Condividi tramite


Integrità del codice della piattaforma

Una sfida significativa nel funzionamento di un sistema complesso come Microsoft Azure garantisce che solo il software autorizzato sia in esecuzione nel sistema. Il software non autorizzato presenta diversi rischi per qualsiasi azienda:

  • Rischi per la sicurezza, ad esempio strumenti di attacco dedicati, malware personalizzato e software di terze parti con vulnerabilità note
  • Rischi di conformità quando il processo di gestione delle modifiche approvato non viene usato per introdurre un nuovo software
  • Rischio di qualità da software sviluppato esternamente, che potrebbe non soddisfare i requisiti operativi dell'azienda

In Azure ci troviamo di fronte alla stessa sfida e alla complessità significativa. Abbiamo migliaia di server che eseguono software sviluppato e gestito da migliaia di ingegneri. Ciò presenta una superficie di attacco di grandi dimensioni che non può essere gestita solo tramite processi aziendali.

Aggiunta di un controllo di autorizzazione

Azure usa un processo di progettazione avanzato che implementa controlli sulla sicurezza, la conformità e la qualità del software distribuito. Questo processo include il controllo di accesso al codice sorgente, l'esecuzione di verifiche del codice peer, l'analisi statica delle vulnerabilità di sicurezza, il ciclo di vita dello sviluppo della sicurezza di Microsoft (SDL) e l'esecuzione di test funzionali e qualitativi. È necessario garantire che il software distribuito sia stato propagato attraverso questo processo. L'integrità del codice consente di ottenere tale garanzia.

Integrità del codice come controllo di autorizzazione

L'integrità del codice è un servizio a livello di kernel che è diventato disponibile a partire da Windows Server 2016. L'integrità del codice può applicare criteri di controllo di esecuzione rigorosi ogni volta che viene caricato un driver o una libreria collegata dinamicamente (DLL), viene eseguito un file binario eseguibile o viene eseguito uno script. Esistono sistemi simili, ad esempio DM-Verity, per Linux. Un criterio di integrità del codice è costituito da un set di indicatori di autorizzazione, certificati di firma del codice o hash di file SHA256 , che il kernel corrisponde prima del caricamento o dell'esecuzione di un file binario o script.

L'integrità del codice consente a un amministratore di sistema di definire un criterio che autorizza solo file binari e script firmati da certificati specifici o che corrispondono agli hash SHA256 specificati. Il kernel applica questo criterio bloccando l'esecuzione di tutto ciò che non soddisfa i criteri impostati.

Un problema relativo ai criteri di integrità del codice è che, a meno che il criterio non sia perfettamente corretto, può bloccare il software critico nell'ambiente di produzione e causare un'interruzione. Data questa preoccupazione, si potrebbe chiedere perché non è sufficiente usare il monitoraggio della sicurezza per rilevare quando è stato eseguito software non autorizzato. L'integrità del codice ha una modalità di controllo che, invece di impedire l'esecuzione, può avvisare quando viene eseguito software non autorizzato. L'invio di avvisi può certamente aggiungere molto valore nell'affrontare i rischi di conformità, ma per i rischi per la sicurezza, ad esempio ransomware o malware personalizzato, ritardare la risposta anche di pochi secondi può essere la differenza tra la protezione e un avversario che ottiene un punto di appoggio permanente nella vostra flotta. In Azure è stato investito in modo significativo per gestire qualsiasi rischio di integrità del codice che contribuisce a un'interruzione del servizio da parte di un cliente.

Processo di compilazione

Come illustrato in precedenza, il sistema di compilazione di Azure include un set completo di test per garantire che le modifiche software siano sicure e conformi. Dopo che una compilazione è stata completata tramite la convalida, il sistema di compilazione lo firma usando un certificato di compilazione di Azure. Il certificato indica che la compilazione è passata attraverso l'intero processo di gestione delle modifiche. Il test finale eseguito dalla compilazione è denominato Convalida della firma del codice (CSV). CSV conferma che i file binari appena compilati soddisfano i criteri di integrità del codice prima della distribuzione nell'ambiente di produzione. In questo modo si garantisce un'elevata probabilità che un cliente non influisca sull'interruzione a causa di file binari firmati in modo non corretto. Se csv rileva un problema, le interruzioni di compilazione e i tecnici pertinenti vengono visualizzati per analizzare e risolvere il problema.

Sicurezza durante la distribuzione

Anche se si esegue csv per ogni compilazione, è comunque possibile che alcune modifiche o incoerenze nell'ambiente di produzione causino un'interruzione correlata all'integrità del codice. Ad esempio, un computer potrebbe eseguire una versione precedente dei criteri di integrità del codice o in uno stato non integro che produce falsi positivi nell'integrità del codice. (Su larga scala di Azure, abbiamo visto tutto). Di conseguenza, è necessario continuare a proteggersi dal rischio di interruzione durante la distribuzione.

Tutte le modifiche in Azure sono necessarie per la distribuzione in una serie di fasi. La prima di queste sono istanze interne di test di Azure. La fase successiva viene usata solo per servire altri team di prodotti Microsoft. La fase finale serve i clienti di terze parti. Quando viene distribuita una modifica, passa a ognuna di queste fasi a sua volta e si sospende per misurare l'integrità della fase. Se la modifica non ha alcun impatto negativo, passa alla fase successiva. Se si apporta una modifica non valida a un criterio di integrità del codice, la modifica viene rilevata durante questa distribuzione a fasi ed è stato eseguito il rollback.

Risposta agli eventi imprevisti

Anche con questa protezione a più livelli, è comunque possibile che alcuni server della flotta possano bloccare correttamente il software autorizzato e causare un problema riscontrato dal cliente, uno dei nostri scenari peggiori. Il nostro livello finale di difesa è l'indagine umana. Ogni volta che l'integrità del codice blocca un file, genera un avviso per i tecnici su chiamata da analizzare. L'avviso consente di avviare indagini sulla sicurezza e intervenire, indipendentemente dal fatto che il problema sia un indicatore di un attacco reale, un falso positivo o altre situazioni che influiscono sui clienti. Ciò riduce al minimo il tempo necessario per attenuare eventuali problemi correlati all'integrità del codice.

Passaggi successivi

Per altre informazioni sulle operazioni eseguite per promuovere l'integrità e la sicurezza della piattaforma, vedere: