أمان Hypervisor على أسطول Azure
يستند نظام Azure hypervisor إلى Windows Hyper-V. يُمكّن نظام hypervisor مسؤول الكمبيوتر من تحديد أقسام الضيف التي تحتوي على مساحات منفصلة العناوين. تسمح لك المساحات منفصلة العناوين بتحميل نظام تشغيل وتطبيقات تعمل بالتوازي مع نظام التشغيل (المضيف) الذي يتم تنفيذه في القسم الجذر للكمبيوتر. يتمتع نظام التشغيل المضيف (المعروف أيضاً باسم قسم الجذر المتميز) بالوصول المباشر إلى جميع الأجهزة الفعلية والطرفية على النظام (وحدات التحكم في التخزين، وتكيفات الشبكات). يسمح نظام التشغيل المضيف لأقسام الضيف بمشاركة استخدام هذه الأجهزة الفعلية عن طريق عرض "الأجهزة الظاهرية" لكل قسم ضيف. ومن ثم، فإن نظام التشغيل المنفذ في قسم الضيف لديه حق الوصول إلى الأجهزة الطرفية الظاهرية التي توفرها خدمات الظاهرية المنفذة في القسم الجذر.
تم إنشاء Azure hypervisor مع مراعاة أهداف الأمان التالية:
| الهدف | المصدر |
|---|---|
| العزل | لا يفوض نهج الأمان نقل المعلومات بين الأجهزة الظاهرية. يتطلب هذا القيد قدرات في Virtual Machine Manager (VMM) والأجهزة لعزل الذاكرة والأجهزة والشبكة والموارد المُدارة مثل البيانات المستمرة. |
| تكامل بيانات VMM | لتحقيق تكامل بيانات النظام بشكل عام، يتم إنشاء وصيانة تكامل بيانات مكونات hypervisor الفردية. |
| تكامل بيانات النظام الأساسي | يعتمد تكامل بيانات hypervisor على تكامل بيانات الأجهزة والبرامج التي يعتمد عليها. على الرغم من أن hypervisor لا يتمتع بالتحكم المباشر في تكامل بيانات النظام الأساسي، إلا إن Azure يعتمد على آليات الأجهزة والبرامج الثابتة مثل شريحة Cerberus لحماية تكامل بيانات النظام الأساسي والكشف عنه. يُمنع VMM والضيوف من التشغيل إذا تم اختراق تكامل بيانات النظام الأساسي. |
| وصول مقيد | ولا يمارس وظائف الإدارة إلا مسؤولون معتمدون ومتصلون عبر اتصالات آمنة. تفرض آليات Azure للتحكم في الوصول استناداً إلى الدور (Azure RBAC) مبدأ الامتياز الأقل. |
| تدقيق | يتيح Azure إمكانية التدقيق لالتقاط البيانات وحمايتها حول ما يحدث على النظام بحيث يمكن فحصها لاحقاً. |
يمكن تقسيم نهج Microsoft لزيادة حماية Azure hypervisor والنظام الفرعي للظاهرية إلى الفئات الثلاث التالية.
حدود أمان محددة بقوة يفرضها hypervisor
يفرض Azure hypervisor حدود أمان متعددة بين:
- أقسام "الضيف" الظاهرية والقسم المتميز ("المضيف")
- ضيوف متعددون
- نفسه والمضيف
- نفسه وجميع الضيوف
يتم ضمان السرية وتكامل البيانات والتوافر لحدود أمان hypervisor. تُدافع الحدود ضد مجموعة من الهجمات بما في ذلك تسرب معلومات القناة الجانبية، قطع الخدمة، ورفع الامتيازات.
يوفر حد أمان hypervisor أيضاً تجزئة بين المستأجرين لنسبة استخدام الشبكة والأجهزة الظاهرية والتخزين وموارد الحساب وجميع موارد الجهاز الظاهري الأخرى.
عوامل التخفيف من مخاطر الهجمات الدفاعية المتعمقة
في حال وجود ثغرة أمنية في حد الأمان، يتضمن Azure hypervisor طبقات متعددة من عوامل التخفيف من المخاطر بما في ذلك:
- عزل العملية المستندة إلى المضيف لاستضافة مكونات عبر الأجهزة الظاهرية
- الأمان المستند إلى الظاهرية (VBS) لضمان تكامل بيانات مكونات وضع المستخدم والنواة من عالم آمن
- مستويات متعددة من التخفيف من المخاطر من الهجمات. تتضمن عوامل التخفيف من مخاطر التوزيع العشوائي لتخطيط مساحة العنوان (ASLR)، ومنع تنفيذ التعليمات البرمجية (DEP)، وحماية التعليمات البرمجية التحكمية، وتكامل بيانات تدفق التحكم، ومنع تلف البيانات
- التهيئة التلقائية لمتغيرات المكدس على مستوى المحول البرمجي
- واجهات برمجة تطبيقات Kernel التي تقوم تلقائياً بتهيئة تخصيصات كومة الذاكرة المؤقتة للنواة التي تم إجراؤها بواسطة Hyper-V
صُممت عوامل التخفيف من المخاطر هذه لجعل تطوير استغلال لثغرة أمنية عبر الأجهزة الظاهرية غير قابلة للتطبيق.
عمليات ضمان الأمان القوية
يتضمن سطح الهجوم المرتبط بـ hypervisor شبكات البرامج والأجهزة الظاهرية وجميع أسطح الأجهزة الظاهرية. يتم تعقب سطح الهجوم من خلال تكامل بيانات المنشأة تلقائياً، والذي يؤدي إلى تشغيل مراجعات أمنية دورية.
جميع أسطح هجوم الجهاز الظاهري هي على غرار التهديد، واستعراض التعليمات البرمجية، واستخدام بيانات عشوائية واختبارها من قِبل فريق RED لدينا لانتهاكات حدود الأمان. لدى Microsoft برنامج مكافأة الأخطاء الذي يدفع مكافأة للثغرات الأمنية ذات الصلة في إصدارات المنتجات المؤهلة Microsoft Hyper-V.
ملاحظة
تعرف على المزيد حول عمليات ضمان الأمان القوية في Hyper-V.
الخطوات التالية
لمعرفة المزيد حول ما نقوم به لدفع تكامل النظام الأساسي وأمانه، راجع: