Keamanan hypervisor di armada Azure
Sistem hypervisor Azure dibuat berdasarkan Windows Hyper-V. Dengan sistem hypervisor, admin komputer dapat menentukan partisi tamu yang memiliki ruang alamat terpisah. Ruang alamat terpisah memungkinkan Anda memuat sistem operasi dan aplikasi yang beroperasi secara paralel dengan (host) sistem operasi yang dijalankan dalam partisi akar komputer. OS host (juga dikenal sebagai partisi akar istimewa) memiliki akses langsung ke semua perangkat fisik dan periferal pada sistem (pengontrol penyimpanan, adaptasi jaringan). OS host memungkinkan partisi tamu berbagi penggunaan perangkat fisik ini dengan mengekspos "perangkat virtual" ke setiap partisi tamu. Dengan demikian, sistem operasi yang dijalankan dalam partisi tamu memiliki akses ke perangkat periferal virtual yang disediakan oleh layanan virtualisasi yang dijalankan di partisi akar.
Hypervisor Azure dibuat dengan memperhatikan tujuan keamanan berikut:
| Tujuan | Sumber |
|---|---|
| Isolasi | Kebijakan keamanan tidak mewajibkan transfer informasi antar VM. Batasan ini memerlukan kemampuan di Manajer Komputer Virtual (VMM) dan perangkat keras untuk isolasi memori, perangkat, jaringan, dan sumber daya terkelola seperti data yang tetap ada. |
| Integritas VMM | Untuk mencapai integritas sistem secara keseluruhan, integritas komponen hypervisor individu dibuat dan dipertahankan. |
| Integritas platform | Integritas hypervisor bergantung pada integritas perangkat keras dan perangkat lunak yang diandalkannya. Meskipun hypervisor tidak memiliki kontrol langsung atas integritas platform, Azure mengandalkan mekanisme perangkat keras dan firmware seperti chip Cerberus untuk melindungi dan mendeteksi integritas platform yang mendasarinya. VMM dan tamu dicegah tidak boleh berjalan jika integritas platform disusupi. |
| Akses terbatas | Fungsi manajemen hanya dilakukan oleh admin berwenang yang terhubung melalui koneksi aman. Paling tidak, prinsip hak istimewa akan diberlakukan oleh mekanisme kontrol akses berbasis peran Azure (Azure RBAC). |
| Audit | Azure mengaktifkan kemampuan audit agar dapat mengambil dan melindungi data tentang hal yang terjadi pada sistem sehingga nantinya dapat diperiksa. |
Pendekatan Microsoft untuk pengerasan hypervisor Azure dan subsistem virtualisasi dapat dibagi menjadi tiga kategori berikut.
Batas keamanan yang sangat jelas diberlakukan oleh hypervisor
Hypervisor Azure memberlakukan beberapa batas keamanan antara:
- Partisi “tamu” virtual dan partisi istimewa (“host”)
- Beberapa tamu
- Partisi itu sendiri dan host
- Partisi itu sendiri dan semua tamu
Kerahasiaan, integritas, dan ketersediaan untuk batas keamanan hypervisor terjamin. Batasan ini melindungi dari berbagai serangan termasuk kebocoran informasi saluran samping, penolakan layanan, dan peningkatan hak istimewa.
Batas keamanan hypervisor juga menyediakan segmentasi antar penyewa untuk lalu lintas jaringan, perangkat virtual, penyimpanan, sumber daya komputasi, dan semua sumber daya VM lainnya.
Mitigasi eksploitasi pertahanan secara mendalam
Jika batas keamanan tidak mungkin memiliki kerentanan, hypervisor Azure menyertakan beberapa lapisan mitigasi termasuk:
- Isolasi proses berbasis host yang meng-hosting komponen lintas VM
- Keamanan berbasis virtualisasi (VBS) untuk memastikan integritas komponen mode kernel dan pengguna dari dunia yang aman
- Beberapa tingkat mitigasi eksploitasi. Mitigasi meliputi pengacakan tata letak ruang alamat (ASLR), pencegahan eksekusi data (DEP), penjaga kode sewenang-wenang, integritas alur kontrol, dan pencegahan kerusakan data
- Inisialisasi otomatis variabel tumpukan pada tingkat compiler
- API Kernel yang otomatis menginisialisasi alokasi tumpukan kernel yang dibuat oleh Hyper-V
Mitigasi ini dirancang agar pengembangan eksploitasi untuk kerentanan lintas VM tidak dapat dilakukan.
Proses jaminan keamanan yang kuat
Permukaan serangan yang terkait dengan hypervisor berisi jaringan perangkat lunak, perangkat virtual, dan semua permukaan lintas VM. Permukaan serangan dilacak melalui integrasi build otomatis, yang memicu tinjauan keamanan berkala.
Semua permukaan serangan VM adalah model ancaman, kode ditinjau, disamarkan, dan diuji oleh tim MERAH kami karena pelanggaran batas keamanan. Microsoft memiliki program bounty bug yang mengatasi kerentanan yang relevan dalam versi produk yang memenuhi syarat untuk Microsoft Hyper-V.
Catatan
Pelajari selengkapnya tentang proses jaminan keamanan yang kuat di Hyper-V.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang apa yang kami lakukan untuk mendorong integritas dan keamanan platform, lihat:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk