Hypervisor-säkerhet i Azure-flottan
Hypervisor-systemet i Azure baseras på Windows Hyper-V. Hypervisor-systemet gör det möjligt för datoradministratören att ange gästpartitioner som har separata adressutrymmen. Med separata adressutrymmen kan du läsa in ett operativsystem och program som körs parallellt med operativsystemet (värden) som körs i datorns rotpartition. Värdoperativsystemet (även kallat privilegierad rotpartition) har direkt åtkomst till alla fysiska enheter och kringutrustning i systemet (lagringsstyrenheter, nätverksanpassningar). Värdoperativsystemet tillåter gästpartitioner att dela användningen av dessa fysiska enheter genom att exponera "virtuella enheter" för varje gästpartition. Därför har ett operativsystem som körs i en gästpartition åtkomst till virtualiserade kringutrustningsenheter som tillhandahålls av virtualiseringstjänster som körs i rotpartitionen.
Azure-hypervisor-programmet har skapats med följande säkerhetsmål i åtanke:
| Mål | Källa |
|---|---|
| Isolering | En säkerhetsprincip kräver ingen informationsöverföring mellan virtuella datorer. Den här begränsningen kräver funktioner i Virtual Machine Manager (VMM) och maskinvara för isolering av minne, enheter, nätverk och hanterade resurser, till exempel beständiga data. |
| VMM-integritet | För att uppnå övergripande systemintegritet upprättas och upprätthålls integriteten hos enskilda hypervisor-komponenter. |
| Plattformsintegritet | Hypervisor-programmets integritet beror på integriteten hos den maskinvara och programvara som den förlitar sig på. Hypervisor-programmet har inte direkt kontroll över plattformens integritet, men Azure förlitar sig på mekanismer för maskinvara och inbyggd programvara, till exempel Cerberus-kretsen , för att skydda och identifiera den underliggande plattformsintegriteten. VMM och gäster hindras från att köras om plattformsintegriteten komprometteras. |
| Begränsad åtkomst | Hanteringsfunktionerna utövas endast av behöriga administratörer som är anslutna via säkra anslutningar. En princip om lägsta behörighet framtvingas av azure-mekanismer för rollbaserad åtkomstkontroll (Azure RBAC). |
| Granska | Azure gör det möjligt för granskning att samla in och skydda data om vad som händer i ett system så att det senare kan inspekteras. |
Microsofts metod för att härda Azure-hypervisor-programmet och virtualiseringsundersystemet kan delas in i följande tre kategorier.
Starkt definierade säkerhetsgränser som framtvingas av hypervisor-programmet
Azure-hypervisor-programmet tillämpar flera säkerhetsgränser mellan:
- Virtualiserade "gästpartitioner" och privilegierad partition ("värd")
- Flera gäster
- Sig själv och värden
- Sig själv och alla gäster
Konfidentialitet, integritet och tillgänglighet garanteras för hypervisor-säkerhetsgränserna. Gränserna skyddar mot en rad attacker, inklusive informationsläckor på sidokanalen, överbelastningsattacker och utökade privilegier.
Hypervisor-säkerhetsgränsen ger också segmentering mellan klientorganisationer för nätverkstrafik, virtuella enheter, lagring, beräkningsresurser och alla andra VM-resurser.
Skydd mot djupgående sårbarhetsminskningar
Om en säkerhetsgräns sannolikt inte har en säkerhetsrisk innehåller Azure-hypervisor-programmet flera lager med åtgärder, inklusive:
- Isolering av värdbaserad process som är värd för komponenter mellan virtuella datorer
- Virtualiseringsbaserad säkerhet (VBS) för att säkerställa integriteten hos komponenter i användar- och kernelläge från en säker värld
- Flera nivåer av sårbarhetsminskningar. Bland åtgärderna finns slumpmässig layout för adressutrymme (ASLR), datakörningsskydd (DEP), godtycklig kodskydd, kontrollflödesintegritet och datakorruptionsskydd
- Automatisk initiering av stackvariabler på kompilatornivå
- Kernel-API:er som automatiskt nollinitierar kernel-heap-allokeringar som görs av Hyper-V
Dessa åtgärder är utformade för att göra det inte går att utveckla ett kryphål för en säkerhetsrisk mellan virtuella datorer.
Starka säkerhetskontrollprocesser
Attackytan som är relaterad till hypervisor-programmet omfattar programvarunätverk, virtuella enheter och alla vm-ytor över flera virtuella datorer. Attackytan spåras genom automatiserad byggintegrering, vilket utlöser regelbundna säkerhetsgranskningar.
Alla VM-attackytor är hotmodellerade, kodgranskningar, fuzzed och testade av vårt RED-team för säkerhetsgränsöverträdelser. Microsoft har ett bug bounty-program som betalar en utmärkelse för relevanta sårbarheter i berättigade produktversioner för Microsoft Hyper-V.
Anteckning
Läs mer om starka säkerhetskontrollprocesser i Hyper-V.
Nästa steg
Mer information om vad vi gör för att främja plattformsintegritet och säkerhet finns i: