Безопасность гипервизора для парка Azure
Система гипервизора Azure основана на Windows Hyper-V. Система гипервизора позволяет администратору компьютера указывать гостевые разделы с отдельными диапазонами адресов. Отдельные диапазоны адресов позволяют загружать операционную систему и приложения, работающие в параллельной операционной системе (узле), которая выполняется в корневом разделе компьютера. Операционная система узла (также называемая привилегированным корневым разделом) имеет прямой доступ ко всем физическим устройствам и периферийным ресурсам системы (контроллеры хранилища, сетевые адаптеры). ОС узла позволяет гостевым разделам совместно использовать эти физические устройства, предоставляя "виртуальные устройства" каждому гостевого раздела. Поэтому операционная система, которая выполняется в гостевом разделе, получает доступ к виртуализированным периферийным устройствам, предоставляемым службами виртуализации, которые выполняются в корневом разделе.
В основу гипервизора Azure заложены следующие цели безопасности:
| Назначение | Источник |
|---|---|
| Изоляция | Политика безопасности требует не передавать данные между виртуальными машинами. Это ограничение требует специальных функций в диспетчере виртуальных машин (VMM) и оборудовании для изоляции памяти, устройств, сети и управляемых ресурсов, таких как постоянные данные. |
| Целостность VMM | Для достижения общей целостности системы устанавливается и поддерживается целостность отдельных компонентов гипервизора. |
| Целостность платформы | Целостность гипервизора зависит от целостности оборудования и программного обеспечения, на которых он работает. Хотя гипервизор не имеет прямого контроля над целостностью платформы, Azure использует механизмы оборудования и встроенного ПО, такие как микросхема Cerberus, для защиты и обнаружения целостности базовой платформы. VMM и гости не могут работать, если нарушена целостность платформы. |
| Ограниченный доступ | Функции управления применяются только полномочными администраторами, подключенными через защищенные подключения. Принцип минимальных привилегий обеспечивается механизмами управления доступом на основе ролей Azure (Azure RBAC). |
| Аудит | Azure обеспечивает возможность аудита для сбора и защиты данных о том, что происходит в системе, чтобы их можно было позже проверить. |
Подход корпорации Майкрософт к усилению защиты гипервизора Azure и подсистемы виртуализации можно разделить на следующие три категории.
Строго определенные границы безопасности, устанавливаемые гипервизором
Гипервизор Azure устанавливает применение нескольких границ безопасности между:
- Виртуализированные "гостевые" разделы и привилегированный раздел ("узел")
- Несколько гостей
- Он сам и узел
- Он сам и все гости
Для границ безопасности гипервизора гарантируются конфиденциальность, целостность и доступность. Эти границы защищают от целого ряда атак, включая утечку информации по сторонним каналам, отказ в обслуживании и повышение привилегий.
Граница безопасности гипервизора также обеспечивает между клиентами сегментацию сетевого трафика, виртуальных устройств, хранилища, вычислительных ресурсов и всех остальных ресурсов виртуальных машин.
Глубокая защита для устранение рисков от эксплойтов
На случай маловероятной ситуации, когда безопасность связана с уязвимостью, гипервизор Azure включает несколько уровней защиты, в том числе:
- Изоляция процессов, размещенных в разных виртуальных машинах, на уровне узла
- Безопасность на основе виртуализации (VBS) для обеспечения целостности компонентов режима пользователя и ядра из среды Secure World
- Несколько уровней защиты для устранения рисков от эксплойтов. Устранение рисков включает технологию Address Space Layout Randomization (ASLR), предотвращение выполнения данных (DEP), защита от запуска произвольного кода, целостность потока управления и предотвращение повреждения данных
- Автоматическая инициализация переменных стека на уровне компилятора
- API-интерфейсы ядра, которые автоматически обнуляют выделения кучи ядра, сделанные Hyper-V
Эти меры призваны сделать невозможной разработку эксплойта для уязвимости между виртуальными машинами.
Надежные процессы обеспечения безопасности
Поверхность атаки, связанная с гипервизором, включает программное обеспечение в сети, виртуальные устройства и все поверхности между виртуальными машинами. Поверхность атаки отслеживается с помощью автоматической интеграции сборки, которая запускает периодические проверки безопасности.
Наша команда RED проводит тщательное тестирование защиты всех поверхностей виртуальных машин, включающее моделирование атак, проверку кода, нечеткие тесты и т. д. У корпорации Майкрософт есть программа вознаграждений за найденные ошибки, по которой выплачиваются премии за найденные серьезные уязвимости в определенных версиях Microsoft Hyper-V.
Примечание
Узнайте больше о надежных процессах обеспечения безопасности в Hyper-V.
Дальнейшие действия
Дополнительные сведения о том, что мы делаем для обеспечения целостности и безопасности платформы, см. в следующих статьях: