Bazaprogram.ru

Новости из мира ПК
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита виртуальной машины

Что такое экранированные виртуальные машины и как их настроить в Windows Server

Виртуализация может предоставлять хакерам данные и ключи шифрования. Защищенные виртуальные машины Microsoft и Host Guardian Service блокируют их. При всех своих преимуществах, диск для виртуализации всего, создал очень большую проблему безопасности: виртуализация создает единую цель для потенциального нарушения безопасности. Когда хост запускает 50 виртуальных машин (VM) и атакуется, у вас есть настоящая проблема.

Один скомпрометированный хост компрометирует 50 виртуальных машин, работающих на нем, и теперь у вас есть то, что я с любовью называю моментом «святой»

Поскольку вы были виртуализированы, вы превратили целую кучу серверов и операционных систем в пару файлов, которые очень легко украсть.

В отрасли нужен способ защиты от онлайн-и оффлайн-атак, которые могут поставить под угрозу все фермы виртуальных машин. Microsoft проделала определенную работу в этой области в Windows Server 2016 с экранированной виртуальной машиной и ее сестринской службой Host Guardian Service (HGS).

Давайте посмотрим, что сделали люди в Редмонде

Безопасность при виртуализации

Давайте рассмотрим проблему как набор проблем, которые необходимо решить для решения безопасности для смягчения задач по виртуализации проблем.

  1. На любой платформе локальный администратор может делать что угодно в системе. Любой, что гость делает для защиты себя, например шифрование, может быть отменен локальным администратором. Это сопоставимо с центром обработки данных, где все списки управления доступом и причудливые вещи, которые вы делаете внутри операционной системы, запущенной на стойке сервера, не имеют значения, когда вы можете подключать инструменты для взлома в порт USB, загрузите его , и скопируйте все там. Или я могу снять систему со стойки, уехать с ней и загрузить ее дома. Даже шифрование диска может быть обойдено некоторыми из этих инструментов, введя вредоносное ПО в последовательности загрузки и краду ключей из памяти.
  2. Любые изъятые или зараженные учетные записи администратора хоста могут обращаться к гостевым виртуальным машинам.Как вы могли бы предсказать, плохие парни знают об этом и нацеливают этих людей на все более сложные фишинг-атаки и другие попытки получить привилегированный доступ. Ценными целями являются не отдельные настольные компьютеры и плохо защищенные домашние машины. Рынок хакерских атак созрел. Новые цели — это хосты VM в облачных центрах обработки данных, публичные и частные, с 10 или 15 гостями на них, почти всегда упакованные в жабры с важной информацией и учетными записями теневого администратора, которые контролируют эти хосты. Эта ткань виртуализации должна быть защищена, поскольку больше, чем просто администратор хоста, может нанести вред. С виртуальными машинами администратор сервера, администратор хранилища, сетевой администратор, оператор резервного копирования и администратор сети имеют практически неограниченный доступ.
  3. Виртуальные виртуальные машины-арендаторы, размещенные в инфраструктуре (ткани) облачного провайдера, подвергаются атакам хранения и сети, в то время как они незашифрованы. Вот два основных момента: во-первых, зашифрованный в покое, а не загруженный, бесполезен, когда ваша виртуальная машина заражена во время ее работы. Во-вторых, лучшие автономные средства защиты бесполезны для сетевых и хранилищ, которые выполняются во время работы машины.
    Поскольку технология в настоящее время стоит, невозможно идентифицировать законные хосты без проверки аппаратного обеспечения. Вы не можете сказать хороший хост от плохого хоста без какой-либо функции, отключающей свойство части кремния.

Ответ Microsoft на эти четыре вопроса является новым для Windows Server 2016 — экранированной виртуальной машиной и службой Guard Guard.

Что такое экранированная виртуальная машина (VM)?

Защищенная виртуальная машина защищает от проверки, кражи и вмешательства со стороны администраторов вредоносных программ и центров обработки данных, включая администраторов сетей, администраторов хранилищ, администраторов хоста виртуализации и других сетевых администраторов.

Позвольте мне объяснить, как работает экранированная ВМ: это VM поколения 2. Основной файл данных для виртуальной машины, файла VHDX, зашифровывается с помощью BitLocker, чтобы содержимое виртуальных дисков было защищено.

Большая проблема для преодоления заключается в том, что вы должны поместить ключ дешифрования где-нибудь. Если вы поместите ключ на хост виртуализации, администраторы могут просмотреть ключ, а шифрование бесполезно. Ключ должен храниться вне хоста в затененной области.

Читать еще:  Защита информации в операционных системах

Решение состоит в том, чтобы оснастить VM Generation 2 виртуальным доверенным платформенным модулем (vTPM) и обеспечить, чтобы vTPM защищал ключи шифрования BitLocker так же, как обычный кремниевый TPM обрабатывал ключи для дешифрования BitLocker на обычном ноутбуке.

Экранированные виртуальные машины запускаются на охраняемых хостах или обычных хостах Hyper-V, которые работают в виртуальном защищенном режиме — настройка, обеспечивающая защиту доступа к процессам и памяти от хоста путем установки крошечного анклава в сторону ядра.

(Он даже не запускается в ядре, и все, что он делает, разговаривает с службой-опекуном, чтобы выполнять инструкции по освобождению или удерживанию ключа дешифрования.)

Что такое служба Host Guardian?

Как VM знает, когда релиз ключа?

Введите службу Host Guardian Service (HGS), кластер машин, которые обычно предоставляют две службы:

  • аттестация, которая проверяет, что только доверенные хосты Hyper-V могут запускать экранированные виртуальные машины;
  • и Key Protection Service, которая имеет право освобождать или отклонять ключ дешифрования, необходимый для запуска экранированных виртуальных машин, о которых идет речь.

HGS проверяет экранированные виртуальные машины, проверяет ткань, на которой они пытаются начать и запускать, и говорит: «Да, это одобренная ткань, и эти хосты выглядят так, как будто они не были скомпрометированы. Выпустить Кракена! Я имею в виду ключи ».

Затем весь shebang расшифровывается и запускается на охраняемых хозяевах. Если какой-либо из этих сдержек и противовесов не удался, то ключи не освобождаются, дешифрование не выполняется, и экранированная виртуальная машина не запускается.

Как HGS знает, разрешено ли виртуальной машине работать на ткани? Создатель виртуальной машины — владелец данных — обозначает, что хост должен быть здоровым и пройти определенное количество проверок, чтобы иметь возможность запускать виртуальную машину.

HGS подтверждает работоспособность хоста, запрашивающего разрешение на запуск виртуальной машины до того, как он освободит ключи для дешифрования экранированной виртуальной машины. Защита также внедрена в аппаратное обеспечение, что делает их почти наверняка самым надежным решением на рынке сегодня.

Как создать экранированные виртуальные машины

Создание экранированных виртуальных машин не отличается от создания стандартной виртуальной машины. Реальная разница, помимо того, что это VM второго поколения, — это наличие защитных данных.

Экранирование данных — это зашифрованный кусок секретов, созданных на доверенной рабочей станции. Этот кусок секретов может включать учетные данные администратора, учетные данные RDP и каталог подписи томов, чтобы предотвратить вредоносное ПО на диске шаблона, из которого создаются будущие защищенные экранированные виртуальные машины.

Этот каталог помогает подтвердить, что шаблон не был изменен с момента его создания. Мастер, называемый мастером экранирующих файлов данных, позволяет создавать эти пакеты. Мастер создания защищенного шаблона позволяет сделать этот процесс более плавным.

Различия между экранированными и обычными виртуальными машинами

Экранная виртуальная машина действительно экранирована даже от администратора ткани до такой степени, что в диспетчере виртуальных машин System Center или даже в голой Hyper-V Manager вы просто не можете подключиться через консоль VM к экранированной виртуальной машине.

Вы должны использовать RDP и аутентифицироваться в гостевой операционной системе, где владелец виртуальной машины может решить, кому разрешено напрямую обращаться к сеансу консоли VM.

Администратор не получает автоматический доступ. Это фактически означает, что администратор гостевой операционной системы VM становится администратором виртуализации в экранированных сценариях VM, а не владельцем инфраструктуры хоста, как это было бы при типичном развертывании стандартной виртуализации.

Это делает экранированные виртуальные машины идеальным выбором для контроллеров домена, служб сертификации и любой другой виртуальной машины, выполняющей рабочую нагрузку с особенно высоким воздействием на бизнес. Эта передача возможностей администратора виртуализации ставит вопрос о том, что делать, а затем, когда виртуальная машина запущена, и вы больше не можете обращаться к ней по сети. Для этого нужен «ремонтный гараж».

Читать еще:  Как выключить яндекс защиту

Администратор может припарковать поврежденную виртуальную машину внутри другой экранированной виртуальной машины, которая является функциональной и использует вложенную виртуализацию (Hyper-V в Hyper-V) для ее запуска, подключается к экранированному гаражу ремонта по RDP, как и любая другая экранированная виртуальная машина, и выполняет ремонт вложенной нарушенной VM в безопасных пределах экранированного гаража VM.

После завершения ремонта администратор ткани может вернуть вновь отремонтированную виртуальную машину из экранированного ремонтного гаража и вернуть ее на защищенную ткань, как будто ничего не произошло. Защищенная среда может работать в нескольких режимах: во-первых, чтобы упростить первоначальное принятие, существует режим, в котором роль администратора ткани по-прежнему доверяют.

Вы можете настроить доверенность Active Directory и группу, в которой эти машины могут зарегистрироваться, а затем вы можете добавить в эту группу хост-машины Hyper-V для получения разрешения на запуск экранированных виртуальных машин. Это более слабая версия полной защиты, так как администратор доверен, и нет никаких проверенных прав на доверенность или аттестация для загрузки и целостности кода.

Полная версия — это когда вы регистрируете TPM хоста Hyper-V с помощью службы-хранителя хоста и устанавливаете политику целостности базового кода для каждого отдельного оборудования, которое будет размещать экранированные виртуальные машины.

С полной моделью администратору структуры не доверяют, доверие охраняемых хостов коренится в физическом TPM, и охраняемые хосты должны соблюдать политику целостности кода для ключей, чтобы расшифровать экранированные виртуальные машины, которые будут выпущены.

Другие замечания о том, как ведут себя экранированные виртуальные машины и требования к их запуску:

  • Охраняемые хосты требуют, чтобы вы выполняли выпуск Windows Server 2016 Datacenter edition — более дорогой, конечно. Эта функция не существует в стандартной версии.
  • Windows Nano Server поддерживается не только в этом сценарии, рекомендуется. Nano Server может быть гостевой операционной системой в защищенной виртуальной машине, а также обрабатывать охраняемую роль хоста Hyper-V, а также запускать HGS. Нано-сервер — отличный легкий выбор для двух последних ролей, на мой взгляд.
  • Экранированные виртуальные машины могут быть только виртуальными машинами поколения 2, что требует, чтобы гостевыми операционными системами были Windows 8 и Windows Server 2012 или новее (включая Windows 10, Server 2012 и R2 и Server 2016).
  • Вопреки тому, что вы думаете, vTPM не привязан к физическому TPM на любом конкретном сервере. Во-первых, надежное разделение физического TPM было бы реальной проблемой. Во-вторых, TPM должен перемещаться с виртуальной машиной, чтобы экранированные виртуальные машины поддерживали все возможности высокой доступности и отказоустойчивости (Live Migration и т. Д.), которые имеют обычные виртуальные машины.

Последнее слово

Стремление к виртуализации всех вещей оставило ключевой вектор атаки практически незащищенным до сих пор. Использование экранированных виртуальных машин добавляет супер-уровень безопасности к приложениям, которые у вас есть прямо сейчас, даже те, которые работают в Linux.

Безопасность виртуальных сред

Все больше компаний используют технологии виртуализации, и постепенно ИТ инфраструктура уходит в облако. И это не только размещение своих приложений в облаке, но и сокращение своих физических серверов за счет виртуальных.

По данным опроса «Лаборатории Касперского»:

  • 56% компаний уже используют;
  • 8% планируют внедрение в течение ближайшего года.

Виртуальные рабочие станции:

  • 25% компаний используют
  • 14% планируют внедрение в течение года.

В основном на виртуальных серверах размещают базы данных и другие критичные для компании приложения, следовательно, защита этих серверов от взлома и потери корпоративной информации становится немаловажной задачей.

Но основной принцип виртуализации – экономия физических ресурсов, становится не выполним, когда на виртуальные машины устанавливается такое же защитное решение, как и на физические серверы или компьютеры.

  • 82% внедрили лишь частичную защиту отдельных элементов своей виртуальной среды.
  • среди тех 18%, что приняли все возможные меры для защиты, 47% использует защитные решения для физических устройств.

Выбор защиты для виртуальных сред

С точки зрения виртуальной машины традиционный антивирус потребляет ресурсы системы крайне неэффективно.

Только что вышедшей из «сна» виртуальной машине требуется некоторое время для получения актуальных обновлений, что ставит под угрозу на это время ее информационную безопасность.

Читать еще:  Как включить защиту в реальном времени

Плюс сложности с распространением централизованных политик на виртуальных рабочих станциях, отсутствие поддержки специфичных технологий, например, функций контроля программ и устройств и веб-контроля.

Поэтому с появлением технологий виртуализации возникла потребность в другом подходе к защите. И сейчас уже существует несколько способов защищать виртуальные машины.

Безагентская защита.

Этот подход уже лучше, чем традиционные решения для защиты от вирусов – как специализированное решение для виртуализации, безагентский антивирус лишен перечисленных выше проблем.

При использовании безагентского антивируса администратору достаточно развернуть одну выделенную виртуальную машину безопасности, которая будет защищать все остальные виртуальные машины в рамках своего хоста.

Но данное решение работает только с платформой виртуализации VMware.

Поэтому производители антивирусов ограничены в данном подходе интеграционными технологиями VMware, которые не позволяют, например, осуществлять глубокое сканирование и проверку памяти.

Плюс данное решение не поддерживает технологии контроля программ, устройств и веб-ресурсов на виртуальных рабочих станциях.

«Легкий агент».

Именно поэтому в прошлом году «Лаборатория Касперского» представила новый специализированный продукт для защиты виртуальных сред, основанный на новом подходе – «Легкий агент».

По сути, это комбинация архитектур традиционных антивирусов и безагентских решений.

Как и в случае безагентского решения, у нас есть выделенная виртуальная машина безопасности, которая централизованно осуществляет все «тяжелые» операции: проверку, обновления и другие.

Отличие в том, что в дополнение к безагентской защите на каждую виртуальную машину (или шаблон) мы устанавливаем наш «Легкий агент».

Его присутствие не требует лишних ресурсов, но позволяет детально сканировать машину и применять дополнительные технологии, такие как контроль приложений и веб-ресурсов.

Kaspersky Security для виртуальных сред | «Легкий агент» работает не только на VMware, но и поддерживает платформы Microsoft Hyper-V и Citrix XenServer.

Kaspersky Security для виртуальных сред с технологией «Легкий агент» является единственным видом специализированной антивирусной защиты для Microsoft Hyper-V и Citrix XenServer, так как эти платформы не имеют возможности безагентского подключения.

«Лаборатория Касперского» дает следующую рекомендацию – если у вас виртуальные машины используются для важных приложений и имеют дополнительные направления для атаки (например, выход в Интернет на виртуальных рабочих станциях), то надежнее будет использовать технологию «Легкого агента».

Внедрение защиты

При установке защиты Kaspersky Security для виртуальных сред | Без агента сначала устанавливается консоль администрирования Kaspersky Security Center. Через нее (подключившись к vCenter Server) на хост устанавливается выделенная виртуальная машина защиты, которая и будет защищать все виртуальные машины в рамках этого хоста.

Для безагентской защиты требуется подготовленный хост, на нем должна работать технология VMware vShield Endpoint.

В случае «Легкого агента» процесс установки чуть более сложен, но схож на первом этапе: через консоль администрирования Kaspersky Security Center сначала потребуется установить и настроить выделенную виртуальную машины защиты на защищаемом хосте виртуализации.

При создании «виртуальной машины защиты» в случае XenServer и Hyper-V мы подключаемся напрямую к гипервизорам, а в случае vSphere подключаемся через vCenter Server.

После этого требуется внедрить легкий агент на постоянные виртуальные машины, либо, в случае непостоянных виртуальных машин, установить агент на шаблон.

Решение Kaspersky Security для виртуальных сред может устанавливаться удаленно и не требует перезагрузок при развертывании, что крайне важно для распределенных и критичных инфраструктур.

Если же говорить об управлении и настройке, то для этого в решении существует общая консоль администрирования — Kaspersky Security Center, через которую Вы сможете легко управлять защитой, если Вы уже знакомы с управлением защитным решением Kaspersky Security для бизнеса.

Более того, Вам будет удобно совмещать управление антивирусной защитой сразу в нескольких средах – например, на физических серверах и виртуальных рабочих станциях, общая логика и подход к настройкам будет совпадать.

Специфичных знаний по виртуализации Вам не потребуется. Но при установке Kaspersky Security для виртуальных сред понадобится специалист, умеющий работать с виртуализацией.

Ссылка на основную публикацию
Adblock
detector