Шифрование виртуальных машин с BitLocker в Windows Server 2016

Рады приветствовать Вас!

К Вашим услугам - качественный товар различных ценовых категорий.

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Наши контакты:

Telegram:

https://t.me/happystuff

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

В век облачных технологий, когда у каждого пользователя есть собственное облако для хранения фотографий, а компании арендуют сервера для облачных вычислений, встает вопрос о конфиденциальности хранимой информации. И если пользователи для защиты хранимых данных могут обойтись доверием к облаку или использованием крипто контейнеров, то у компаний дела обстоят хуже. Так как в облака переносится не только хранилище данных, но и сами вычисления. Особенно страдает защита виртуальных машин, так как в случае компрометации хоста, не составит труда получить доступ к ВМ. До недавнего времени ни один из гипервизоров будь то VMware, Xen, Hyper-V не предоставляли каких-либо значимых технологий по защите ВМ. А если злоумышленник получит физический доступ к серверу, то спасти может только шифрование дисков, и то не во всех случаях. Конечно арендуя сервер, часть защитных мер берет на себя дата центр. Но в таком случае необходимо доверять администраторам дата центра. С релизом Windows Server , в Microsoft решили уделить больше внимания безопасности хоста и виртуальной инфраструктуры. Появилась возможность изолировать ВМ от администратора хоста Hyper-V. Таким образом используя новые технологии можно размещать виртуальные машины на неподконтрольных серверах или в корпоративных дата центрах, но с повышенным уровнем безопасности, разграничивая роли физического и виртуального доступа. Shielded VM — технология изолирующая виртуальную машину от хоста. Защищает ВМ от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения. При запуске виртуальной машины защищённый хост проходит аттестацию у HGS сервера, который принимает решение о передачи ключей доступа к виртуальной машине. Admin-trusted аттестацию целесообразно использовать внутри предприятия, когда нужно изолировать доступ к ВМ от администраторов. Связь сервера HGS и защищённого хоста осуществляется по http https протоколу. В случае AD аттестации необходимо дополнительно настроить односторонний доменный траст. Virtual Secure Mode VSM — технология работающая на основе виртуализации, которая позволяет изолировать критические для безопасности операции в мини ОС. Основная ОС запускается в виртуальном окружении. А гипервизор выступает в роли хостовой ОС, тем самым ограничивая доступ к оперативной памяти. В итоге вредоносное ПО запущенное на хосте даже с администраторскими правами не сможет получить доступ к памяти VSM. Также такая структура должна защищать от атаки на DMA порты. В таком случае создавать экранированную виртуальную машину можно самостоятельно или используя предоставленный шаблон. После переносит ВМ в Дата Центр. Но необходимо убедиться, что в шаблоне нет вредоносного ПО. Первый способ выглядит более безопасным, так как файл данных ВМ попадает на хост в уже шифрованном виде. В любом случае ключи доступа к ВМ не попадают к администраторам Дата Центра в открытом виде. Исходя из этого появилась, идея проверить возможность работы Shielded VM в условиях, когда сервер HGS размещается в своей инфраструктуре. Это еще больше обезопасит виртуальные машины. Минус этого подхода в том, что придётся самостоятельно администрировать эту структуру. Может возникнуть вопрос о подмене сервера HGS администратором гипервизора — ведь для этого необходимо просто указать новый адрес. Защита от этого реализована достаточно просто, созданная ВМ зашифрована с использованием открытого ключа HGS сервера, поэтому другой HGS сервер не сможет выдать ключи для ее запуска. Также стоит понимать, что технология Shielded VM шифрует только конфигурационные файлы виртуальной машины. VHDX файл остаётся незашифрованным. Для его шифрования нужно включить vTPM, и зашифровать диск битлокером. Это все очень хорошо защищает от вредоносного ПО нацеленного на хост Hyper-V и предоставляет доступ к ВМ только владельцу, защищая от действий администраторов или кого-либо получившего администраторские права. Требования указаны для использования TPM аттестации. AD аттестация менее требовательна, но при этом обеспечивает гораздо меньшую защиту. Для примера будет рассмотрен вариант: Будет использована TPM аттестация. Соединение между хостом и HGS будет проходить по http протоколу. Если HGS сервер не имеет белого IP необходимо будет пробросить 80 порт или использовать реверс прокси. HGS для работы необходим домен. Его можно подключить к уже существующему домену, но рекомендуется создание отдельного домена для повышения безопасности. Перед выполнением следующей команды необходимо убедиться, что компьютер не подключен к домену. Для теста были созданы самоподписанные сертификаты, но для реальной среды лучше использовать PKI. При создании политики происходит сканирование всех установленных программ и добавление их в белый список. Перед созданием политики необходимо убедится, что в системе:. Рекомендуется сначала проверить работу политики в режиме аудита. В таком случае исполняемый файл, запрещенный политикой будет отображен в логе. Перезагружаем компьютер и проверяем работу системы под планируемой типичной нагрузкой. После успешной проверки работы системы отключаем режим аудита. Рекомендуется оставить исходный XML файл, чтобы в случае необходимости изменения политики не проводить повторное сканирование. При включенной политике необходимо быть осторожным с обновлением или добавление драйверов режима ядра, так как это может предотвратить загрузку системы. В них хранятся целостности метрик системы, начиная с загрузки BIOS до завершения работы системы. Если порядок загрузки будет изменен, например, руткитом, это отобразиться в регистрах PCR. Политика создается для класса одинаковых аппаратных хостов. Перед ее созданием необходимо иметь установленный Hyper-V. Можно использовать флаг -SkipValidation который позволить выполниться команде, но он не исправит ошибки. На этом моменте настройка HGS сервера заканчивается. Для проверки выполненной работы проведем диагностику. После настройки и включения защиты в ВМ ее необходимо переместить на охраняемый хост. Для этого экспортируем машину, переносим полученные файлы на хост, и импортируем ее в консоль Hyper-V. Таким образом была произведена настройка Shielded VM, которая обеспечивает более высокий уровень защиты виртуальных машин. Если у вас остались вопросы, добро пожаловать в комментарии. Используемые технологии Shielded VM — технология изолирующая виртуальную машину от хоста. HGS поддерживает два вида аттестации: Таким образом можно быть уверенным, что на хосте работает только одобренный код. Admin-trusted аттестация — проверка происходит на основе принадлежности к группе безопасности Active Directory. На VSM работают две другие технологии: Единственным местом подверженным атакам остался HGS сервер. Администратор HGS может понизить требования к политике безопасности; Злоумышленник получивший администраторские права может попробовать получить ключи доступа; Для работы HGS требуется AD и нет требования к обязательному наличию TPM, следовательно, ключи вероятней всего будут храниться в открытом виде. Сочетание новых технологий предоставляет надежную защиту: Windows Server Hyper-V: Перед созданием политики необходимо убедится, что в системе: Отсутствуют вирусы и вредоносное ПО Установлено необходимое для работы ПО и оно является благонадежным Рекомендуется сначала проверить работу политики в режиме аудита. Сканирование займет некоторое время. Создание экранированной виртуальной машины Получаем файл описания HGS сервера, который понадобиться для привязки ВМ к серверу. На этом этапе настройка завершена, ВМ экранирована. Так же в настройках ВМ увидим предупреждение о невозможности менять настройки защиты: Раздел виртуальной машины защищен BitLocker-ом: Articles , Статьи Метки: Предыдущая запись Сколько стоит облачный офис Следующая запись Как начинать тушить огонь до пожара или наш список общих принципов IT безопасности.

Купить JWH Печоры

Шифрование виртуальных машин с BitLocker в Windows Server 2016

Пошаговая настройка Host Guardian Service в Windows Server 2016

Защита виртуальных машин, размещенных в дата центре