Документы eng
Kaspersky Secure Hypervisor

В наше время профессиональные хакеры и целевые кибератаки являются частью повседневной реальности. Поэтому когда речь идёт о внедрении и эффективной работе встраиваемых систем, их безопасность является ключевым фактором. Угрозы могут быть разными – от атак на открытые интерфейсы до недокументированного или агрессивного поведения периферийного оборудования (например, PCI или USB). После успешного осуществления атаки злоумышленник может пойти дальше, например, эксплуатировать уязвимости операционной системы, потенциально угрожая безопасности критичных процессов. Несмотря на уязвимости и большую поверхность атак, свойственную  системам общего назначения, поставщики отдают предпочтение популярным платформам из-за широких возможностей их ПО.

Технологии виртуализации позволяют повысить безопасность системы, при этом оставляя возможность использования существующей кодовой базы. Kaspersky Secure Hypervisor – это гипервизор второго типа, работающий на микроядре KasperskyOS. Основным преимуществом виртуализированного решения является то, что потенциально недоверенные виртуальные гостевые операционные системы могут быть отделены друг от друга и от критичных сервисов, физически работающих на одной аппаратной платформе. Это позволяет сократить поверхность атак и минимизировать возможный ущерб от эксплуатации уязвимостей. Гипервизор защищён от воздействия со стороны гостевой операционной системы таким образом, что вредоносная активность в гостевой системе не может нанести вред критичным сервисам и самому гипервизору. Дополнительное преимущество KSH — сокращение расходов на обслуживание аппаратных средств.

Цели

Kaspersky Secure Hypervisor содержит два программных компонента: один работает в привилегированном режиме ядра, а другой – в пользовательском режиме. Привилегированный компонент ядра отвечает за управление ресурсами (такими как память, CPU) и предоставляет доступ к устройствам ввода-вывода. Компоненты пользовательского режима KSH включают в себя обычные хостовые драйверы пользовательского режима и специальный гостевой драйвер, который предоставляет каналы коммуникации между доменами или между доменом и самим гипервизором.

Kaspersky Secure Hypervisor использует поддержку виртуализации для аппаратных средств для создания виртуальных доменов (сред), которые используют общие CPU и память.

Функции аппаратной виртуализации, если они есть, могут использоваться для доступа устройств PCI (таких, как видеоадаптер, сетевой адаптер, контроллер жёсткого диска, USB) к гостевой ОС. Данная технология улучшает производительность этих устройств, но делает невозможным их совместное использование.

Если же требуется совместное использование устройств, мы применяем технологию эмуляции устройств в пользовательском пространстве. Идея состоит в том, чтобы запустить драйвер пользовательского пространства KasperskyOS с прямым  доступом к устройству, которое нужно использовать. Драйвер обеспечивает эмуляцию устройства, т.е. предоставляет гостевой ОС интерфейс, который может использоваться для доступа к устройству. При этом гостевая ОС не знает, что устройство виртуальное. Одним из преимуществ эмуляции устройств с точки зрения безопасности является то, что гипервизор может перехватывать все взаимодействия между гостевой ОС и устройством (сетевой картой, SATA контроллером) и применять дополнительные меры безопасности (фильтрацию трафика, шифрование), которые гостевая ОС не может обойти. Эмуляция устройств также может использоваться, когда функция виртуализации аппаратного обеспечения недоступна.

Преимущества

Хорошая изоляция и контролируемые взаимодействия

Kaspersky Secure Hypervisor использует функционал KasperskyOS для запуска нескольких гостевых операционных систем и нативных приложений KasperskyOS на одной виртуальной машине. Изоляция доменов гарантируется компонентом ядра KSH. Все взаимодействия между доменами и между доменом и ядром контролируются KSS в соответствии с предустановленными политиками безопасности. Даже если злоумышленник предпримет попытку атаки на виртуальную машину, его дальнейшие действия будут ограничены политиками безопасности.

Небольшая доверенная вычислительная база

Когда Kaspersky Secure Hypervisor использует в качестве хоста KasperskyOS, то он получает все преимущества микроядерной архитектуры KasperskyOS, которая имеет небольшую доверенную вычислительную базу, которую можно верифицировать. Доверенная вычислительная база – это набор всех компонентов (аппаратное обеспечение, прошивка и программное обеспечение), критичных для общей безопасности всего решения в целом. Небольшая доверенная вычислительная база облегчает его тестирование и верификацию. Все драйверы устройства работают в пользовательском режиме хоста, что в дальнейшем сокращает риск взлома или нанесения ущерба гипервизору.

Управление ресурсами гостевых ОС

Kaspersky Secure Hypervisor ограничивает использование ресурсов (таких, как память или доступ к физическим устройствам) гостевыми операционными системами. Это позволяет защитить всё окружение от возможной нехватки ресурсов в результате их чрезмерного использования гостевыми ОС. Доступ потенциально опасных внешних устройств может быть ограничен для того, чтобы неавторизованное или заражённое аппаратное обеспечение не могло получить доступ к памяти гостевой ОС или гипервизора.

Гибкий контроль доступа

Kaspersky Security System основан на атрибутивной модели и поддерживает широкий ряд политик (объектно-ориентированная модель, контроль потоков управления, политики доменов и типов и многоуровневая безопасность). Его гибкость и масштабируемость позволяют создавать политики, специфичные для каждого домена, в соответствии с их областью применения.

Проприетарное решение

Kaspersky Secure Hypervisor – это проприетарное решение, полностью поддерживаемое «Лабораторией Касперского». Процесс разработки основан на лучших отраслевых практиках с применением систематического тестирования и верификации.

Возможность интеграции с системой безопасной загрузки

Kaspersky Secure Hypervisor включает в себя функции, гарантирующие целостность самого гипервизора и гостевых ОС.

Особенности

Защита конфиденциальных данных гостевой ОС

Kaspersky Secure Hypervisor может защитить конфиденциальные данные гостевой ОС от модификаций и неавторизованного доступа посредством механизма защиты памяти. Защита памяти достигается благодаря установке соответствующих прав на физические страницы гостевой ОС. В обычном сценарии гостевая ОС вызывает Kaspersky Secure Hypervisor для защиты конфиденциальных данных гостевых ОС до запуска недоверенного приложения. К данным, которые необходимо защитить, могут относиться код ядра, сервисы безопасности и настройки гостевой ОС.

Безопасное хранилище для сертификатов и ключей

В данной архитектуре хранилище сертификатов и сервисы шифрования находятся в отдельном доверенном домене. Приложения гостевой ОС работают в другом домене и получают доступ к сервисам шифрования через коммуникационные каналы Kaspersky Secure Hypervisor. При правильной настройке аутентификации доверенные компоненты могут давать дополнительные привилегированные права доступа приложениям гостевой ОС (например, права доступа к административным сервисам). Даже если приложения гостевой ОС были взломаны, они не могут получить доступ к ключам или передать свои привилегии, так как гипервизор гарантирует применение соответствующих политик безопасности и разделение доменов.

Мониторинг и фильтрация сетевого трафика

При необходимости для всех сетевых взаимодействий между приложениями гостевой ОС и внешним миром можно применить мониторинг таким образом, что он будет оставаться невидимым для приложений гостевой ОС. Также можно применить фильтрацию сетевого трафика, которая в данной архитектуре производится максимально прозрачно. Это означает, что приложения гостевой ОС не подвергаются модификации и не знают о фильтрации. И даже если они будут скомпрометированы, то всё равно не смогут обойти фильтрацию и отправить данные удалённой стороне.

Мобильные устройства

С помощью решения на базе гипервизора можно создавать отдельные домены или профили для (1) корпоративных данных и критичных приложений (таких как широкополосный программный стек, VPN, сервисы безопасности, хранилище для сертификатов и кредитных карт) и (2) персональных данных. Этот подход позволяет отделить конфиденциальные бизнес-данные и коммуникации от личной информации.

Технические требования

  • Хостовая ОС. Kaspersky Secure Hypervisor – это гипервизор 2 типа, который поставляется с KasperskyOS в качестве хостовой системы.
  • Платформы. Intel x86 или x64 с поддержкой технологий VT-x и (опционально) VT-d. Поддержка VT-d настоятельно рекомендуется. 64-битные гостевые системы могут работать только на x64 CPU. Поддержка ARM в процессе разработки.
  • Объём RAM. Объём RAM для самого KSH зависит от его конфигурации, количества и типа виртуализированных устройств и многих других параметров. Рекомендуемый объём RAM для KSH – 32MB + 32KB за каждый MB гостевой RAM на каждой виртуальной машине. Для принятия окончательного решения также следует учитывать требования к объёму RAM, необходимой для гостевой ОС и KasperskyOS.
  • Размер хранилища. Сам KSH требует по 8MB системного хранилища для каждой виртуальной машины. При принятии окончательного решения также следует учитывать требования KasperskyOS, размер образа гостевой ОС и размер файловой системы гостевой ОС.
  • Гостевые операционные системы. В качестве гостевых ОС могут использоваться немодифицированные дистрибутивы на базе ядра Linux, такие как Ubuntu и CentOS x86 или x64. Поддержка других гостевых окружений (в первую очередь, Windows) – в процессе разработки.
  • Эмулируемые устройства. Устаревший x86 (PIC, PIT), шина PCI, NE2000, IDE/ SATA контроллер, UART (COM порт).
  • Протестированные пробрасываемые устройства. USB контроллер, SATA контроллер, PCI Ethernet, Radeon/nVIDIA видеокарты, устаревший IDE контроллер.

Патенты

US 7386885 B1, US 7730535 B1, US 8370918 B1, EP 2575318 A1, US 8522008 B2, US 20130333018 A1, US 8381282 B1, EP 2575317 A1, US 8370922 B1, EP 2575319 A1, US 9015797 B1, DE 202014104595 U1.

Материалы