Udostępnij za pośrednictwem


Zabezpieczenia funkcji Hypervisor w flocie platformy Azure

System funkcji hypervisor platformy Azure jest oparty na funkcji Hyper-V systemu Windows. System funkcji hypervisor umożliwia administratorowi komputera określenie partycji gościa, które mają oddzielne przestrzenie adresowe. Oddzielne przestrzenie adresowe umożliwiają ładowanie systemu operacyjnego i aplikacji działających równolegle z systemem operacyjnym (hosta), który jest wykonywany w partycji głównej komputera. System operacyjny hosta (znany również jako uprzywilejowana partycja główna) ma bezpośredni dostęp do wszystkich urządzeń fizycznych i urządzeń peryferyjnych w systemie (kontrolery magazynu, adaptacje sieciowe). System operacyjny hosta umożliwia partycji gościa współużytkowanie tych urządzeń fizycznych przez uwidacznianie "urządzeń wirtualnych" do każdej partycji gościa. W związku z tym system operacyjny wykonywany w partycji gościa ma dostęp do zwirtualizowanych urządzeń peryferyjnych udostępnianych przez usługi wirtualizacji wykonywane w partycji głównej.

Funkcja hypervisor platformy Azure jest oparta na następujących celach zabezpieczeń:

Cel Element źródłowy
Izolacja Zasady zabezpieczeń nie wymagają transferu informacji między maszynami wirtualnymi. To ograniczenie wymaga możliwości w programie Virtual Machine Manager (VMM) i sprzęcie na potrzeby izolacji pamięci, urządzeń, sieci i zasobów zarządzanych, takich jak utrwalone dane.
Integralność programu VMM Aby uzyskać ogólną integralność systemu, integralność poszczególnych składników funkcji hypervisor jest ustanawiana i utrzymywana.
Integralność platformy Integralność funkcji hypervisor zależy od integralności sprzętu i oprogramowania, na którym opiera się. Chociaż funkcja hypervisor nie ma bezpośredniej kontroli nad integralnością platformy, platforma Azure opiera się na mechanizmach sprzętowych i układowych, takich jak mikroukład Cerberus , aby chronić i wykrywać integralność platformy bazowej. Program VMM i goście nie mogą działać, jeśli integralność platformy zostanie naruszona.
Dostęp ograniczony Funkcje zarządzania są wykonywane tylko przez autoryzowanych administratorów połączonych za pośrednictwem bezpiecznych połączeń. Zasada najmniejszych uprawnień jest wymuszana przez mechanizmy kontroli dostępu na podstawie ról (RBAC) platformy Azure.
Inspekcja Platforma Azure umożliwia inspekcję funkcji przechwytywania i ochrony danych dotyczących tego, co dzieje się w systemie, dzięki czemu można je później sprawdzić.

Podejście firmy Microsoft do wzmacniania funkcji hypervisor platformy Azure i podsystemu wirtualizacji można podzielić na następujące trzy kategorie.

Silnie zdefiniowane granice zabezpieczeń wymuszane przez funkcję hypervisor

Funkcja hypervisor platformy Azure wymusza wiele granic zabezpieczeń między:

  • Zwirtualizowane partycje "gościa" i partycje uprzywilejowane ("host")
  • Wielu gości
  • Sam i host
  • Sam i wszyscy goście

Poufność, integralność i dostępność są zapewniane dla granic zabezpieczeń funkcji hypervisor. Granice bronią przed szeregiem ataków, w tym wycieki informacji kanału bocznego, odmowa usługi i podniesienie uprawnień.

Granica zabezpieczeń funkcji hypervisor zapewnia również segmentację między dzierżawami dla ruchu sieciowego, urządzeń wirtualnych, magazynu, zasobów obliczeniowych i wszystkich innych zasobów maszyn wirtualnych.

Środki zaradcze wykorzystujące luki w zabezpieczeniach

W mało prawdopodobnym przypadku granica zabezpieczeń ma lukę w zabezpieczeniach, funkcja hypervisor platformy Azure zawiera wiele warstw ograniczania ryzyka, w tym:

  • Izolacja procesów opartych na hoście hostów obsługujących składniki między maszynami wirtualnymi
  • Zabezpieczenia oparte na wirtualizacji (VBS) zapewniające integralność składników trybu użytkownika i jądra z bezpiecznego świata
  • Wiele poziomów ograniczania ryzyka wykorzystania luk w zabezpieczeniach. Środki zaradcze obejmują losowe generowanie układu przestrzeni adresowej (ASLR), zapobieganie wykonywaniu danych (DEP), dowolną ochronę kodu, integralność przepływu sterowania i zapobieganie uszkodzeniem danych
  • Automatyczne inicjowanie zmiennych stosu na poziomie kompilatora
  • Interfejsy API jądra, które automatycznie inicjują alokacje sterty jądra wykonywane przez funkcję Hyper-V

Te środki zaradcze zostały zaprojektowane w celu opracowania luki w zabezpieczeniach między maszynami wirtualnymi.

Silne procesy zapewniania bezpieczeństwa

Powierzchnia ataku związana z funkcją hypervisor obejmuje sieci oprogramowania, urządzenia wirtualne i wszystkie powierzchnie między maszynami wirtualnymi. Obszar ataków jest śledzony za pośrednictwem automatycznej integracji kompilacji, która wyzwala okresowe przeglądy zabezpieczeń.

Wszystkie powierzchnie ataków maszyn wirtualnych są modelowane, kod przeglądany, rozmyty i testowany przez nasz zespół RED pod kątem naruszeń granic zabezpieczeń. Firma Microsoft ma program nagrody za usterki, który płaci nagrodę za odpowiednie luki w zabezpieczeniach w kwalifikujących się wersjach produktów dla Microsoft Hyper-V.

Uwaga

Dowiedz się więcej o silnych procesach zapewniania zabezpieczeń w funkcji Hyper-V.

Następne kroki

Aby dowiedzieć się więcej o tym, co robimy, aby zwiększyć integralność i bezpieczeństwo platformy, zobacz: