Was sind abgeschirmte virtuelle Maschinen und wie man sie in Windows Server konfiguriert

Die Virtualisierung kann Hackern Daten und Verschlüsselungsschlüssel bereitstellen. Microsoft Protected Virtual Machines und Host Guardian Service blockieren sie. Trotz aller Vorteile hat eine Festplatte zum Virtualisieren alles ein sehr großes Sicherheitsproblem verursacht: Durch die Virtualisierung wird ein einziges Ziel für eine potenzielle Sicherheitsverletzung erstellt. Wenn ein Host 50 virtuelle Maschinen (VMs) startet und angegriffen wird, liegt ein echtes Problem vor.

Ein kompromittierter Host kompromittiert 50 virtuelle Maschinen, die darauf ausgeführt werden, und jetzt haben Sie das, was ich liebevoll den „heiligen“ Moment nenne

Seit Sie virtualisiert wurden, haben Sie eine ganze Reihe von Servern und Betriebssystemen in einige Dateien verwandelt, die sehr einfach zu stehlen sind.

Die Branche benötigt eine Möglichkeit zum Schutz vor Online- und Offline-Angriffen, die alle VM-Farmen gefährden können. Microsoft hat in diesem Bereich in Windows Server 2016 einige Arbeiten mit der Shielded VM und ihrem Schwester- Host Guardian Service (HGS) durchgeführt.

Virtualisierung und Containerisierung

Virtualisierungssicherheit

Betrachten wir ein Problem als eine Reihe von Problemen, die behoben werden müssen, um die Sicherheit zu gewährleisten und Bedenken hinsichtlich der Virtualisierung auszuräumen.

  1. Auf jeder Plattform kann der lokale Administrator alles auf dem System tun. Alles, was der Gast tut, um sich selbst zu schützen, wie z. B. die Verschlüsselung, kann vom lokalen Administrator überschrieben werden. Dies ist vergleichbar mit einem Rechenzentrum, in dem alle ACLs und die ausgefallenen Dinge, die Sie im Betriebssystem auf dem Server-Rack ausführen, keine Rolle spielen, wenn Sie die Jailbreak-Tools an einen USB-Anschluss anschließen, herunterladen und alles dort kopieren können…. Oder ich kann das System vom Rack nehmen, damit wegfahren und es zu Hause booten. Sogar die Festplattenverschlüsselung kann von einigen dieser Tools umgangen werden, indem Malware in die Startsequenz eingefügt und Schlüssel aus dem Speicher gestohlen werden.
  2. Alle beschlagnahmten oder infizierten Host-Administratorkonten können auf die Gast-VMs zugreifen. Wie Sie vielleicht vorhersagen, sind sich die Bösen dessen bewusst und zielen auf diese Personen für immer ausgefeiltere Phishing-Angriffe und andere Versuche, privilegierten Zugriff zu erhalten. Wertvolle Ziele sind keine isolierten Desktops und schlecht geschützten Heimcomputer. Der Markt für Hackerangriffe ist reif. Die neuen Ziele sind VM-Hosts in öffentlichen und privaten Cloud-Rechenzentren mit 10 oder 15 Gästen, die fast immer in Kiemen mit wichtigen Informationen und Schattenadministratorkonten verpackt sind, die diese Hosts steuern. Diese Virtualisierungsstruktur muss geschützt werden, da mehr als nur der Hostadministrator Schaden anrichten kann. Mit virtuellen Maschinen, Serveradministrator, Speicheradministrator, Netzwerkadministrator,
  3. Mandanten-VMs, die in der Infrastruktur (Fabric) eines Cloud-Anbieters gehostet werden, sind Speicher- und Netzwerkangriffen ausgesetzt, während sie unverschlüsselt sind. Hier sind zwei Hauptpunkte: Erstens ist die Verschlüsselung im Ruhezustand, die nicht gestartet wird, nutzlos, wenn Ihre VM während der Ausführung infiziert ist. Zweitens sind die besten Offline-Schutzfunktionen für Netzwerk und Speicher, die ausgeführt werden, während der Computer ausgeführt wird, unbrauchbar.
    Da die Technologie derzeit zum Stillstand kommt, ist es unmöglich, legitime Hosts zu identifizieren, ohne die Hardware zu überprüfen. Sie können einen guten Host nicht von einem schlechten Host unterscheiden, ohne eine Funktion zum Deaktivieren der Eigenschaft eines Siliziumstücks zu haben.

Die Antwort von Microsoft auf diese vier Fragen ist neu in Windows Server 2016 – geschützte VM und Guard Guard.

Was ist eine abgeschirmte virtuelle Maschine (VM)?

Eine sichere virtuelle Maschine schützt vor Inspektion, Diebstahl und Manipulation durch Malware- und Rechenzentrumsadministratoren, einschließlich Netzwerkadministratoren, Speicheradministratoren, Virtualisierungshostadministratoren und anderen Netzwerkadministratoren.

Lassen Sie mich erklären, wie eine abgeschirmte VM funktioniert: Dies ist eine VM der 2. Generation. Die Hauptdatendatei für die virtuelle Maschine, die VHDX-Datei, wird mit BitLocker verschlüsselt, um den Inhalt der virtuellen Festplatten zu schützen.

Das große Problem ist, dass Sie den Entschlüsselungsschlüssel irgendwo ablegen müssen. Wenn Sie den Schlüssel auf dem Virtualisierungshost ablegen, können Administratoren den Schlüssel anzeigen und die Verschlüsselung ist nutzlos. Der Schlüssel muss außerhalb des Hosts in einem schattierten Bereich gespeichert werden.

Was ist eine abgeschirmte virtuelle Maschine?

Die Lösung besteht darin, VM Generation 2 mit einem virtuellen Trusted Platform Module (vTPM) auszustatten und sicherzustellen, dass das vTPM BitLocker-Verschlüsselungsschlüssel genauso schützt wie ein normales Silizium-TPM BitLocker-Entschlüsselungsschlüssel auf einem normalen Laptop.

Geschützte VMs werden auf geschützten Hosts oder regulären Hyper-V-Hosts ausgeführt, die im virtuellen geschützten Modus ausgeführt werden. Diese Einstellung sichert den Prozess- und Speicherzugriff vom Host aus, indem eine winzige Enklave in Richtung Kernel installiert wird.

(Es startet nicht einmal im Kernel und spricht lediglich mit dem Treuhanddienst, um die Anweisungen zum Freigeben oder Halten des Entschlüsselungsschlüssels zu befolgen.)

Was ist der Host Guardian Service?

Woher weiß die VM, wann der Schlüssel freigegeben wird?

Rufen Sie den Host Guardian Service (HGS) auf, einen Cluster von Computern, die normalerweise zwei Dienste bereitstellen:

  • Bescheinigung, mit der überprüft wird, dass nur vertrauenswürdige Hyper-V-Hosts geschützte virtuelle Maschinen ausführen können.
    und der Schlüsselschutzdienst, der befugt ist, den zum Ausführen der betreffenden geschützten virtuellen Maschinen erforderlichen
  • Entschlüsselungsschlüssel freizugeben oder zu verweigern.

HGS überprüft die abgeschirmten VMs, überprüft die Fabric, auf der sie gestartet und ausgeführt werden sollen, und sagt: „Ja, dies ist eine genehmigte Fabric, und diese Hosts sehen aus, als wären sie nicht gefährdet. Lass den Kraken frei! Ich meine die Schlüssel. “

Der gesamte Shebang wird dann entschlüsselt und auf den geschützten Hosts ausgeführt. Wenn eine dieser Prüfungen fehlschlägt, werden die Schlüssel nicht freigegeben, es wird keine Entschlüsselung durchgeführt und die abgeschirmte VM wird nicht gestartet.

Woher weiß HGS, ob eine virtuelle Maschine auf Stoff laufen darf? Der Ersteller der virtuellen Maschine – der Eigentümer der Daten – bedeutet, dass der Host fehlerfrei sein und eine bestimmte Anzahl von Prüfungen bestehen muss, um die virtuelle Maschine starten zu können.

HGS überprüft den Zustand des Hosts, der die Berechtigung zum Ausführen der virtuellen Maschine anfordert, bevor die Schlüssel zum Entschlüsseln der abgeschirmten virtuellen Maschine freigegeben werden. Sicherheit ist auch in die Hardware eingebettet, was sie mit ziemlicher Sicherheit zur zuverlässigsten Lösung auf dem heutigen Markt macht.

So erstellen Sie abgeschirmte virtuelle Maschinen

Das Erstellen abgeschirmter virtueller Maschinen entspricht dem Erstellen einer virtuellen Standardmaschine. Der eigentliche Unterschied besteht nicht nur darin, dass es sich um eine VM der zweiten Generation handelt, sondern auch um die Sicherheitsdaten.

Datenabschirmung ist ein verschlüsselter Teil von Geheimnissen, die auf einer vertrauenswürdigen Workstation erstellt wurden. Dieser Teil der Geheimnisse kann Administratoranmeldeinformationen, RDP-Anmeldeinformationen und ein Volume-Signaturverzeichnis enthalten, um Malware auf der Vorlagenfestplatte zu verhindern, auf der zukünftige sichere geschützte VMs erstellt werden.

Dieses Verzeichnis hilft zu bestätigen, dass die Vorlage seit ihrer Erstellung nicht geändert wurde. Mit einem Assistenten namens Shielding Data File Wizard können Sie diese Pakete erstellen. Der Assistent für sichere Vorlagen vereinfacht diesen Vorgang.

Unterschiede zwischen abgeschirmten und regulären virtuellen Maschinen

Die abgeschirmte VM ist sogar vom Fabric-Administrator so weit abgeschirmt, dass Sie in System Center Virtual Machine Manager oder sogar in Hyper-V Manager keine Verbindung über die VM-Konsole zur abgeschirmten VM herstellen können. Sie müssen RDP verwenden und sich beim Gastbetriebssystem authentifizieren, bei dem der Eigentümer der virtuellen Maschine entscheiden kann, wer direkt auf die VM-Konsolensitzung zugreifen darf.

Der Administrator erhält keinen automatischen Zugriff. Dies bedeutet effektiv, dass der Administrator des VM-Gastbetriebssystems in abgeschirmten VM-Szenarien zum Virtualisierungsadministrator wird und nicht zum Eigentümer der Hostinfrastruktur, wie dies bei einer typischen Standardvirtualisierungsbereitstellung der Fall wäre.

Dies macht Shielded VMs zu einer idealen Wahl für Domänencontroller, Zertifizierungsstellen und jede andere virtuelle Maschine, auf der eine Workload mit besonders hohen geschäftlichen Auswirkungen ausgeführt wird. Diese Übertragung der Virtualisierungsadministratorfunktionen wirft die Frage auf, was zu tun ist und wann die virtuelle Maschine gestartet wird und Sie nicht mehr über das Netzwerk darauf zugreifen können. Dies erfordert eine „Reparaturwerkstatt“.

Ein Administrator kann die beschädigte VM in einer anderen geschützten VM parken, die funktionsfähig ist und verschachtelte Virtualisierung (Hyper-V in Hyper-V) verwendet, um sie auszuführen, wie jede andere geschützte VM über RDP eine Verbindung zur geschützten Reparaturwerkstatt herstellt und eine Leistung erbringt Reparatur einer geschlossenen defekten VM innerhalb der sicheren Grenzen einer abgeschirmten VM-Garage.

Sobald die Reparatur abgeschlossen ist, kann der Fabric-Administrator die neu reparierte virtuelle Maschine aus der abgeschirmten Reparaturwerkstatt zurückgeben und an die abgeschirmte Fabric zurückgeben, als wäre nichts passiert. Die gesicherte Umgebung kann in verschiedenen Modi betrieben werden: Erstens gibt es einen Modus, in dem der Rolle des Gewebeadministrators weiterhin vertraut wird, um die erstmalige Einführung zu erleichtern.

Sie können eine Active Directory-Vertrauensstellung und eine Gruppe einrichten, in der sich diese Computer registrieren können. Anschließend können Sie dieser Gruppe Hyper-V-Hostcomputer hinzufügen, um die Berechtigung zum Ausführen geschützter virtueller Maschinen zu erhalten. Dies ist eine schwächere Version des vollständigen Schutzes, da dem Administrator vertraut wird und keine überprüften Anwalts- oder Bescheinigungsrechte für Download und Code-Integrität bestehen.

Die Vollversion ist, wenn Sie das TPM des Hyper-V-Hosts beim Host-Guardian-Dienst registrieren und die zugrunde liegende Code-Integritätsrichtlinie für jede einzelne Hardware festlegen, die die abgeschirmten VMs hostet.

Beim vollständigen Modell ist der Fabric-Administrator nicht vertrauenswürdig, die Vertrauenswürdigkeit der geschützten Hosts ist im physischen TPM verwurzelt, und die geschützten Hosts müssen die Richtlinien zur Codeintegrität für Schlüssel einhalten, um die abgeschirmten geschützten VMs zu entschlüsseln.

Weitere Hinweise zum Verhalten geschützter VMs und zu den Anforderungen für deren Start:

  • Bei geschützten Hosts müssen Sie die Windows Server 2016 Datacenter Edition ausführen – natürlich teurer. Diese Funktion ist in der Standardversion nicht vorhanden.
  • Windows Nano Server wird in diesem Szenario nicht nur unterstützt, sondern auch empfohlen. Nano Server kann ein
  • Gastbetriebssystem in einer gesicherten virtuellen Maschine sein und auch die geschützte Hyper-V-Hostrolle übernehmen sowie HGS ausführen. Nano Server ist meiner Meinung nach eine großartige, leichte Wahl für die beiden letztgenannten Rollen.
  • Geschützte VMs können nur VMs der 2. Generation sein, für die die Gastbetriebssysteme Windows 8 und Windows Server 2012 oder neuer sein müssen (einschließlich Windows 10, Server 2012 und R2 sowie Server 2016).
  • Im Gegensatz zu Ihrer Meinung ist vTPM nicht an ein physisches TPM auf einem bestimmten Server gebunden. Erstens wäre eine sichere Entkopplung des physischen TPM eine echte Herausforderung. Zweitens muss das TPM mit der virtuellen Maschine wandern, damit die abgeschirmten virtuellen Maschinen alle Hochverfügbarkeits- und Ausfallsicherheitsfunktionen (Live-Migration usw.) unterstützen, über die reguläre virtuelle Maschinen verfügen.

Das letzte Wort

Das Bestreben, alle Dinge zu virtualisieren, hat einen wichtigen Angriffsvektor bis heute praktisch ungeschützt gelassen. Die Verwendung abgeschirmter virtueller Maschinen verleiht den Anwendungen, über die Sie gerade verfügen, eine überragende Sicherheitsebene, selbst den unter Linux ausgeführten.

Fragen und Antworten
Was ist abgeschirmtes VMS in Windows Server?
Microsoft gibt an, dass das Shielded VMs-Konzept in Windows Server 2016 von den Kunden gut angenommen wurde. Daher hat Microsoft in Windows Server 2019 das Shielded Virtual Machine-Konzept auf Linux Virtual Machines erweitert. Windows Server 2019 bietet auch die Möglichkeit, Netzwerksegmente zu verschlüsseln.
Was ist eine abgeschirmte virtuelle Maschine (VM)?
Eine abgeschirmte VM schützt vor Inspektion, Diebstahl und Manipulation durch Malware- und Rechenzentrumsadministratoren, einschließlich Fabric-Administratoren, Speicheradministratoren, Virtualisierungshostadministratoren und anderen Netzwerkadministratoren. Lassen Sie mich erklären, wie eine abgeschirmte VM funktioniert: Es handelt sich um eine Generation 2-VM.
Was ist ein virtueller Host?
Dies ist der Sammelbegriff, der verwendet wird, um eine Struktur von Hyper-V-Hosts und deren Host Guardian Service zu beschreiben, die geschützte VMs verwalten und ausführen können. Geschützte virtuelle Maschine (VM) Eine virtuelle Maschine, die nur auf geschützten Hosts ausgeführt werden kann und vor Inspektion, Manipulation und Diebstahl durch böswillige Fabric-Administratoren und Host-Malware geschützt ist.
Was ist Virtualisierungssicherheit?
Virtualisierungssicherheit ist ein wichtiger Investitionsbereich in Hyper-V. Zusätzlich zum Schutz von Hosts oder anderen virtuellen Maschinen vor einer virtuellen Maschine, auf der schädliche Software ausgeführt wird, müssen wir auch virtuelle Maschinen vor einem gefährdeten Host schützen.

Gefunden, wonach Sie gesucht haben?
Ja
81.19%
Nein
18.81%
Voted: 202

Kommentare sind geschlossen.