Hipervizor-biztonság az Azure-flottán
Az Azure hypervisor rendszer a Windows Hyper-V-n alapul. A hipervizorrendszer lehetővé teszi a számítógép rendszergazdájának, hogy külön címterekkel rendelkező vendégpartíciókat adjon meg. A különálló címterek lehetővé teszik a számítógép gyökérpartíciójában futó (gazdagép) operációs rendszerrel párhuzamosan működő operációs rendszer és alkalmazások betöltését. A gazdagép operációs rendszere (más néven emelt szintű gyökérpartíció) közvetlen hozzáféréssel rendelkezik a rendszeren található összes fizikai eszközhöz és perifériához (tárolóvezérlők, hálózati adaptációk). A gazdagép operációs rendszere lehetővé teszi, hogy a vendégpartíciók megosztják ezen fizikai eszközök használatát azáltal, hogy minden vendégpartícióban "virtuális eszközöket" adnak ki. Így egy vendégpartícióban végrehajtó operációs rendszer hozzáfér a virtualizált perifériaeszközökhöz, amelyeket a gyökérpartícióban végrehajtó virtualizálási szolgáltatások biztosítanak.
Az Azure-hipervizor a következő biztonsági célkitűzések szem előtt tartásával készült:
Cél | Forrás |
---|---|
Elkülönítés | A biztonsági szabályzat nem kötelezi a virtuális gépek közötti adattovábbításra. Ehhez a korlátozáshoz a Virtual Machine Manager (VMM) és a hardver képességei szükségesek a memória, az eszközök, a hálózat és a felügyelt erőforrások, például a tárolt adatok elkülönítéséhez. |
VMM-integritás | Az általános rendszerintegritás érdekében az egyes hipervizor-összetevők integritása létrejön és karbantartható. |
Platformintegritás | A hipervizor integritása annak a hardvernek és szoftvernek az integritásától függ, amelyre támaszkodik. Bár a hipervizor nem rendelkezik közvetlen vezérléssel a platform integritása felett, az Azure olyan hardver- és belsővezérlőprogram-mechanizmusokra támaszkodik, mint a Cerberus chip a mögöttes platform integritásának védelme és észlelése érdekében. A VMM és a vendégek nem futhatnak, ha a platform integritása sérül. |
Erősen korlátozott hozzáférés | A felügyeleti funkciókat csak a biztonságos kapcsolatokon keresztül csatlakoztatott, jogosult rendszergazdák gyakorolják. A minimális jogosultság elvét az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) mechanizmusai érvényesítik. |
Naplózás | Az Azure lehetővé teszi a naplózási képességet, hogy rögzítse és megvédje az adatokat arról, hogy mi történik egy rendszeren, hogy később megvizsgálhassa őket. |
A Microsoft megközelítése az Azure-hipervizor és a virtualizálási alrendszer megerősítésére az alábbi három kategóriára bontható.
A hipervizor által kikényszerített szigorúan meghatározott biztonsági határok
Az Azure-hipervizor több biztonsági határt kényszerít ki a következők között:
- Virtualizált "vendég" partíciók és emelt szintű partíciók ("gazdagép")
- Több vendég
- Maga és a gazdagép
- Maga és minden vendég
A hipervizor biztonsági határait a bizalmasság, az integritás és a rendelkezésre állás biztosítja. A határok számos támadás ellen védenek, beleértve a mellékcsatornás információszivárgást, a szolgáltatásmegtagadást és a jogosultságszint emelését.
A hipervizor biztonsági határa a bérlők közötti szegmentálást is biztosítja a hálózati forgalom, a virtuális eszközök, a tárolók, a számítási erőforrások és az összes többi virtuálisgép-erőforrás esetében.
A mélységi védelem kiaknázása elleni kockázatcsökkentések
Abban az esetben, ha egy biztonsági határ biztonsági rést tartalmaz, az Azure-hipervizor több kockázatcsökkentési réteget is tartalmaz, többek között a következőket:
- Gazdagépalapú, virtuálisgép-összetevőket üzemeltető folyamat elkülönítése
- Virtualizáláson alapuló biztonság (VBS) a felhasználói és kernelmódú összetevők integritásának biztosításához egy biztonságos világból
- A biztonsági rések kockázatcsökkentésének több szintje. A kockázatcsökkentések közé tartozik a címtér elrendezésének véletlenszerűsítése (ASLR), az adatvégrehajtás megakadályozása (DEP), az tetszőleges kódőrzés, a folyamatintegritás szabályozása és az adatsérülések megelőzése
- Veremváltozók automatikus inicializálása a fordító szintjén
- Kernel API-k, amelyek automatikusan nulláról inicializálják a Hyper-V által létrehozott kernelmemória-foglalásokat
Ezek a kockázatcsökkentések úgy vannak kialakítva, hogy a virtuális gépek közötti biztonsági rések kiaknázása ne legyen megvalósítható.
Erős biztonsági garanciafolyamatok
A hipervizorhoz kapcsolódó támadási felület magában foglalja a szoftveres hálózatkezelést, a virtuális eszközöket és a virtuális gépek közötti összes felületet. A támadási felületet automatizált buildintegráció követi nyomon, amely rendszeres biztonsági felülvizsgálatokat indít el.
A virtuális gépek támadási felületei a veszélyforrások modellezése, a kód áttekintése, a kód átfúrása és tesztelése a RED csapata által a biztonsági határ megsértései miatt. A Microsoftnak van egy hibadíjas programja, amely díjat fizet a jogosult termékverziók megfelelő biztonsági réseiért a Microsoft Hyper-V.
Megjegyzés
További információ a Hyper-V erős biztonsági garanciával kapcsolatos folyamatairól .
Következő lépések
A platform integritásának és biztonságának biztosításához a következő témakörben talál további információt: