Учебник Основы информационной безопасности
учебно-методический материал

Слайд 1

Слайд 2

Что это? Виртуализация – технология, позволяющая запускать на одном физическом компьютере, называемом « хостом », несколько виртуальных операционных систем, называемых « гостевыми ОС» 2 Хост Гипервизор Гостевая ОС Гостевая ОС Гостевая ОС

Слайд 3

Зачем? Для обеспечения независимости гостевых ОС от аппаратной платформы ; Для сосредоточения нескольких виртуальных машин на одной физической. 3

Слайд 4

Какие преимущества? Обеспечивается существенная экономия на аппаратном обеспечении и обслуживании ; Упрощается процедура резервного копирования и восстановления после сбоев. 4

Слайд 5

Немного истории 1985 год – аппаратная виртуализации впервые была воплощена в 386 -процессорах ( V86 mode) 1998 год – компания Vmware запатентовала программные техники виртуализации Вслед за Intel AMD выпускает процессоры с поддержкой аппаратной виртуализации 5

Слайд 6

Многозадачность Многозадачность – первый уровень абстракции приложений. Каждое приложение разделяет ресурсы физического процессора в режиме разделения исполнения кода по времени 6 Приложение Операционная система ЦПУ Приложение Приложение

Слайд 7

HyperThreading Технология HyperThreading в широком смысле представляет собой аппаратную технологию виртуализации. В рамках одного физического процессора происходит симуляция двух виртуальных процессоров с помощью техники Symmetric Multi Processing (SMP) . 7 Приложение Операционная система ЦП (Symmetric Multi Processing) Приложение Приложение ЦП ЦП

Слайд 8

Виртуализация Виртуализация представляет собой эмуляцию нескольких виртуальных процессоров для каждой из гостевых ОС. Технология SMP позволяет представлять несколько виртуальных процессоров в гостевой ОС при наличии технологии HyperThreading или нескольких ядер в физическом процессоре. 8 Hardware (CPU, Memory, NIC, Disk) Hypervisor (Hyper-V, Xen, ESX Server) Application Guest OS Virtual Hardware Application Guest OS Virtual Hardware Application Guest OS Virtual Hardware

Слайд 9

Преимущества аппаратной виртуализации Упрощение разработки платформ виртуализации Возможность увеличения быстродействия платформ виртуализации Возможность независимого запуска нескольких виртуальных платформ Отвязка гостевой системы и архитектуры хостовой платформы и реализации платформы виртуализации 9

Слайд 10

Архитектура VM Монитор виртуальных машин ( Virtual Machine Monitor ) или Гипервизор ( Hypervisor ) обеспечивает или позволяет одновременное, параллельное выполнение нескольких операционных систем на одном и том же хост-компьютере. Гипервизор также обеспечивает изоляцию операционных систем друг от друга, защиту и безопасность, разделение ресурсов между различными запущенными ОС и управление ресурсами. 10

Слайд 11

Требования к гипервизору Гипервизор должен быть способен к: Самозащите от ПО гостевой машины Изоляции одной гостевой ОС от другой Предоставлению интерфейса гостевому ПО Чтобы достичь этого, гипервизор должен иметь доступ к: ЦП, памяти и устройствам ввода / вывода Способы разделения ресурсов между виртуальными машинами: Временное мультиплексирование Разделение ресурсов Посреднические аппаратные интерфейсы 11

Слайд 12

Временное мультиплексирование Виртуальной машине разрешен доступ к ресурсам на определенный период времени перед тем, как произойдет переключение к другой виртуальной машине 12 ЦП Гипервизор Виртуальная машина #1 Виртуальная машина #2

Слайд 13

Разделение ресурсов Гипервизор распределяет «объем владения» физическими ресурсами между виртуальными машинами 13 Гипервизор Виртуальная машина #1 Виртуальная машина #2 Механизм перераспределения / защиты Хранилище Память ЦП Дисплей

Слайд 14

Посреднический доступ к физ. ресурсам Гипервизор сохраняет владение физическими ресурсами 14 Гипервизор Виртуальная машина #1 Виртуальная машина #2 Клавиатура Мышь Сеть

Слайд 15

Все вместе Гипервизор применяет все три метода для создания иллюзии, что гостевая ОС запускается в естественной среде 15 Гипервизор Виртуальная машина #1 Виртуальная машина # 2 Виртуальная машина # 3 Виртуальная машина # 4 Хранилище Память ЦП Дисплей ЦП Клавиатура Мышь Сеть

Слайд 16

Проблемы виртуализации Ring Aliasing Address-Space Compression Excessive Faulting Non-trapped instructions Interrupt Virtualization Ring Compression 16

Слайд 17

Ring Aliasing Возникает, если ПО исполняется на уровне, отличном от том, для которого оно было написано Последствия: Система может определить, что исполняется не на своём уровне привилегий (возвращается General Protection Exception) 17 Кольцо 0 Ядро Гостевое ПО (3 кольцо) Гостевая ОС (1 кольцо) Гипервизор (0 кольцо)

Слайд 18

Address-Space Compression Гипервизор может полностью работать в адресном пространстве гостевой ОС, но он будет использовать значительную его часть Гипервизор может работать в отдельном адресном пространстве, но он должен использовать минимальное пространство гостевой ОС для управления переходами между гостевым ОС и гипервизором ( IDT и GDT для IA-32) 18

Слайд 19

Excessive Faulting SYSENTER всегда выполняет переход к уровню привилегий 0, а SYSTEXIT возвращает ошибку, если выполняется вне кольца 0 (General Protection Exception) Эмуляция SYSENTER * и SYSEXIT ** вызывает серьезные проблемы с производительностью *SYSENTER – механизм быстрого системного вызова, команда оптимизирована для наиболее быстрого перехода на нулевой уровень привилегий **SYSEXIT – механизм быстрого системного вызова, команда оптимизирована для наиболее быстрого перехода на уровень привилегий 3 с уровня привилегий 0. 19

Слайд 20

Виды инструкций Инструкции По уровню привилегий Привилегированные Непривилегированные Sensitivity Sensitive Non-sensitive При выполнении в пользовательском режиме, привилегированные команды «отлавливаются». «Отлавливание» (« Trapping ») означает, что машина принудительно переходит в системный режим, посредством чего выполняет некоторый код операционной системы, чтобы справиться с ситуацией В некотором смысле, отлавливание предупреждает операционную систему об исполнении команд 20 Изменяют часть ресурсов машины

Слайд 21

Non-trapping instructions Проблема в том, что не все sensitive- инструкции X86 являются привилегированными инструкциями. Это означает, что модификация ресурса может произойти без ведома VMM, что может быть опасным 21

Слайд 22

Interrupt Virtualization Механизм маскировки внешних прерываний для предотвращения их вызова, когда ОС не готова – большая проблема для гипервизора Гипервизор должен управлять маскированием прерываний, чтобы предотвратить маскирование внешних прерываний гостевой операционной системой IA-32 использует флаг прерываний (IF) в регистре EFLAGS для управления прерыванием маскировки. IF = 0 , если прерывания маскируются 22

Слайд 23

Access to Hidden State Некоторые компоненты процессора не представлены в виде доступных системному ПО регистров IA-32 содержит скрытый кэш дескриптора для сегментного регистра 23

Слайд 24

Ring Compression Механизм « Ring deprivileging » использует механизм, основанный на привилегиях, для защиты гипервизора от гостевого ПО. IA-32 включает два механизма: « segment limits » и « paging »: « Segment limits » не применяется в 64-битном режиме Подкачка страниц должна быть использована: Проблема: IA-32 « paging » не отличает уровни привилегий 0-2 Гостевая ОС должна исполняться на уровне привилегий 3 (модель 0/3/3) Гостевая ОС не защищена от гостевых приложений 24

Слайд 25

Frequent Access to Privileged Resources Существует риск падения производительности, когда многократно осуществляется доступ к привилегированным ресурсам с последующей генерацией ошибок и исключений, которые должны быть обработаны гипервизором 25

Слайд 26

Что необходимо? Virtual Machine eXtensions (VMX) определяют поддержку виртуальных машин на x86 –платформе на уровне процессора Расширенный набор инструкций: VMPTRLD, VMPTRST, VMCLEAR, WMREAD, WMWRITE, WMCALL, WMLAUNCH, WMRESUME, WMXON и WMXOFF . 26

Слайд 27

Инструкции Инструкция Описание VMXON, WMXOFF Вход и выход из режима VMW-root WMLAUNCH Начальный переход от гипервизора к гостевой ОС, вводит WMX в non-root режим WMRESUME Используется для последующих входов Вступает в WMX non-root режим работы Загружает состояние гостевой ОС и критерий выхода из VMCS WMEXIT Используется при переходе из гостевой ОС в гипервизор Вступает в WMX root режим работы Сохраняет состояние гостевой ОС в VMCS Загружает состояние VMM из VMCS WMPTRST, VMPTRL Считывает и записывает указатель VMCS WMREAD, WMWRITE, WMCLEAR Читает из VMCS , пишет в него и очищает 27

Слайд 28

VMX -операции Два режима: Root – полностью привилегированный, предназначенный для VMM Non-root – не полностью привилегированный, предназначенный для гостевого ПО Оба режима поддерживают все четыре уровня привилегий от 0 до 3 28

Слайд 29

Жизненный цикл 29 Hypervisor Guest OS 1 Guest OS 2 VMXON WMXOF WMLAUNCH WMRESUME WMLAUNCH WMRESUME Передача управления гипервизору Точка входа в гостевую ОС Выход из режима виртуализации

Слайд 30

Virtual Machine Control Structure Virtual Machine Control Structure (VMCS ) – структура, главной целью которой является сохранение состояний «гостя» и «хозяина». 30 CPU Активное состояние VMCS Заголовок Параметры входа и выхода Состояние хозяина Состояние гостя VMEntry VMExit VMLANUCH / VMRESUME

Слайд 31

Virtual Machine Control Structure Управляет поведением процессора в non-root режиме и работой с VMX Конфигурируется гипервизором Управляет закрытием гостевой ОС при помощи VMCS указателя 31

Слайд 32

Virtual Machine Control Structure Состоит из шести логических групп: Guest-state area: состояние процессора сохраняется в область состояния гостя при закрытии WM из подгружается во время ее загрузки Host-state area: состояние процессора подгружается из области состояния хоста при закрытии WM VM-execution-fields: поля, управляющие работой процессора в режиме non-root VM-exit control fields: поля, управляющие выходом WM VM-entry control fields: поля, управляющие входом WM VM-exit information fields: read-only поля, получающие информацию при закрытии WM , описывающие причину завершения работы WM 32

Слайд 33

Переходы WMX 33 VMX Non-Root Operation VMX Root Operation Ring 3 Ring 3 Ring 3 Ring 0 Ring 0 Ring 0 VMCS 1 VM 1 VM 2 VM n Ring 3 Ring 0 VMCS 2 VMCS n VM Entry VM Exit vmlaunch / vmresume

Слайд 34

Address-Space Compression Каждый переход между гостевым ПО и гипервизором может изменять линейное адресное пространство, позволяя гостевому ПО полностью использовать его Переходы WMX управляются VMCS , который находится в физическом адресном пространстве, а не в линейном 34

Слайд 35

Ring Aliasing and Ring Compression VT-x позволяет гипервизору запускать гостевое ПО на уровне предполагаемых привилегий: Устраняет проблемы со смещением кольца – такая инструкция, как PUSH (CS регистра) не может обнаружить, что ОС запускается в виртуальной среде Устраняет проблемы сжатия кольца, возникающие, когда гостевая ОС выполняется на том же уровне привилегий, что и гостевые приложения 35 Shared Physical Hardware Virtual Machine Monitor Application Guest OS Application Guest OS Intel Virtualization Technology Ring 3 Ring 0 VMX Root

Слайд 36

Non - faulting Access to Privileged State VT-x избегает этой проблемы двумя способами: Генерация VMExits во время каждого завершения Обеспечивает конфигурацию прерываний и исключений 36

Слайд 37

Guest System Calls Проблемы возникают с инструкциями SYSENTER и SYSEXIT , когда гостевая ОС исполняется вне 0 уровня привилегий. Эта проблема решена, потому что гостевая ОС может исполняться на 0 уровне. 37

Слайд 38

Interrupt Virtualization VT-x обеспечивает поддержку виртуализации прерываний Он включает в себя компонент управления работой виртуальной машины, управляющий внешними прерываниями 38

Слайд 39

Access to Hidden State VT-x включает в гостевой области VMCS поля, отвечающие за состояния ЦПУ, которые не представлены в доступных программному обеспечению регистрах Процессор загружает значения из этих полей при каждом входе виртуальной машины и сохраняет их при выходе 39

Слайд 40

Frequent Access to Privileged Resources VT-x позволяет гипервизору избежать лишних расходов на частый доступ к TPR ( Task Priority Register) Гипервизор может настроить VMCS так, чтобы он вызывался только тогда, когда требуется 40

Слайд 41

VT-x Pre VT-x Post VT-x Ring 0 понижает привилегии гостевой ОС Гипервизор исполняется в « root mode » Гостевая ОС знает, что она исполняется не на Ring 0 Гостевая ОС исполняется прямо на «железе» « Ring deprivileging » для гостевых ОС убран 41 Shared Physical Hardware Virtual Machine Monitor Application Guest OS Application Guest OS Ring 3 Ring 1 Ring 0 Shared Physical Hardware Virtual Machine Monitor Application Guest OS Application Guest OS Intel Virtualization Technology Ring 3 Ring 0 VMX Root

Слайд 42

Заключение Поддержка технологий аппаратной виртуализации в процессорах открывает широкие перспективы по использованию виртуальных машин в качестве надежных, защищенных и гибких инструментов для повышения эффективности виртуальных инфраструктур 42