Экранированные виртуальные машины в Server 2016
Windows Server 2016 находится «в разработке» в течение длительного времени, и многие читатели этого сайта, вероятно, тестировали технические предварительные версии, учитывая, что Microsoft заявила, что на более чем полумиллионе устройств запущена окончательная предварительная версия, и они предоставили отзывы, чтобы помочь. сделать общедоступную версию лучше. Что ж, теперь официально: компания представила последнюю версию серверной операционной системы на своей конференции Ignite в Атланте в сентябре.
Как и следовало ожидать, безопасность занимает центральное место, когда вы просматриваете список новых функций и функций. Это не просто хорошая идея — это необходимо в эпоху все более изощренных атак, осуществляемых хорошо финансируемыми и хорошо организованными злоумышленниками. Windows Server запускает машины, которые выполняют критически важные функции и функции обеспечения высокой безопасности, такие как контроллеры домена, которые содержат информацию об идентификации и доступе, и файловые серверы, на которых хранятся конфиденциальные документы. Поэтому очень важно, чтобы эти машины — физические или виртуальные — были максимально безопасными.
В современных современных центрах обработки данных серверы развернуты как виртуальные машины. Это дает много преимуществ с точки зрения стоимости, простоты резервного копирования и восстановления машины и использования аппаратных ресурсов. Однако до сих пор существовал пробел в способности организации защитить эти виртуальные машины от определенных типов атак.
Конец эпохи свободы администратора
Как обсуждалось в предыдущей статье новая система безопасности Microsoft направлена на защиту от угроз, которые могут создаваться административными (привилегированными) привилегированными учетными записями. В этой статье речь шла о защите на уровне удостоверений и доступа с использованием администрирования «точно в срок» (JIT) и «достаточно точного администрирования» (JEA) для ограничения продолжительности и объема административных привилегий. На этот раз мы поговорим о том, как новая технология Shielded VM может помочь защититься от последствий злонамеренных внутренних атак или кражи учетных данных администратора.
Если кто-то с сомнительными намерениями крадет кредиты администратора и может скопировать файлы виртуальной машины, он (или она) может запустить виртуальную машину на другой машине и изучить всю конфиденциальную информацию на ней на досуге. Экранированные виртуальные машины предотвращают это (среди других сценариев угроз) путем шифрования виртуальной машины с помощью BitLocker с использованием виртуального доверенного платформенного модуля (vTPM). Это связано с новой службой под названием Host Guardian Service, которая развертывается для хранения ключей, необходимых для запуска экранированных виртуальных машин.
[tg_youtube video_id="xip5Qtk-7d8"]
Во-первых, ткань
Экранированные виртуальные машины работают с защищенной структурой Windows Server 2016 и зависят от ее компонентов. Охраняемая ткань состоит из следующего:
- Целостность кода, также известная как Device Guard в Windows 10. Функция Code Integrity/Device Guard позволяет контролировать, какое программное обеспечение может запускаться как в пользовательском режиме, так и в режиме ядра. Для лучшей безопасности вы можете потребовать, чтобы драйверы были явно внесены в белый список в политике целостности кода, прежде чем им будет разрешено запускаться. Драйверы будут заблокированы от запуска динамического кода, а скомпрометированные драйверы не будут запускаться и, таким образом, подвергать сервер риску. Вы можете узнать больше о целостности кода в записи блога под названием в блоге Datacenter and Private Cloud Security на веб-сайте TechNet.
- Безопасность на основе виртуализации (VBS) предотвращает внешние атаки, создавая изолированную область пользовательского режима с помощью аппаратной технологии. Изолированный пользовательский режим был введен в Windows 10. Его цель — изолировать любые виртуализированные процессы или данные от остальной части операционной системы. Code Integrity/Device Guard использует безопасность на основе виртуализации, чтобы предотвратить внесение злоумышленниками изменений в политику управления приложениями.
- Физический и синтетический TPM v2 позволяют использовать шифрование BitLocker, которое экранированные виртуальные машины используют для шифрования виртуальных машин. Hyper-V на сервере 2016 поддерживает использование виртуального доверенного платформенного модуля (vTPM), который не требует наличия физического доверенного платформенного модуля на хост-компьютере.
- Служба защиты узла (HGS) предоставляет «аттестацию работоспособности» для хост-компьютеров Hyper-V (подробнее о том, что это означает, мы поговорим позже в этой статье), а также защищает ключи, необходимые для запуска экранированных виртуальных машин.
Как это все работает
Если вы хотите запустить экранированную виртуальную машину на узле Windows Server 2016 Hyper-V, служба защиты узла должна подтвердить работоспособность машины. Вы можете запустить экранированную виртуальную машину только на узле, обозначенном как защищенный узел. Так как же назначить хост-компьютер защищенным хостом? Для них необходимо создать группу безопасности в доменных службах Active Directory (AD DS), а затем настроить доверительные отношения между структурой Active Directory и лесом, к которому принадлежит HGS. Это самый простой метод аттестации, который называется аттестацией с доверием администратора, и он будет работать практически с любым распространенным серверным оборудованием.
Однако, если вам нужна еще большая безопасность, вы можете потребовать доверенную аттестацию TPM. Как следует из названия, этот метод немного сложнее. Как и метод доверия администратора, он требует, чтобы вы назначали охраняемые хосты, но для его настройки есть дополнительные шаги. Ключевым моментом является то, что аппаратное и микропрограммное обеспечение хоста должно иметь TPM v2 и UEFI v2.3.1, а функция безопасной загрузки должна быть включена.
Важно понимать, что защищенная структура и экранированные виртуальные машины — это слишком разные вещи. Вы можете запустить традиционную виртуальную машину, которая не зашифрована, на защищенной фабрике, или вы можете запустить виртуальную машину с поддержкой шифрования, где диски виртуальной машины зашифрованы в состоянии покоя, но не защищены от администраторов фабрики — это означает, что вы должны полностью доверять эти админы. Администраторы по-прежнему могут использовать сеансы консоли виртуальной машины для управления этими виртуальными машинами.
Наиболее безопасным типом виртуальной машины, которую можно запустить в защищенной структуре, является экранированная виртуальная машина, которая защищает виртуальную машину и данные от администраторов структуры и от ненадежного программного обеспечения, работающего на узле. Подключения консоли виртуальной машины не разрешены на экранированных виртуальных машинах. Вы также не можете подключить отладчик к процессу виртуальной машины, а COM/последовательные порты не поддерживаются.
Как экранированные виртуальные машины используют шифрование
Экранированные виртуальные машины автоматически шифруют диск операционной системы с помощью BitLocker. Вы также можете зашифровать диски данных, подключенные к экранированной виртуальной машине, но по умолчанию это не делается. Ключи BitLocker, необходимые системе для загрузки экранированных виртуальных машин, защищены vTPM.
Существует ряд «секретов», которые используются экранированными виртуальными машинами, которые не используются совместно с фабрикой. К ним относятся пароль локальной учетной записи администратора виртуальной машины, сертификаты, связанные с удостоверениями, учетные данные для присоединения к домену и подписи доверенных дисков. Чтобы защитить их, они сохраняются в зашифрованном . Этот файл будет иметь расширение.PDK. Файл.PDK защищен ключами арендатора, и эти секреты затем предоставляются только доверенным компонентам в структуре. Предохранитель ключа также находится в файле данных экранирования. Администратор структуры не может просматривать информацию об использовании в файле данных экранирования, кроме использования ее для создания экранированной виртуальной машины.
Подробный обзор HGS
Ранее мы говорили, что служба защиты хоста в основном выполняет две функции:
- Он управляет службой аттестации, которая отвечает за то, чтобы экранированные виртуальные машины могли работать только на доверенных хостах Hyper-V.
- Он защищает ключи для включения экранированных виртуальных машин.
HGS следует запускать в собственном лесу, созданном для этой цели, или в уже имеющемся лесу-бастионе, отдельном от администраторов структуры и администраторов корпоративного леса. HGS устанавливается как роль сервера в Windows Server 2016. Затем вы можете создать лес AD для HGS с помощью командлета PowerShell Install-HgsServer. HGS потребуется два сертификата для шифрования и подписи. Вы можете использовать свои собственные PKI-сертификаты, которые не поддерживаются аппаратным модулем безопасности, или вы можете использовать сертификат, поддерживаемый HSM.
Примечание:
Также можно использовать самозаверяющий сертификат для настройки HGS, но это следует делать только при создании среды тестовой лаборатории, а не в производственной среде.
Аттестация — это процесс, используемый HGS для проверки работоспособности защищенного хоста. Хост должен предоставить службе защиты ключей сертификат работоспособности, и он получает этот сертификат, успешно завершив процесс аттестации. HGS может использовать два типа аттестации. Вы должны выбрать тот или иной режим при первоначальном развертывании HGS, поскольку одна и та же защищенная структура не может использовать оба одновременно (хотя вы можете переключаться с одного на другой). Как обсуждалось ранее, режим доверия администратора проще всего развернуть, но режим доверия TPM более безопасен.
При аттестации с доверием администратора узел Hyper-V отправляет билет Kerberos, идентифицирующий группы безопасности, к которым он принадлежит. Членство в группе безопасности, настроенной доверенным администратором HGS, рассматривается как проверка работоспособности узла. При доверительной аттестации TPM узел отправляет информацию, идентифицирующую TPM, журнал TCG, который содержит информацию о самой последней последовательности загрузки и информацию о политике целостности кода. Эта информация используется для определения работоспособности хоста.
Резюме
Экранированные виртуальные машины, работающие в защищенной структуре, делают Windows Server 2016 способной обеспечить гораздо более высокий уровень безопасности, чем в прошлом, для запуска виртуальных машин. Необходимо выполнить дополнительные шаги, в том числе настроить структуру DNS, чтобы защищенные узлы могли разрешать кластер HGS, и настроить HGS для распознавания защищенных узлов, которые выходят за рамки этой статьи. Дополнительные сведения о развертывании см. в которое можно загрузить с веб-сайта TechNet.