Azure フリートでのハイパーバイザーのセキュリティ
Azure のハイパーバイザー システムは、Windows Hyper-V を基盤としています。 ハイパーバイザー システムを使用すると、コンピューター管理者は、別個のアドレス空間を持つゲスト パーティションを指定できます。 別個のアドレス空間を使用すると、コンピューターのルート パーティションで実行される (ホスト) オペレーティング システムと並行して動作するオペレーティング システムとアプリケーションを読み込めます。 ホスト OS (特権ルート パーティションとも呼ばれます) は、システム上のすべての物理デバイスと周辺機器 (記憶域コントローラー、ネットワーク適応) に直接アクセスできます。 ホスト OS は各ゲスト パーティションに "仮想デバイス" を公開するので、ゲスト パーティション間でこれらの物理デバイスの使用を共有することができます。 そのため、ゲスト パーティションで実行されているオペレーティング システムは、ルート パーティションで実行されている仮想化サービスによって提供される、仮想化された周辺機器にアクセスできます。
Azure のハイパーバイザーは、以下のセキュリティ目標を念頭に置いて構築されています。
| 目的 | source |
|---|---|
| 分離: | セキュリティ ポリシーでは、VM 間の情報転送がないことが義務付けられています。 この制約には、メモリ、デバイス、ネットワーク、管理対象リソース (永続化されたデータなど) を分離するための Virtual Machine Manager (VMM) とハードウェアの機能が必要です。 |
| VMM の整合性 | システム全体の整合性を実現するために、個々のハイパーバイザー コンポーネントの整合性が確立されて維持されます。 |
| プラットフォームの整合性 | ハイパーバイザーの整合性は、それが依存しているハードウェアとソフトウェアの整合性に依存します。 ハイパーバイザーではプラットフォームの整合性を直接制御できませんが、Azure では、基になっているプラットフォームの整合性の保護と検出のために、Cerberus チップなどのハードウェアとファームウェアのメカニズムに頼っています。 プラットフォームの整合性が侵害された場合、VMM とゲストの実行が防止されます。 |
| 制限付きアクセス | 管理機能は、セキュリティで保護された接続を介して接続される、認可された管理者のみが実行します。 最小限の特権の原則は、Azure ロールベースのアクセス制御 (Azure RBAC) メカニズムによって適用されます。 |
| Audit | Azure では、後で検査できるように、システムで発生することに関するデータをキャプチャして保護する監査機能が実現されています。 |
Azure のハイパーバイザーと仮想化サブシステムを強化するための Microsoft のアプローチは、以下の 3 つのカテゴリに分けられます。
ハイパーバイザーによって適用される、厳密に定義されたセキュリティ境界
Azure ハイパーバイザーでは、以下のものの間に複数のセキュリティ境界が適用されます。
- 仮想化された "ゲスト" パーティションと特権パーティション ("ホスト")
- 複数のゲスト
- それ自体とホスト
- それ自体とすべてのゲスト
ハイパーバイザーのセキュリティ境界については、機密性、整合性、可用性が確保されます。 境界は、サイドチャネル情報リーク、サービス拒否、特権の昇格などの多様な攻撃に対して防御力を発揮します。
ハイパーバイザーのセキュリティ境界では、テナント間にも、ネットワーク トラフィック、仮想デバイス、ストレージ、コンピューティング リソース、その他すべての VM リソースについてのセグメント化が提供されます。
多層防御による悪用軽減策
万一セキュリティ境界に脆弱性があったとしても、Azure ハイパーバイザーには以下のような複数の軽減階層が含まれています。
- クロス VM コンポーネントをホストする、ホストベースのプロセスの分離
- セキュリティで保護された環境のユーザー モード コンポーネントとカーネル モード コンポーネントの整合性を確保するための仮想化ベースのセキュリティ (VBS)
- 複数レベルの悪用軽減策。 軽減策として、ASLR (Address Space Layout Randomization)、データ実行防止 (DEP)、任意のコード ガード、制御フローの整合性、データ破損の防止などがあります
- コンパイラ レベルでのスタック変数の自動初期化
- Hyper-V によって行われるカーネルヒープ割り当てをゼロに自動初期化するカーネル API
これらの軽減策は、クロス VM 脆弱性の悪用の開発を実行不可能にするように設計されています。
強固なセキュリティ保証プロセス
ハイパーバイザーに関連する攻撃対象領域には、ソフトウェア ネットワーク、仮想デバイス、すべてのクロス VM 対象領域が含まれます。 攻撃対象領域は、定期的なセキュリティ レビューをトリガーする自動ビルド統合を通して追跡されます。
すべての VM 攻撃対象領域は、セキュリティ境界違反を担当するレッド チームによって、脅威がモデル化され、コードが見直され、故意にあいまいにされ、テストされています。 Microsoft には、Microsoft Hyper-V の対象製品バージョンにおける関連性のある脆弱性に対して賞金を支払う、バグ報奨金プログラムがあります。
注意
Hyper-V の強力なセキュリティ保証プロセスについて、詳細を確認してください。
次のステップ
プラットフォームの整合性とセキュリティを強化する方法の詳細については、次を参照してください。