Sicurezza di Hypervisor nella flotta di Azure
Il sistema hypervisor di Azure si basa su Windows Hyper-V. Il sistema hypervisor consente all'amministratore del computer di specificare le partizioni guest con spazi indirizzi separati. Gli spazi indirizzi separati consentono di caricare un sistema operativo e le applicazioni che operano in parallelo al sistema operativo (host) eseguito nella partizione radice del computer. Il sistema operativo host (noto anche come partizione radice con privilegi) ha accesso diretto a tutti i dispositivi fisici e le periferiche nel sistema (controller di archiviazione, adattazioni di rete). Il sistema operativo host consente alle partizioni guest di condividere l'uso di questi dispositivi fisici esponendo "dispositivi virtuali" a ogni partizione guest. Pertanto, un sistema operativo in esecuzione in una partizione guest ha accesso a dispositivi periferici virtualizzati forniti dai servizi di virtualizzazione in esecuzione nella partizione radice.
L'hypervisor di Azure è progettato tenendo presenti gli obiettivi di sicurezza seguenti:
| Obiettivo | Source (Sorgente) |
|---|---|
| Isolamento | Un criterio di sicurezza non richiede alcun trasferimento di informazioni tra le macchine virtuali. Questo vincolo richiede funzionalità in Virtual Machine Manager (VMM) e hardware per l'isolamento della memoria, dei dispositivi, della rete e delle risorse gestite, ad esempio dati persistenti. |
| Integrità VMM | Per ottenere l'integrità complessiva del sistema, viene stabilita e gestita l'integrità dei singoli componenti dell'hypervisor. |
| Integrità della piattaforma | L'integrità dell'hypervisor dipende dall'integrità dell'hardware e del software su cui si basa. Anche se l'hypervisor non ha il controllo diretto sull'integrità della piattaforma, Azure si basa su meccanismi hardware e firmware, ad esempio il chip Cerberus per proteggere e rilevare l'integrità della piattaforma sottostante. I guest e VMM non vengono eseguiti se l'integrità della piattaforma è compromessa. |
| Accesso con restrizioni | Le funzioni di gestione vengono esercitate solo dagli amministratori autorizzati connessi alle connessioni sicure. Un principio di privilegi minimi viene applicato dai meccanismi di controllo degli accessi in base al ruolo di Azure. |
| Audit | Azure abilita la funzionalità di controllo per acquisire e proteggere i dati relativi a ciò che accade in un sistema in modo che possa essere esaminato in un secondo momento. |
L'approccio di Microsoft per la protezione avanzata dell'hypervisor di Azure e il sottosistema di virtualizzazione possono essere suddivisi in tre categorie seguenti.
Limiti di sicurezza fortemente definiti applicati dall'hypervisor
L'hypervisor di Azure applica più limiti di sicurezza tra:
- Partizioni "guest" virtualizzate e partizione con privilegi ("host")
- Più ospiti
- Se stesso e l'host
- Se stesso e tutti gli ospiti
La riservatezza, l'integrità e la disponibilità sono assicurate per i limiti di sicurezza dell'hypervisor. I limiti di difesa da una gamma di attacchi, tra cui perdite di informazioni sul canale laterale, denial-of-service e elevazione dei privilegi.
Il limite di sicurezza dell'hypervisor fornisce anche la segmentazione tra i tenant per il traffico di rete, i dispositivi virtuali, l'archiviazione, le risorse di calcolo e tutte le altre risorse della macchina virtuale.
Mitigazioni degli exploit approfonditi della difesa
Nell'evento improbabile che un limite di sicurezza abbia una vulnerabilità, l'hypervisor di Azure include più livelli di mitigazioni, tra cui:
- Isolamento del processo basato su host che ospita componenti tra macchine virtuali
- Sicurezza basata su virtualizzazione (VBS) per garantire l'integrità dei componenti della modalità utente e kernel da un mondo sicuro
- Più livelli di mitigazione degli exploit. Le mitigazioni includono la casualità del layout dello spazio degli indirizzi (ASLR), la prevenzione dell'esecuzione dei dati (DEP), la protezione arbitraria del codice, l'integrità del flusso di controllo e la prevenzione del danneggiamento dei dati
- Inizializzazione automatica delle variabili dello stack a livello del compilatore
- API del kernel che inizializzano automaticamente le allocazioni dell'heap del kernel eseguite da Hyper-V
Queste mitigazioni sono progettate per rendere lo sviluppo di un exploit per una vulnerabilità tra macchine virtuali infeasible.
Processi di sicurezza sicuri
La superficie di attacco correlata all'hypervisor include reti software, dispositivi virtuali e tutte le superfici tra macchine virtuali. La superficie di attacco viene rilevata tramite l'integrazione automatica della compilazione, che attiva verifiche di sicurezza periodiche.
Tutte le superfici di attacco delle macchine virtuali sono modellate su minacce, codice esaminato, fuzzed e testato dal team RED per le violazioni dei limiti di sicurezza. Microsoft ha un programma di taglie di bug che paga un premio per le vulnerabilità pertinenti nelle versioni del prodotto idonee per Microsoft Hyper-V.
Nota
Altre informazioni sui processi di sicurezza avanzata in Hyper-V.
Passaggi successivi
Per altre informazioni su cosa facciamo per guidare l'integrità e la sicurezza della piattaforma, vedere: