QingTian Hypervisor
QingTian Hypervisor通过轻量化重构设计、最小攻击面设计、防篡改设计和热升级技术设计,为租户ECS实例提供极致的隔离性和安全性保证。
轻量化设计
QingTian Hypervisor不同于传统的Type-1 Hypervisor,它在设计之初就对软件全栈进行了极致的轻量化重构设计:
- 全卸载架构:将传统管理面和I/O数据面全卸载至QingTian Cards,QingTian Hypervisor只保留基本的虚拟化和设备直通能力,服务器资源100%呈现给租户虚拟机。QingTian Cards管理面通过vsock安全通道对QingTian Hypervisor运行的虚拟机进行生命周期管理。所有虚拟磁盘与虚拟网卡通过QingTian Cards呈现为标准的virtio-PCI设备,在保证性能的同时,支持灵活的热插拔与热迁移。
- NanoOS:采用自研轻量级、无状态虚拟化基础OS,彻底移除与虚拟化无关内核模块和软件包,仅保留Hypervisor运行所必需的组件和模块。该系统体积小,易于传输,并支持内核漏洞的快速修复。
- VRAM:采用自研Pageless轻量级内存管理系统,摈弃传统单一的内存分页管理机制,虚拟机兼容传统内存特性的同时,内存管理开销降低数十倍。
最小化攻击面
相比传统Hypervisor,极致轻量化后的QingTian Hypervisor同时也会考虑各种外部攻击源对虚拟化数据面的影响。QingTian Hypervisor通过结合使用多种技术手段来实现最小化攻击面:
- 极小TCB:软件代码极致裁剪,仅保留虚拟化运行最基本的运行代码。
- 无网络:网络功能全裁剪,通过vsock唯一安全通道与QingTian Cards控制系统交互,进一步降低管理面攻击风险。
- 无存储:服务器无本地盘设计,无磁盘文件系统,无配置文件,日志和监控通过API定期记录至云端,无外部可编辑或修改的状态数据。
- 强绑核:虚拟机运行CPU固定,QingTian Hypervisor无需调度CPU,避免上下文切换带来开销的同时,消减侧信道攻击的风险。
- 强隔离:结合硬件辅助虚拟化和自研VRAM内存管理机制,确保虚拟机之间内存、I/O无法越界访问。
防篡改设计
QingTian Hypervisor软件包轻量化裁剪后,与安全启动过程联动,实现主机启动过程的可信校验。QingTian控制器会使用附有关联数据的认证加密算法(Authenticated Encryption with Associated Data,AEAD)来保护启动过程中敏感配置数据的机密性和完整性,确保仅当加解密上下文符合预期的可信环境中才会正确解密配置数据。在QingTian Hypervisor运行过程中,内存文件系统配置为只读,同时开启运行时可信审计,避免虚拟机逃逸或外部软件篡改。QingTian Hypervisor软件包升级同样经过CRC与证书等多重校验,确保软件包在运输过程中无篡改。
系统热升级
传统Hypervisor系统软件升级需要进行停机部署或将业务迁移后再进行升级部署,会引发客户业务中断感知风险,并且升级部署效率低。QingTian Hypervisor会定期进行快速更新,为应对不同的升级场景诉求,QingTian Hypervisor提供全面的安全热升级功能,支持函数级热补丁、组件级热替换以及Hypervisor整系统的原地热升级。在整个升级过程中,客户业务基本无感知。受益于QingTian Hypervisor的原地热升级的关键能力,无需进行迁移业务和主机重启的耗时操作,就可以在集群内实现快速大批量并行升级,确保软件版本发布之后可以迅速上线。即使在升级过程中,系统仍保持完整安全策略和防御能力。