Segurança do hipervisor na frota do Azure
O sistema de hipervisor do Azure baseia-se no Windows Hyper-V. O sistema de hipervisor permite que o administrador do computador especifique partições de convidado que tenham espaços de endereços separados. Os espaços de endereços separados permitem-lhe carregar um sistema operativo e aplicações que operam em paralelo do sistema operativo (anfitrião) que é executado na partição raiz do computador. O SO anfitrião (também conhecido como partição de raiz privilegiada) tem acesso direto a todos os dispositivos físicos e periféricos no sistema (controladores de armazenamento, adaptações de rede). O SO anfitrião permite que as partições de convidado partilhem a utilização destes dispositivos físicos ao expor "dispositivos virtuais" a cada partição de convidado. Assim, um sistema operativo executado numa partição de convidado tem acesso a dispositivos periféricos virtualizados que são fornecidos pelos serviços de virtualização executados na partição de raiz.
O hipervisor do Azure é criado tendo em conta os seguintes objetivos de segurança:
| Objetivo | Origem |
|---|---|
| Isolamento | Uma política de segurança não determina a transferência de informações entre VMs. Esta restrição requer capacidades no Virtual Machine Manager (VMM) e hardware para isolamento de memória, dispositivos, rede e recursos geridos, como dados persistentes. |
| Integridade do VMM | Para alcançar a integridade geral do sistema, a integridade dos componentes de hipervisores individuais é estabelecida e mantida. |
| Integridade da plataforma | A integridade do hipervisor depende da integridade do hardware e do software em que depende. Embora o hipervisor não tenha controlo direto sobre a integridade da plataforma, o Azure depende de mecanismos de hardware e firmware, como o chip Cerberus , para proteger e detetar a integridade da plataforma subjacente. O VMM e os convidados são impedidos de ser executados se a integridade da plataforma estiver comprometida. |
| Acesso restrito | As funções de gestão são exercidos apenas por administradores autorizados ligados através de ligações seguras. Um princípio de menor privilégio é imposto pelos mecanismos de controlo de acesso baseado em funções do Azure (RBAC do Azure). |
| Auditoria | O Azure permite a capacidade de auditoria para capturar e proteger dados sobre o que acontece num sistema para que possa ser inspecionado mais tarde. |
A abordagem da Microsoft para proteger o hipervisor do Azure e o subsistema de virtualização pode ser dividida nas três categorias seguintes.
Limites de segurança fortemente definidos impostos pelo hipervisor
O hipervisor do Azure impõe vários limites de segurança entre:
- Partições "convidado" virtualizadas e partição com privilégios ("anfitrião")
- Vários convidados
- Ele próprio e o anfitrião
- Ele próprio e todos os convidados
A confidencialidade, a integridade e a disponibilidade estão asseguradas para os limites de segurança do hipervisor. Os limites defendem-se de uma série de ataques, incluindo fugas de informação de canal lateral, denial-of-service e elevação de privilégios.
O limite de segurança do hipervisor também fornece segmentação entre inquilinos para tráfego de rede, dispositivos virtuais, armazenamento, recursos de computação e todos os outros recursos de VM.
Mitigações de exploração de defesa em profundidade
No caso improvável de um limite de segurança ter uma vulnerabilidade, o hipervisor do Azure inclui várias camadas de mitigações, incluindo:
- Isolamento do processo baseado no anfitrião que aloja componentes entre VMs
- Segurança baseada em virtualização (VBS) para garantir a integridade dos componentes do modo de utilizador e kernel de um mundo seguro
- Vários níveis de mitigações de exploração. As mitigações incluem a aleatoriedade do esquema de espaço de endereços (ASLR), prevenção de execução de dados (DEP), proteção de código arbitrária, integridade do fluxo de controlo e prevenção de danos em dados
- Inicialização automática de variáveis de pilha ao nível do compilador
- APIs de kernel que inicializam automaticamente alocações de área dinâmica para dados de kernel feitas pelo Hyper-V
Estas mitigações foram concebidas para tornar inviável o desenvolvimento de uma exploração para uma vulnerabilidade entre VMs.
Processos de garantia de segurança fortes
A superfície de ataque relacionada com o hipervisor inclui redes de software, dispositivos virtuais e todas as superfícies entre VMs. A superfície de ataque é controlada através da integração de compilação automatizada, o que aciona revisões de segurança periódicas.
Todas as superfícies de ataque da VM são modeladas por ameaças, revisão de código, difusas e testadas pela nossa equipa RED relativamente a violações de limites de segurança. A Microsoft tem um programa de recompensa por erros que paga um prémio por vulnerabilidades relevantes em versões de produto elegíveis para Microsoft Hyper-V.
Nota
Saiba mais sobre processos de garantia de segurança fortes no Hyper-V.
Passos seguintes
Para saber mais sobre o que fazemos para impulsionar a integridade e segurança da plataforma, consulte: