Partilhar via


Segurança do hipervisor na frota do Azure

O sistema de hipervisor do Azure baseia-se no Windows Hyper-V. O sistema de hipervisor permite que o administrador do computador especifique partições de convidado que tenham espaços de endereços separados. Os espaços de endereços separados permitem-lhe carregar um sistema operativo e aplicações que operam em paralelo do sistema operativo (anfitrião) que é executado na partição raiz do computador. O SO anfitrião (também conhecido como partição de raiz privilegiada) tem acesso direto a todos os dispositivos físicos e periféricos no sistema (controladores de armazenamento, adaptações de rede). O SO anfitrião permite que as partições de convidado partilhem a utilização destes dispositivos físicos ao expor "dispositivos virtuais" a cada partição de convidado. Assim, um sistema operativo executado numa partição de convidado tem acesso a dispositivos periféricos virtualizados que são fornecidos pelos serviços de virtualização executados na partição de raiz.

O hipervisor do Azure é criado tendo em conta os seguintes objetivos de segurança:

Objetivo Origem
Isolamento Uma política de segurança não determina a transferência de informações entre VMs. Esta restrição requer capacidades no Virtual Machine Manager (VMM) e hardware para isolamento de memória, dispositivos, rede e recursos geridos, como dados persistentes.
Integridade do VMM Para alcançar a integridade geral do sistema, a integridade dos componentes de hipervisores individuais é estabelecida e mantida.
Integridade da plataforma A integridade do hipervisor depende da integridade do hardware e do software em que depende. Embora o hipervisor não tenha controlo direto sobre a integridade da plataforma, o Azure depende de mecanismos de hardware e firmware, como o chip Cerberus , para proteger e detetar a integridade da plataforma subjacente. O VMM e os convidados são impedidos de ser executados se a integridade da plataforma estiver comprometida.
Acesso restrito As funções de gestão são exercidos apenas por administradores autorizados ligados através de ligações seguras. Um princípio de menor privilégio é imposto pelos mecanismos de controlo de acesso baseado em funções do Azure (RBAC do Azure).
Auditoria O Azure permite a capacidade de auditoria para capturar e proteger dados sobre o que acontece num sistema para que possa ser inspecionado mais tarde.

A abordagem da Microsoft para proteger o hipervisor do Azure e o subsistema de virtualização pode ser dividida nas três categorias seguintes.

Limites de segurança fortemente definidos impostos pelo hipervisor

O hipervisor do Azure impõe vários limites de segurança entre:

  • Partições "convidado" virtualizadas e partição com privilégios ("anfitrião")
  • Vários convidados
  • Ele próprio e o anfitrião
  • Ele próprio e todos os convidados

A confidencialidade, a integridade e a disponibilidade estão asseguradas para os limites de segurança do hipervisor. Os limites defendem-se de uma série de ataques, incluindo fugas de informação de canal lateral, denial-of-service e elevação de privilégios.

O limite de segurança do hipervisor também fornece segmentação entre inquilinos para tráfego de rede, dispositivos virtuais, armazenamento, recursos de computação e todos os outros recursos de VM.

Mitigações de exploração de defesa em profundidade

No caso improvável de um limite de segurança ter uma vulnerabilidade, o hipervisor do Azure inclui várias camadas de mitigações, incluindo:

  • Isolamento do processo baseado no anfitrião que aloja componentes entre VMs
  • Segurança baseada em virtualização (VBS) para garantir a integridade dos componentes do modo de utilizador e kernel de um mundo seguro
  • Vários níveis de mitigações de exploração. As mitigações incluem a aleatoriedade do esquema de espaço de endereços (ASLR), prevenção de execução de dados (DEP), proteção de código arbitrária, integridade do fluxo de controlo e prevenção de danos em dados
  • Inicialização automática de variáveis de pilha ao nível do compilador
  • APIs de kernel que inicializam automaticamente alocações de área dinâmica para dados de kernel feitas pelo Hyper-V

Estas mitigações foram concebidas para tornar inviável o desenvolvimento de uma exploração para uma vulnerabilidade entre VMs.

Processos de garantia de segurança fortes

A superfície de ataque relacionada com o hipervisor inclui redes de software, dispositivos virtuais e todas as superfícies entre VMs. A superfície de ataque é controlada através da integração de compilação automatizada, o que aciona revisões de segurança periódicas.

Todas as superfícies de ataque da VM são modeladas por ameaças, revisão de código, difusas e testadas pela nossa equipa RED relativamente a violações de limites de segurança. A Microsoft tem um programa de recompensa por erros que paga um prémio por vulnerabilidades relevantes em versões de produto elegíveis para Microsoft Hyper-V.

Nota

Saiba mais sobre processos de garantia de segurança fortes no Hyper-V.

Passos seguintes

Para saber mais sobre o que fazemos para impulsionar a integridade e segurança da plataforma, consulte: