Que sont les machines virtuelles et comment les configurer dans Windows Server

155

La virtualisation peut fournir aux pirates des données et des clés de chiffrement. Les machines virtuelles sécurisées Microsoft et Virtual Host Guardian Service les bloquent. Avec tous ses avantages, le disque de virtualisation de tout a créé un très gros problème de sécurité: la virtualisation crée un seul objectif pour une faille de sécurité potentielle. Lorsque l’hôte démarre 50 machines virtuelles (VM) et attaque, vous avez un vrai problème.

Que sont les machines virtuelles

Un hôte compromis compromet 50 machines virtuelles qui s’exécutent dessus, et maintenant vous avez ce que j’appelle le moment saint avec amour

Depuis que vous avez été virtualisé, vous avez transformé tout un tas de serveurs et de systèmes d’exploitation en quelques fichiers très faciles à voler.

L’industrie a besoin d’un moyen de se défendre contre les attaques en ligne et hors ligne qui pourraient mettre en danger toutes les batteries de machines virtuelles. Microsoft a effectué des travaux dans ce domaine sur Windows Server 2016 avec une machine virtuelle blindée et son service partenaire Host Guardian Service (HGS) .

Sécurité de la virtualisation

Examinons un problème comme un ensemble de problèmes qui doivent être résolus pour qu’une solution de sécurité atténue les problèmes de virtualisation.

  1. Sur n’importe quelle plateforme, l’administrateur local peut faire n’importe quoi sur le système. Tout ce que le client fait pour se protéger, comme le cryptage, peut être annulé par l’administrateur local. C’est comparable à un centre de données, où toutes les listes de contrôle d’accès et les choses bizarres que vous faites à l’intérieur du système d’exploitation s’exécutant sur le rack du serveur n’ont pas d’importance lorsque vous pouvez brancher les outils de piratage dans un port USB, le télécharger et copier tout . Ou je peux retirer le système du rack, le laisser avec et le charger à la maison. Même le chiffrement du disque peut être contourné par certains de ces outils en introduisant des logiciels malveillants dans la séquence de démarrage et en volant des clés de la mémoire.
  2. Tout compte d’administrateur hôte saisi ou infecté peut accéder aux machines virtuelles invitées. Comme vous pouvez le prévoir, les méchants le savent et ciblent ces personnes pour des attaques de phishing de plus en plus sophistiquées et d’autres tentatives pour obtenir un accès privilégié. Les objectifs précieux ne sont pas des ordinateurs de bureau séparés et des machines domestiques mal protégées. Le marché des hackers a mûri. Les nouvelles cibles sont les hôtes VM dans les centres de données cloud, publics et privés, avec 10 ou 15 invités sur eux, presque toujours emballés avec des informations importantes et des comptes d’administrateur fantôme qui contrôlent ces hôtes. Ce tissu de virtualisation doit être protégé, car plus qu’un simple administrateur hôte peut être dangereux. Avec les machines virtuelles, l’administrateur du serveur, l’administrateur du stockage, l’administrateur réseau, l’opérateur de sauvegarde et l’administrateur réseau ont un accès pratiquement illimité.
  3. Les machines virtuelles locataires hébergées sur l’infrastructure (fabric) du fournisseur de cloud sont exposées aux attaques de stockage et de réseau lorsqu’elles ne sont pas chiffrées. Voici deux points principaux: premièrement, chiffré au repos et non chargé, il est inutile lorsque votre machine virtuelle est infectée pendant son fonctionnement. Deuxièmement, les meilleures fonctionnalités de sécurité autonomes sont inutiles pour le réseau et le stockage, qui sont effectuées pendant le fonctionnement de la machine.
    Parce que la technologie est actuellement en place, il n’est pas possible d’identifier les hôtes légitimes sans vérifier le matériel. Vous ne pouvez pas distinguer un bon hôte d’un mauvais hôte sans aucune fonction qui désactive la propriété d’une partie du silicium.

La réponse de Microsoft à ces quatre questions est nouvelle pour Windows Server 2016 – une machine virtuelle blindée et Guard Guard.

Qu’est-ce qu’une machine virtuelle (VM)?

Une machine virtuelle sécurisée protège contre les analyses, le vol et la falsification par les administrateurs de logiciels malveillants et les centres de données, y compris les administrateurs réseau, les administrateurs de stockage, les administrateurs d’hôte de virtualisation et d’autres administrateurs réseau.

Permettez-moi d’expliquer le fonctionnement de la machine virtuelle blindée: il s’agit d’une machine virtuelle de génération 2. Le fichier de données principal de la machine virtuelle, le fichier VHDX, est chiffré à l’aide de BitLocker afin que le contenu des disques virtuels soit protégé.

Le gros problème à surmonter est que vous devez mettre la clé de déchiffrement quelque part. Si vous placez la clé sur l’hôte de virtualisation, les administrateurs peuvent afficher la clé et le chiffrement est inutile. La clé doit être stockée à l’extérieur de l’hôte dans une zone ombragée.

La solution consiste à équiper VM Generation 2 d’un module de plate-forme de confiance virtuelle (vTPM) et à garantir que vTPM protège les clés de chiffrement BitLocker de la même manière que le TPM en silicium ordinaire traite les clés de déchiffrement BitLocker sur un ordinateur portable ordinaire.

Les machines virtuelles blindées s’exécutent sur des hôtes sécurisés ou des hôtes Hyper-V conventionnels qui fonctionnent en mode protégé virtuel – un paramètre qui protège l’accès aux processus et à la mémoire de l’hôte en installant une petite enclave vers le noyau.

(Il ne démarre même pas dans le noyau, et tout ce qu’il fait, c’est parler avec le service gardien pour suivre les instructions de libération ou de détention de la clé de déchiffrement.)

Qu’est-ce que le service Host Guardian?

Comment la VM sait-elle quand une clé est relâchée?

Entrez le Host Guardian Service (HGS), un cluster de machines qui fournissent généralement deux services:

  • certification qui vérifie que seuls les hôtes Hyper-V approuvés peuvent exécuter des machines virtuelles protégées;
  • et le service de protection des clés, qui a le droit de libérer ou de rejeter la clé de déchiffrement requise pour exécuter les machines virtuelles blindées en question.

HGS vérifie les machines virtuelles blindées, vérifie la structure sur laquelle elles essaient de démarrer et de s’exécuter, et dit: «Oui, c’est une structure approuvée, et ces hôtes ont l’air de ne pas être compromis. Relâchez le Kraken! Je veux dire les clés.  »

Ensuite, le shebang entier est déchiffré et lancé sur les hôtes protégés. Si l’un de ces vérifications et équilibres échoue, les clés ne sont pas libérées, le déchiffrement n’est pas effectué et la machine virtuelle blindée ne démarre pas.

Comment HGS sait-il si une machine virtuelle est autorisée à s’exécuter sur la structure? Le créateur de la machine virtuelle – le propriétaire des données – signifie que l’hôte doit être sain et passer un certain nombre de contrôles pour pouvoir démarrer la machine virtuelle.

HGS confirme l’intégrité de l’hôte qui demande l’autorisation de démarrer la machine virtuelle avant de libérer les clés pour déchiffrer la machine virtuelle protégée. La protection est également intégrée au matériel, ce qui en fait presque certainement la solution la plus fiable sur le marché aujourd’hui.

Comment créer des machines virtuelles blindées

La création de machines virtuelles blindées n’est pas différente de la création d’une machine virtuelle standard. La vraie différence, en plus d’être une machine virtuelle de deuxième génération, est la disponibilité des données de sécurité.

Le blindage des données est un secret chiffré créé sur un poste de travail de confiance. Ce secret peut comprendre des informations d’identification d’administrateur, des informations d’identification RDP et un répertoire de signatures de volume pour empêcher les logiciels malveillants sur le lecteur de modèle à partir duquel les futures machines virtuelles protégées et blindées sont créées.

Ce répertoire permet de confirmer que le modèle n’a pas été modifié depuis sa création. L’assistant, appelé assistant de fichier de données de filtrage, vous permet de créer ces packages. L’assistant de modèle sécurisé vous permet de rendre ce processus plus fluide.

Différences entre les machines virtuelles blindées et classiques

La machine virtuelle à l’écran est en effet blindée même contre l’administrateur de matrice à tel point que dans le gestionnaire de machine virtuelle System Center ou même dans le gestionnaire Hyper-V nu, vous ne pouvez tout simplement pas vous connecter à la machine virtuelle blindée via la console VM.

Vous devez utiliser RDP et vous authentifier auprès du système d’exploitation invité, où le propriétaire de la machine virtuelle peut décider qui est autorisé à accéder directement à la session de console VM.

L’administrateur ne reçoit pas d’accès automatique. Cela signifie que l’administrateur du système d’exploitation invité VM devient l’administrateur de virtualisation dans les scénarios de machine virtuelle blindée, et non le propriétaire de l’infrastructure hôte, comme ce serait le cas avec un déploiement typique de virtualisation standard.

Cela fait des machines virtuelles blindées le choix idéal pour les contrôleurs de domaine, les services de certification et toute autre machine virtuelle qui effectue une charge de travail avec un impact particulièrement élevé sur l’entreprise. Ce transfert de capacités d’administrateur de virtualisation soulève la question de savoir quoi faire, puis lorsque la machine virtuelle est en cours d’exécution et que vous ne pouvez plus y accéder via le réseau. Pour ce faire, vous avez besoin d’un « garage de réparation ».

Un administrateur peut garer une machine virtuelle endommagée à l’intérieur d’une autre machine virtuelle blindée qui est fonctionnelle et utilise la virtualisation imbriquée (Hyper-V vers Hyper-V) pour la démarrer, se connecte au garage de réparation blindé via RDP, comme toute autre machine virtuelle blindée, et effectue Réparation de la VM perturbée incluse dans les limites de sécurité du garage VM protégé.

Une fois la réparation terminée, l’administrateur de matrice peut renvoyer la machine virtuelle nouvellement réparée depuis le garage de réparation blindé et la remettre dans la matrice protégée comme si rien ne s’était passé. Un environnement protégé peut fonctionner selon plusieurs modes: premièrement, afin de simplifier l’adoption initiale, il existe un mode dans lequel le rôle d’administrateur de la structure est toujours approuvé.

Vous pouvez configurer la procuration Active Directory et un groupe auquel ces machines peuvent s’inscrire, puis vous pouvez ajouter des hôtes Hyper-V à ce groupe pour obtenir l’autorisation d’exécuter des machines virtuelles protégées. Il s’agit d’une version plus faible de la protection complète, car l’administrateur est digne de confiance et il n’y a aucun droit vérifié à la procuration ou à la certification pour le téléchargement et l’intégrité du code.

La version complète consiste à enregistrer le TPM hôte Hyper-V à l’aide du service de protection d’hôte et à définir la stratégie d’intégrité du code pour chaque équipement individuel qui hébergera les machines virtuelles blindées.

Avec le modèle complet, l’administrateur de la structure n’est pas approuvé, la confiance des hôtes protégés est enracinée dans le TPM physique et les hôtes protégés doivent suivre la politique d’intégrité du code pour les clés afin de déchiffrer les machines virtuelles blindées qui seront libérées.

Autres remarques sur le comportement des machines virtuelles blindées et leurs exigences de démarrage:

  • Les hôtes sécurisés nécessitent que vous exécutiez l’édition Windows Server 2016 Datacenter – plus cher, bien sûr. Cette fonctionnalité n’existe pas dans la version standard.
  • Windows Nano Server n’est pas seulement pris en charge dans ce scénario, il est recommandé. Nano Server peut être un système d’exploitation invité dans une machine virtuelle sécurisée et gérer également le rôle d’hôte Hyper-V protégé, ainsi que l’exécution de HGS. Le nano-serveur est à mon avis un excellent choix facile pour les deux derniers rôles.
  • Les machines virtuelles blindées ne peuvent être que des machines virtuelles de génération 2, ce qui nécessite que les systèmes d’exploitation invités soient Windows 8 et Windows Server 2012 ou plus récent (y compris Windows 10, Server 2012 et R2 et Server 2016).
  • Contrairement à ce que vous pensez, vTPM n’est pas lié au TPM physique sur un serveur particulier. Premièrement, une séparation fiable du TPM physique serait un vrai problème. Deuxièmement, le TPM doit se déplacer avec la machine virtuelle afin que les machines virtuelles blindées prennent en charge toutes les fonctionnalités de haute disponibilité et de tolérance aux pannes (Live Migration, etc.) des machines virtuelles ordinaires.

Dernier mot

La quête de virtualisation de toutes choses a jusqu’à présent laissé le vecteur d’attaque clé pratiquement sans protection. L’utilisation de machines virtuelles blindées ajoute un niveau de sécurité supérieur aux applications dont vous disposez actuellement, même celles qui s’exécutent sous Linux.

Avis sur l’électronique et les gadgets de marques populaires