Sdílet prostřednictvím


Zabezpečení hypervisoru ve vozovém parku Azure

Systém hypervisoru Azure je založený na Windows Hyper-V. Systém hypervisoru umožňuje správci počítače určit oddíly hosta, které mají samostatné adresní prostory. Samostatné adresní prostory umožňují načíst operační systém a aplikace fungující paralelně s operačním systémem (hostitelem), který se spouští v kořenovém oddílu počítače. Hostitelský operační systém (označovaný také jako privilegovaný kořenový oddíl) má přímý přístup ke všem fyzickým zařízením a periferním zařízením v systému (kontrolery úložiště, síťové adaptace). Hostitelský operační systém umožňuje oddílům hosta sdílet použití těchto fyzických zařízení tím, že každému oddílu hosta vystavuje "virtuální zařízení". Operační systém spuštěný v oddílu hosta tak má přístup k virtualizovaným periferním zařízením poskytovaným virtualizačními službami spuštěnými v kořenovém oddílu.

Hypervisor Azure je sestavený s ohledem na následující cíle zabezpečení:

Cíl Zdroj
Izolace Zásady zabezpečení nenařizuje žádný přenos informací mezi virtuálními počítači. Toto omezení vyžaduje funkce v nástroji Virtual Machine Manager (VMM) a hardware pro izolaci paměti, zařízení, sítě a spravovaných prostředků, jako jsou trvalá data.
Integrita nástroje VMM K dosažení celkové integrity systému se vytváří a udržuje integrita jednotlivých komponent hypervisoru.
Integrita platformy Integrita hypervisoru závisí na integritě hardwaru a softwaru, na kterém závisí. I když hypervisor nemá přímou kontrolu nad integritou platformy, Azure při ochraně a detekci integrity základní platformy spoléhá na mechanismy hardwaru a firmwaru, jako je čip Cerberus . Nástroj VMM a hosté nebudou spuštěni, pokud dojde k ohrožení integrity platformy.
Omezený přístup Funkce správy jsou vykonávány pouze autorizovanými správci připojenými přes zabezpečená připojení. Princip nejnižší úrovně oprávnění vynucují mechanismy řízení přístupu na základě role v Azure (Azure RBAC).
Auditování Azure umožňuje auditovat zachytávání a ochranu dat o tom, co se děje v systému, aby ho bylo možné později zkontrolovat.

Přístup Microsoftu k posílení zabezpečení hypervisoru Azure a subsystému virtualizace je možné rozdělit do následujících tří kategorií.

Silně definované hranice zabezpečení vynucované hypervisorem

Hypervisor Azure vynucuje několik hranic zabezpečení mezi:

  • Virtualizované oddíly hosta a privilegovaný oddíl (hostitel)
  • Více hostů
  • Sama o sobě a hostiteli
  • Sebe sama a všichni hosté

Hranice zabezpečení hypervisoru zajišťují důvěrnost, integritu a dostupnost. Hranice chrání před celou řadou útoků, včetně úniku informací postranním kanálem, odepření služby a zvýšení oprávnění.

Hranice zabezpečení hypervisoru také zajišťuje segmentaci mezi tenanty pro síťový provoz, virtuální zařízení, úložiště, výpočetní prostředky a všechny ostatní prostředky virtuálních počítačů.

Zmírnění rizik hloubkového zneužití ochrany

V nepravděpodobném případě ohrožení zabezpečení hranice zabezpečení hypervisor Azure zahrnuje několik vrstev zmírnění rizik, mezi které patří:

  • Izolace hostitelského procesu hostujícího komponenty virtuálních počítačů
  • Zabezpečení na základě virtualizace (VBS) pro zajištění integrity uživatelských komponent a komponent režimu jádra z bezpečného světa
  • Více úrovní zmírnění zneužití. Omezení rizik zahrnují randomizaci rozložení adresního prostoru (ASLR), prevenci spouštění dat (DEP), ochranu před libovolným kódem, integritu toku řízení a ochranu před poškozením dat.
  • Automatická inicializace proměnných zásobníku na úrovni kompilátoru
  • Rozhraní API jádra, která automaticky inicializují přidělení haldy jádra pomocí technologie Hyper-V s nulovou inicializací

Tato omezení rizik jsou navržená tak, aby vývoj zneužití pro ohrožení zabezpečení mezi virtuálními počítači byl neproveditelný.

Silné procesy zajištění zabezpečení

Prostor pro útok související s hypervisorem zahrnuje softwarové sítě, virtuální zařízení a všechny plochy napříč virtuálními počítači. Prostor pro útok je sledován prostřednictvím automatizované integrace sestavení, která spouští pravidelné kontroly zabezpečení.

Všechny oblasti útoku na virtuální počítače jsou modelovány hrozby, kontrolovány kódy, fuzzed a testovány naším týmem red pro porušení hranic zabezpečení. Microsoft má program bug bounty, který za Microsoft Hyper-V platí cenu za relevantní ohrožení zabezpečení v opravňujících verzích produktů.

Poznámka

Přečtěte si další informace o silných procesech zajištění zabezpečení v Hyper-V.

Další kroky

Další informace o tom, co děláme pro zajištění integrity a zabezpečení platformy, najdete tady: