Что такое экранированные виртуальные машины и как их настроить в Windows Server

0
38
Что такое экранированные виртуальные машины и как их настроить в Windows Server

Виртуализация может предоставлять хакерам данные и ключи шифрования. Защищенные виртуальные машины Microsoft и Host Guardian Service блокируют их.

При всех своих преимуществах, диск для виртуализации всего создал очень большую проблему безопасности: виртуализация создает единую цель для потенциального нарушения безопасности. Когда хост запускает 50 виртуальных машин (VM) и атакуется, у вас есть настоящая проблема. Один скомпрометированный хост компрометирует 50 виртуальных машин, работающих на нем, и теперь у вас есть то, что я с любовью называю моментом «святой». Поскольку вы были виртуализированы, вы превратили целую кучу серверов и операционных систем в пару файлов, которые очень легко украсть.

В отрасли нужен способ защиты от онлайн-и оффлайн-атак, которые могут поставить под угрозу все фермы виртуальных машин. Microsoft проделала определенную работу в этой области в Windows Server 2016 с экранированной виртуальной машиной и ее сестринской службой Host Guardian Service (HGS). Давайте посмотрим, что сделали люди в Редмонде.

Понимание проблемы безопасности при виртуализации

Давайте рассмотрим проблему как набор проблем, которые необходимо решить для решения безопасности для смягчения задач по виртуализации проблем.

  1. На любой платформе локальный администратор может делать что угодно в системе. Любой, что гость делает для защиты себя, например шифрование, может быть отменен локальным администратором. Это сопоставимо с центром обработки данных, где все списки управления доступом и причудливые вещи, которые вы делаете внутри операционной системы, запущенной на стойке сервера, не имеют значения, когда вы можете подключать инструменты для взлома в порт USB, загрузите его , и скопируйте все там. Или я могу снять систему со стойки, уехать с ней и загрузить ее дома. Даже шифрование диска может быть обойдено некоторыми из этих инструментов, введя вредоносное ПО в последовательности загрузки и краду ключей из памяти.
  2. Любые изъятые или зараженные учетные записи администратора хоста могут обращаться к гостевым виртуальным машинам.Как вы могли бы предсказать, плохие парни знают об этом и нацеливают этих людей на все более сложные фишинг-атаки и другие попытки получить привилегированный доступ. Ценными целями являются не отдельные настольные компьютеры и плохо защищенные домашние машины. Рынок хакерских атак созрел. Новые цели — это хосты VM в облачных центрах обработки данных, публичные и частные, с 10 или 15 гостями на них, почти всегда упакованные в жабры с важной информацией и учетными записями теневого администратора, которые контролируют эти хосты. Эта ткань виртуализации должна быть защищена, поскольку больше, чем просто администратор хоста, может нанести вред. С виртуальными машинами администратор сервера, администратор хранилища, сетевой администратор, оператор резервного копирования и администратор сети имеют практически неограниченный доступ.
  3. Виртуальные виртуальные машины-арендаторы, размещенные в инфраструктуре (ткани) облачного провайдера, подвергаются атакам хранения и сети, в то время как они незашифрованы. Вот два основных момента: во-первых, зашифрованный в покое, а не загруженный, бесполезен, когда ваша виртуальная машина заражена во время ее работы. Во-вторых, лучшие автономные средства защиты бесполезны для сетевых и хранилищ, которые выполняются во время работы машины.
    Поскольку технология в настоящее время стоит, невозможно идентифицировать законные хосты без проверки аппаратного обеспечения. Вы не можете сказать хороший хост от плохого хоста без какой-либо функции, отключающей свойство части кремния.

Ответ Microsoft на эти четыре вопроса является новым для Windows Server 2016 — экранированной виртуальной машиной и службой Guard Guard.

Что такое экранированная виртуальная машина (VM)?

Защищенная виртуальная машина защищает от проверки, кражи и вмешательства со стороны администраторов вредоносных программ и центров обработки данных, включая администраторов сетей, администраторов хранилищ, администраторов хоста виртуализации и других сетевых администраторов.

Позвольте мне объяснить, как работает экранированная ВМ: это VM поколения 2. Основной файл данных для виртуальной машины, файла VHDX, зашифровывается с помощью BitLocker, чтобы содержимое виртуальных дисков было защищено. Большая проблема для преодоления заключается в том, что вы должны поместить ключ дешифрования где-нибудь. Если вы поместите ключ на хост виртуализации, администраторы могут просмотреть ключ, а шифрование бесполезно. Ключ должен храниться вне хоста в затененной области.

Решение состоит в том, чтобы оснастить VM Generation 2 виртуальным доверенным платформенным модулем (vTPM) и обеспечить, чтобы vTPM защищал ключи шифрования BitLocker так же, как обычный кремниевый TPM обрабатывал ключи для дешифрования BitLocker на обычном ноутбуке. Экранированные виртуальные машины запускаются на охраняемых хостах или обычных хостах Hyper-V, которые работают в виртуальном защищенном режиме — настройка, обеспечивающая защиту доступа к процессам и памяти от хоста путем установки крошечного анклава в сторону ядра. (Он даже не запускается в ядре, и все, что он делает, разговаривает с службой-опекуном, чтобы выполнять инструкции по освобождению или удерживанию ключа дешифрования.)

Что такое служба Host Guardian?

Как VM знает, когда релиз ключа? Введите службу Host Guardian Service (HGS), кластер машин, которые обычно предоставляют две службы: аттестация, которая проверяет, что только доверенные хосты Hyper-V могут запускать экранированные виртуальные машины; и Key Protection Service, которая имеет право освобождать или отклонять ключ дешифрования, необходимый для запуска экранированных виртуальных машин, о которых идет речь. HGS проверяет экранированные виртуальные машины, проверяет ткань, на которой они пытаются начать и запускать, и говорит: «Да, это одобренная ткань, и эти хосты выглядят так, как будто они не были скомпрометированы. Выпустить Кракена! Я имею в виду ключи ». Затем весь shebang расшифровывается и запускается на охраняемых хозяевах. Если какой-либо из этих сдержек и противовесов не удался, то ключи не освобождаются, дешифрование не выполняется, и экранированная виртуальная машина не запускается.

Как HGS знает, разрешено ли виртуальной машине работать на ткани? Создатель виртуальной машины — владелец данных — обозначает, что хост должен быть здоровым и пройти определенное количество проверок, чтобы иметь возможность запускать виртуальную машину. HGS подтверждает работоспособность хоста, запрашивающего разрешение на запуск виртуальной машины до того, как он освободит ключи для дешифрования экранированной виртуальной машины. Защита также внедрена в аппаратное обеспечение, что делает их почти наверняка самым надежным решением на рынке сегодня.

Как создать экранированные виртуальные машины

Создание экранированных виртуальных машин не отличается от создания стандартной виртуальной машины. Реальная разница, помимо того, что это VM второго поколения, — это наличие защитных данных. Экранирование данных — это зашифрованный кусок секретов, созданных на доверенной рабочей станции. Этот кусок секретов может включать учетные данные администратора, учетные данные RDP и каталог подписи томов, чтобы предотвратить вредоносное ПО на диске шаблона, из которого создаются будущие защищенные экранированные виртуальные машины. Этот каталог помогает подтвердить, что шаблон не был изменен с момента его создания. Мастер, называемый мастером экранирующих файлов данных, позволяет создавать эти пакеты. Мастер создания защищенного шаблона позволяет сделать этот процесс более плавным.

Различия между экранированными виртуальными машинами и обычными виртуальными машинами

Экранная виртуальная машина действительно экранирована даже от администратора ткани до такой степени, что в диспетчере виртуальных машин System Center или даже в голой Hyper-V Manager вы просто не можете подключиться через консоль VM к экранированной виртуальной машине. Вы должны использовать RDP и аутентифицироваться в гостевой операционной системе, где владелец виртуальной машины может решить, кому разрешено напрямую обращаться к сеансу консоли VM.

Администратор ткани не получает автоматический доступ. Это фактически означает, что администратор гостевой операционной системы VM становится администратором виртуализации в экранированных сценариях VM, а не владельцем инфраструктуры хоста, как это было бы при типичном развертывании стандартной виртуализации. Это делает экранированные виртуальные машины идеальным выбором для контроллеров домена, служб сертификации и любой другой виртуальной машины, выполняющей рабочую нагрузку с особенно высоким воздействием на бизнес.

Эта передача возможностей администратора виртуализации ставит вопрос о том, что делать, а затем, когда виртуальная машина запущена, и вы больше не можете обращаться к ней по сети. Для этого нужен «ремонтный гараж». Администратор может припарковать поврежденную виртуальную машину внутри другой экранированной виртуальной машины, которая является функциональной и использует вложенную виртуализацию (Hyper-V в Hyper-V) для ее запуска, подключается к экранированному гаражу ремонта по RDP, как и любая другая экранированная виртуальная машина, и выполняет ремонт вложенной нарушенной VM в безопасных пределах экранированного гаража VM. После завершения ремонта администратор ткани может вернуть вновь отремонтированную виртуальную машину из экранированного ремонтного гаража и вернуть ее на защищенную ткань, как будто ничего не произошло.

Защищенная ткань может работать в нескольких режимах: во-первых, чтобы упростить первоначальное принятие, существует режим, в котором роль администратора ткани по-прежнему доверяют. Вы можете настроить доверенность Active Directory и группу, в которой эти машины могут зарегистрироваться, а затем вы можете добавить в эту группу хост-машины Hyper-V для получения разрешения на запуск экранированных виртуальных машин. Это более слабая версия полной защиты, так как администратор ткани доверен, и нет никаких проверенных прав на доверенность или аттестация для загрузки и целостности кода.

Полная версия — это когда вы регистрируете TPM хоста Hyper-V с помощью службы-хранителя хоста и устанавливаете политику целостности базового кода для каждого отдельного оборудования, которое будет размещать экранированные виртуальные машины. С полной моделью администратору структуры не доверяют, доверие охраняемых хостов коренится в физическом TPM, и охраняемые хосты должны соблюдать политику целостности кода для ключей, чтобы расшифровать экранированные виртуальные машины, которые будут выпущены.

Другие замечания о том, как ведут себя экранированные виртуальные машины и требования к их запуску:

  • Охраняемые хосты требуют, чтобы вы выполняли выпуск Windows Server 2016 Datacenter edition — более дорогой, конечно. Эта функция не существует в стандартной версии.
  • Windows Nano Server поддерживается не только в этом сценарии, рекомендуется. Nano Server может быть гостевой операционной системой в защищенной виртуальной машине, а также обрабатывать охраняемую роль хоста Hyper-V, а также запускать HGS. Нано-сервер — отличный легкий выбор для двух последних ролей, на мой взгляд.
  • Экранированные виртуальные машины могут быть только виртуальными машинами поколения 2, что требует, чтобы гостевыми операционными системами были Windows 8 и Windows Server 2012 или новее (включая Windows 10, Server 2012 и R2 и Server 2016).
  • Вопреки тому, что вы думаете, vTPM не привязан к физическому TPM на любом конкретном сервере. Во-первых, надежное разделение физического TPM было бы реальной проблемой. Во-вторых, TPM должен перемещаться с виртуальной машиной, чтобы экранированные виртуальные машины поддерживали все возможности высокой доступности и отказоустойчивости (Live Migration и т. Д.), которые имеют обычные виртуальные машины.

Последнее слово

Стремление к виртуализации всех вещей оставило ключевой вектор атаки практически незащищенным до сих пор. Использование экранированных виртуальных машин добавляет супер-уровень безопасности к приложениям, которые у вас есть прямо сейчас, даже те, которые работают в Linux. Подумайте о экранированных виртуальных машинах как анти-Эдвард Сноуден — защите от администратора-изгоя. Это может привести к тому, что Windows Server 2016 легко будет стоить цены на вход для вашего бизнеса.

Источник: https://www.itworld.com/article/3236361/windows/what-are-shielded-virtual-machines-and-how-to-set-them-up-in-windows-server.html