń:
| Cel | Element źródłowy |
|---|---|
| Izolacja | Zasady zabezpieczeń nie wymagają transferu informacji między maszynami wirtualnymi. To ograniczenie wymaga możliwości w programie Virtual Machine Manager (VMM) i sprzęcie na potrzeby izolacji pamięci, urządzeń, sieci i zasobów zarządzanych, takich jak utrwalone dane. |
| Integralność programu VMM | Aby uzyskać ogólną integralność systemu, integralność poszczególnych składników funkcji hypervisor jest ustanawiana i utrzymywana. |
| Integralność platformy | Integralność funkcji hypervisor zależy od integralności sprzętu i oprogramowania, na którym opiera się. Chociaż funkcja hypervisor nie ma bezpośredniej kontroli nad integralnością platformy, platforma Azure opiera się na mechanizmach sprzętowych i układowych, takich jak mikroukład Cerberus , aby chronić i wykrywać integralność platformy bazowej. Program VMM i goście nie mogą działać, jeśli integralność platformy zostanie naruszona. |
| Dostęp ograniczony | Funkcje zarządzania są wykonywane tylko przez autoryzowanych administratorów połączonych za pośrednictwem bezpiecznych połączeń. Zasada najmniejszych uprawnień jest wymuszana przez mechanizmy kontroli dostępu na podstawie ról (RBAC) platformy Azure. |
| Inspekcja | Platforma Azure umożliwia inspekcję funkcji przechwytywania i ochrony danych dotyczących tego, co dzieje się w systemie, dzięki czemu można je później sprawdzić. |
Podejście firmy Microsoft do wzmacniania funkcji hypervisor platformy Azure i podsystemu wirtualizacji można podzielić na następujące trzy kategorie.
Silnie zdefiniowane granice zabezpieczeń wymuszane przez funkcję hypervisor
Funkcja hypervisor platformy Azure wymusza wiele granic zabezpieczeń między:
- Zwirtualizowane partycje "gościa" i partycje uprzywilejowane ("host")
- Wielu gości
- Sam i host
- Sam i wszyscy goście
Poufność, integralność i dostępność są zapewniane dla granic zabezpieczeń funkcji hypervisor. Granice bronią przed szeregiem ataków, w tym wycieki informacji kanału bocznego, odmowa usługi i podniesienie uprawnień.
Granica zabezpieczeń funkcji hypervisor zapewnia również segmentację między dzierżawami dla ruchu sieciowego, urządzeń wirtualnych, magazynu, zasobów obliczeniowych i wszystkich innych zasobów maszyn wirtualnych.
Środki zaradcze wykorzystujące luki w zabezpieczeniach
W mało prawdopodobnym przypadku granica zabezpieczeń ma lukę w zabezpieczeniach, funkcja hypervisor platformy Azure zawiera wiele warstw ograniczania ryzyka, w tym:
- Izolacja procesów opartych na hoście hostów obsługujących składniki między maszynami wirtualnymi
- Zabezpieczenia oparte na wirtualizacji (VBS) zapewniające integralność składników trybu użytkownika i jądra z bezpiecznego świata
- Wiele poziomów ograniczania ryzyka wykorzystania luk w zabezpieczeniach. Środki zaradcze obejmują losowe generowanie układu przestrzeni adresowej (ASLR), zapobieganie wykonywaniu danych (DEP), dowolną ochronę kodu, integralność przepływu sterowania i zapobieganie uszkodzeniem danych
- Automatyczne inicjowanie zmiennych stosu na poziomie kompilatora
- Interfejsy API jądra, które automatycznie inicjują alokacje sterty jądra wykonywane przez funkcję Hyper-V
Te środki zaradcze zostały zaprojektowane w celu opracowania luki w zabezpieczeniach między maszynami wirtualnymi.
Silne procesy zapewniania bezpieczeństwa
Powierzchnia ataku związana z funkcją hypervisor obejmuje sieci oprogramowania, urządzenia wirtualne i wszystkie powierzchnie między maszynami wirtualnymi. Obszar ataków jest śledzony za pośrednictwem automatycznej integracji kompilacji, która wyzwala okresowe przeglądy zabezpieczeń.
Wszystkie powierzchnie ataków maszyn wirtualnych są modelowane, kod przeglądany, rozmyty i testowany przez nasz zespół RED pod kątem naruszeń granic zabezpieczeń. Firma Microsoft ma program nagrody za usterki, który płaci nagrodę za odpowiednie luki w zabezpieczeniach w kwalifikujących się wersjach produktów dla Microsoft Hyper-V.
Uwaga
Dowiedz się więcej o silnych procesach zapewniania zabezpieczeń w funkcji Hyper-V.
Następne kroki
Aby dowiedzieć się więcej o tym, co robimy, aby zwiększyć integralność i bezpieczeństwo platformy, zobacz: