Windows Server 2008 Hyper-V的安全性从何而来?

Hyper-V是微软提出的一种系统管理程序虚拟化技术,该技术的设计目的是为更为广泛的用户提供更加熟悉的、成本效益更高的虚拟化基础设施软件。

和之前的Virtual PC、Virtual Server类似,Hyper-V也是微软的一种虚拟化技术解决方案,但相比于之前的解决方案,该方案在各方面都取得了突飞猛进的发展,从架构上来讲只有"硬件-Hyper-V-虚拟机"三层,而且Hyper-V本身非常小巧,代码简单,且不包含任何第三方驱动,所以安全可靠、执行效率高,能够充分利用硬件资源,使虚拟机系统性能更接近于真实系统的性能。

在新的Hyper-V中微软一直强调提出其安全性方面的优势,或许微软希望通过对安全性的阐述强调以下两点:

1、微软的Hyper-V是与众不同的;

2、微软Hyper-V的微架构相比与其它"第三方的解决方案"是有特殊安全性优势的。

的确,微软Hyper-V在微内核方面就已经显示了它所具有的极大优势。Hyper-V的微内核管理程序包含了尽可能少的代码,在Hyper-V的管理程序中,驱动程序是跑在每一个独立的分区之中的,在这里,我们并不能看不到设备驱动程序,是因为虚拟主机OS虽然在相互独立的单独分区内,但是却能够很好地通过Hypervisor直接访问硬件。同时,Hyper-V本身内部也很少含有第三方代码,它所有的代码都是一个纯粹的微软代码,而且代码性能非常好,所以里面不存在任何BUG,所以说微软非常成功地将Hyper-V的安全隐患降到了最低。。但这也只是Hyper-V安全性话题中的一部分而已,很显然,微软在保护Hyper-V上投入了更为巨大的力量,而且这些力量产生了更为有效的作用,Hyper-V具有了其他任何同类产品无法比拟的安全性,特别是在与Windows Server紧密结合之后,其安全性又得到了极大的提高。而所有这一切也成了微软与VMware、Xen Source这些第三方解决方案抗衡的重要砝码。

另外,我们知道微软Hyper-V的前身来自于Virtual Server,这是一个建立在Ring0内核模式和Ring3用户模式下的传统模式。宿主机的Windows和驱动程序及VS底层驱动都是在Ring0下,Virtual Server则是在Windows Server上的,它通过IIS来进行管理,与内核进行通信,但是,对于虚拟机来讲,其Virtual Server则是运行于一个高于Windows的Ring1虚拟内核模式上,特权低于Ring0,高于Ring3–问题在于很多特权指令很可能不能够在Ring1上得到完善的支持,当然,我记得微软好像也有一种二进制指令翻译的技术对此进行处理,但是这毕竟不是一个最"根本"的解决途径。

在Hyper-V中,不再有宿主机和虚拟机之分,微软带来的新概念是:父分区和子分区。先在硬件底层安装Hypervisor,然后在虚拟机上划分多个分区。虽然父分区和子分区可以对应之前的宿主机和虚拟机,但是它们基本上拥有了平等的地位,它们的内核都是运行在Ring0上,应用程序运行在Ring3用户模式上。与VS最大的不同是,虚拟机的内核不再运行在Ring1之中,Hypervisor则运行在更底层上,大致是运行在CPU上的一个层上,从图中我们可以看到,微软虚拟化的功能和结构已经大大复杂化和体系化。

其次,微软Hyper-V的安全因素还包括其完善的隔离机制,微软Hyper-V所有的虚拟化设备之间都不是经过共享的,每一个Parent Partition与Child Partition之间的VMbus调用全部都是经过隔离的。不管是网络,还是硬盘,还是其他的设备,每台主机之间都是经过隔离的子分区。每一个虚拟机之间都是通通看不到对方的(在你没有设置任何共享的情况下)。所以在这样的条件下,每个安全应用都能各自独立而安全的运行。

通过以上的解释,我们对Hyper-V的架构有了一定的了解–从第三方的结构上来看,Hypervisor有两点安全性值得我们注意:第一,其不能满足深度防御体系–这一点也是微软一致推崇的;第二,Hypervisor直接运行在硬件上,这就导致了特权的最大化,其风险可想而知,Hyper-V既然是基于Hypervisor技术的,也就面临着同样的问题。对于这两个方面的问题,微软的解决办法是:在Hyper-V中只做内存管理和CPU调度,其他的设备通过关键的VMbus–这是一种穿越机制,通过VMbus进入Ring0进行转接,从而构建了一个微软Hyper-V的三层架构(当然,就是那个深度防御体系):调度CPU管理内存的Hypervisor层、存储/网络堆栈和驱动运行的Ring0层以及Ring3层之中的虚拟设备/管理用API/虚拟机。

不知道有没有人注意到:VMbus是其中的一个安全性核心,它负责了那些可能会出现问题的命令和代码的执行–基于VMbus的高速内存总线架构是其安全性实现超越的主要贡献者,每台虚拟机之间隔离的VMbus调用保证了每个分区、每个虚拟机之间完全的隔离开(或许我们可以说是"类物理机")。

除此以外,正如我在文章开头所说,Hyper-V底层的Hypervisor代码量很小,不带有第三方驱动,它所有的仅仅是负责两件事情的非常精简的架构–而且还是纯粹的微软的代码(微软自己声称不包含任何bug),安全性能够得到大大提升–只做最核心的,不做那些可能会出问题的,Hypervisor会出问题才怪?!

当然,这并不是全部内容,微软的工程师曾经提到过有关Hpyer-V安全加固部分的内容:首先,Hypervisor拥有自己的地址空间,它与Guest的地址空间隔离;其次,Hypervisor可以运行在Windows Server 2008的Server Core上,这是一个仅仅支持命令行接口的、最精简的Windows Server,也是一个没有GUI Shell但是可以运行GUI程序的诡异系统。还有一点是,利用Server Core安装Hyper-V的好处很明显:去掉GUI Shell后,它的性能更好了。同时,代码量越小,系统需要补丁的几率也就越小–我觉得这点是最关键的,谁都知道,微软的Windows绝对是补丁大王。

补:需要说明的是,目前,子分区仍然要通过父分区来访问硬件资源,当子分区内的操作系统需要访问硬件的时候,由子分区内的VSC(Virtualization Service Client)通过VMBUS将request发给父分区里的VSP(Virtualization Service Provider),然后由VSP提供实际的硬件服务。通过这种方式来使用硬件,相对于使用了硬件模拟的方法,其访问性能就有了大幅度的提高。