KVM e Google: sicurezza dell’hypervisor nel cloud

Google spiega i principali accorgimenti adottati per incrementare la sicurezza di KVM, l'hypervisor alla base di Compute Engine e Container Engine

KVM

Mountain View torna a parlare di sicurezza nel cloud, una tematica delicata per la maggior parte delle aziende. Dopo il post dedicato ai data center, Google pubblica un approfondimento su KVM.

Il noto hypervisor open source, alla base dei servizi Compute Engine e Container Engine, è infatti al centro di una costante attività di test e ricerca finalizzata ad incrementarne la sicurezza. Ecco quali sono i sette principali accorgimenti adottati dal provider.

  • Proactive vulnerability search. Tra i vantaggi offerti da una soluzione open source anche la possibilità di appoggiarsi ad una vasta community (aziende, sviluppatori, appassionati etc.) che contribuisce attivamente all’evoluzione del progetto. Gli esperti di sicurezza Google, afferma il post, hanno ad esempio individuato e neutralizzato in questi anni 9 vulnerabilità dell’hypervisor.
  • Reduced attack surface area. Il livello di protezione dell’hypervisor aumenta di pari passo con la riduzione della “superficie di attacco”: l’eliminazione di componenti superflui/inutilizzati (come vecchi driver mouse o determinati set di istruzioni) sfoltisce il numero di potenziali minacce sfruttabili dagli hacker. I componenti “sicuri” sono modificati dallo staff Google che cerca di elevarne ulteriormente l’affidabilità.
  • Non-QEMU implementation. Google ha scelto di non affidarsi a QEMU e sviluppare un’equivalente soluzione custom per due motivi: l’eccessiva complessità di QEMU, che rende difficili le operazioni di testing (individuazione bug etc.) ed aumenta la superficie di attacco; la scarsa affidabilità della soluzione, giustificata da Google con l’individuazione in passato di pericolose vulnerabilità nel codice (Venom). Il virtualizer Mountain View, supportando una sola architettura ed un esiguo numero di dispositivi, è molto meno complesso ed articolato di QEMU (che supporta varie architetture e combinazioni host/guest) e quindi più facile da gestire.
  • Boot and Jobs communication. Il sistema di protezione adottato da Google, del quale si è parlato anche nel white paper pubblicato in precendenza, tutela non solo la fase di boot delle macchine ma anche le comunicazioni che intercorrono tra i vari processi in esecuzione nell’host. E’ una chiave peer to peer (generata da ogni host KVM ed inviata ai processi) a garantirne l’affidabilità.
  • Code Provenance. Un complesso sistema di verifica del codice in esecuzione nell’hypervisor, sempre sviluppato in casa da Google, permette allo staff di reperire all’occorrenza varie informazioni sul codice (come è stato realizzato, configurato e deployed). L’integrità del codice, si legge nel post, è accertata ad ogni livello (dal bootloader fino alla macchina virtuale dell’utente).
  • Rapid […] vulnerability response. Google afferma di aver snellito e velocizzato le procedure interne che portano all’aggiornamento dell’hypervisor – nel caso in cui siano individuate vulnerabilità critiche. Ad oggi la variante Google non ha necessitato comunque di alcuna patch di sicurezza critica, si legge nel post. Falle non riguardanti direttamente KVM sono patchate celermente attraverso l’infrastruttura interna.
  • Carefully controlled release. Prima di effettuare qualsiasi aggiornamento, il codice alla base di ciascuna build dell’hypervisor è accuratamente controllato e verificato. Il numero di dipendenti in grado di accedere al build system KVM è ristretto.

L’argomento può essere ulteriormente approfondito consultando i link segnalati da Google nella seconda parte del post: KVM Security, KVM Security Improvements by Andrew Honig, Performant Security Hardening of KVM by Steve Rutherford.

Fonte

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *