Segurança do hipervisor na frota do Azure
O sistema de hipervisor do Azure é baseado no Windows Hyper-V. O sistema de hipervisor permite que o administrador do computador especifique as partições de convidado que têm espaços de endereço separados. Os espaços de endereço separados permitem que você carregue um sistema e aplicativos operacionais em paralelo ao sistema operacional (host) que é executado na partição raiz do computador. O sistema operacional do host (também conhecido como partição raiz privilegiada) tem acesso direto a todos os dispositivos físicos e periféricos no sistema (controladores de armazenamento, adaptações de rede). O sistema operacional do host permite que as partições de convidado compartilhem o uso desses dispositivos físicos expondo "dispositivos virtuais" a cada uma delas. Assim, um sistema operacional em execução em uma partição de convidado tem acesso a dispositivos periféricos virtualizados fornecidos por serviços de virtualização em execução na partição raiz.
O hipervisor do Azure é criado tendo em mente os seguintes objetivos de segurança:
| Objetivo | Fonte |
|---|---|
| Isolamento | Uma política de segurança não exige transferência de informações entre VMs. Essa restrição exige recursos no VMM (Virtual Machine Manager) e no hardware para isolamento de memória, dispositivos, rede e recursos gerenciados, como dados persistentes. |
| Integridade do VMM | Para obter a integridade geral do sistema, a integridade dos componentes individuais do hipervisor é estabelecida e mantida. |
| Integridade da plataforma | A integridade do hipervisor depende da integridade do hardware e do software em que ele se baseia. Embora o hipervisor não tenha controle direto sobre a integridade da plataforma, o Azure conta com mecanismos de hardware e firmware, como o chip Cerberus, para proteger e detectar a integridade da plataforma subjacente. O VMM e os convidados não poderão ser executados se a integridade da plataforma for comprometida. |
| Acesso restrito | As funções de gerenciamento são exercidas somente por administradores autorizados conectados por conexões seguras. Um princípio de privilégios mínimos é imposto por mecanismos de RBAC (controle de acesso baseado em função) do Azure. |
| Audit | O Azure habilita o recurso de auditoria para capturar e proteger dados sobre o que acontece em um sistema para que possam ser inspecionados posteriormente. |
A abordagem da Microsoft para proteger o hipervisor do Azure e o subsistema de virtualização pode ser dividida nas três categorias a seguir.
Limites de segurança definidos com eficácia e impostos pelo hipervisor
O hipervisor do Azure impõe vários limites de segurança entre:
- Partições virtualizadas "convidadas" e partição privilegiada ("host")
- Vários convidados
- O próprio recurso e o host
- O próprio recurso e todos os convidados
A confidencialidade, a integridade e a disponibilidade são garantidas pelos limites de segurança do hipervisor. Os limites oferecem defesa contra uma variedade de ataques, incluindo vazamentos de informações do lado do canal, negação de serviço e elevação de privilégio.
O limite de segurança do hipervisor também fornece segmentação entre locatários para tráfego de rede, dispositivos virtuais, armazenamento, recursos de computação e todos os outros recursos de VM.
Mitigações de exploração de defesa em profundidade
No caso improvável de um limite de segurança ter uma vulnerabilidade, o hipervisor do Azure incluirá várias camadas de mitigações, entre elas:
- Isolamento de processos baseados em host que hospedam componentes entre VMs
- VBS (segurança baseada em virtualização) para garantir a integridade dos componentes de modo de usuário e kernel de um Secure World
- Vários níveis de mitigações de exploração. As mitigações incluem ASLR (randomização de layout de espaço de endereço), DEP (prevenção de execução de dados), proteção de código arbitrário, integridade do fluxo de controle e prevenção contra dados corrompidos
- Inicialização automática de pilha de variáveis no nível do compilador
- APIs de Kernel que inicializam automaticamente as alocações de heap de kernel feitas pelo Hyper-V
Essas mitigações foram projetadas para tornar inviável o desenvolvimento de uma exploração para uma vulnerabilidade entre VMs.
Processos de garantia de segurança eficiente
A superfície de ataque relacionada ao hipervisor inclui rede de software, dispositivos virtuais e todas as superfícies entre VMs. A superfície de ataque é controlada por meio da integração de build automatizado, que dispara revisões de segurança periódicas.
Todas as superfícies de ataque de VM passam por modelo de risco, revisão por código, testes de fuzzing e outros testes por nossa equipe RED para violações de limites de segurança. A Microsoft tem um programa de recompensas por bugs que paga um prêmio por vulnerabilidades relevantes em versões de produtos elegíveis para Microsoft Hyper-V.
Observação
Saiba mais sobre processos de garantia de segurança eficiente no Hyper-V.
Próximas etapas
Para saber mais sobre o que fazemos para aumentar a integridade e a segurança da plataforma, confira: