Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Общие сведения о защиты виртуальных машин и охраняемые fabric

Ryan Puffer|Последнее обновление: 13.01.2017
|
1 Участник

Применимо к: Windows Server 2016 г.

Общие сведения о структуре охраняемые

Виртуализация безопасности — это область основных инвестиций в Windows Server 2016 Hyper-V. В дополнение к защите от вредоносных программ под управлением виртуальной машины узлы или других виртуальных машин, мы также необходимо защитить взломанного главном виртуальных машин. Поскольку на виртуальной машине — только файл, защиты виртуальных машин можно защитить его от атак посредством системы хранения данных, сеть, или во время резервного копирования. Это основной опасность для каждой платформы виртуализации сегодня, будь то Hyper-V, VMware или любого другого. Довольно просто Если на виртуальной машине получает из организации (намеренно или случайно), виртуальной машины можно запустить на любой другой системе. Защита ресурсов высокое значение в вашей организации, таких как контроллеры домена, конфиденциальные файловые серверы и систем HR имеет наивысший приоритет.

Для защиты от взломанного fabric Windows Server 2016 Hyper-V представляет защиты виртуальных машин. Экранированные виртуальной Машины — поколение 2 виртуальной Машины (поддерживается в Windows Server 2012 и более поздних версиях) виртуальный доверенного платформенного МОДУЛЯ, зашифрован с помощью BitLocker и можно только работать на работоспособном и утвержденных узлов в инфраструктуре. Экранированные виртуальных машин и поставщиков охраняемые fabric включить облачных служб или Администраторы предприятия частных облаков для обеспечения более безопасной среды для клиента виртуальных машин.

Охраняемые fabric состоит из:

  • 1 служба узла опекуна (HGS) (как правило, кластера 3 узлы)
  • 1 или более охраняемые узлов
  • Набор защиты виртуальных машин. На схеме ниже показано, как службу опекуна узла использует аттестации, чтобы убедиться, что запущена только известных, допустимые узлы защиты виртуальных машин и защиты ключа безопасного выпускать ключи для защиты виртуальных машин.

Когда клиента создает экранированные виртуальных машин, которые могут работать на охраняемые fabric, HGS узлы Hyper-V и защиты виртуальных машин сами защищены. HGS предоставляет два различных службы: аттестации и ключ защиты. Служба аттестации гарантирует, что доверенных узлов Hyper-V может работать защиты виртуальных машин, хотя ключи, необходимые для их включиться и live перенесены на другие узлы охраняемые предоставляет службу защиты ключа.

Охраняемые узла fabric

Видео: Введение в защите виртуальных машин в Windows Server 2016 г.

INtroduction защите виртуальных машин с видео

Режимы аттестации защищены Fabric решения

HGS поддерживает два режима различных аттестации охраняемые fabric:

  • Доверенный платформенный МОДУЛЬ аттестации (на основе оборудования)
  • Доверенные администратора аттестации (на основе Active Directory)

Так как он предлагает надежные гарантии, как описано в следующей таблице, но требует наличия TPM 2.0 узлы Hyper-V рекомендуется аттестации доверенного платформенного МОДУЛЯ. Если вы в данный момент нет TPM 2.0, можно использовать доверенные администратора аттестации. Если вы решите переместить в аттестации доверенного платформенного МОДУЛЯ, при получении нового оборудования, можно переключать режим аттестации на службу опекуна узла со слабым сигналом или без перерывов в вашей инфраструктуре.

Аттестация режим, который вы выбираете для узловГарантии узла
Доверенный платформенный МОДУЛЬ аттестации: обеспечивает надежную защиту возможные, но требует больше шаги конфигурации. Главный оборудования и встроенного по должны включить TPM 2.0 и UEFI 2.3.1 с включенной безопасной загрузкой.Охраняемые узлов, которые можно запустить защиты виртуальных машин, утвержденные на основе их TPM удостоверение, измеряемая загрузка последовательности и политик целостности кода, чтобы убедиться, что эти узлы выполняются только утвержденные кода.
Доверенные администратора аттестации: предназначены для поддержки существующее оборудование узла, где отсутствует TPM 2.0. Требуется меньше действий конфигурации и совместим с оборудование распространенным сервера.Охраняемые узлов, которые можно запустить защиты виртуальных машин утверждены службой опекуна узла, на основе членства в группе безопасности доменных служб Active Directory (AD DS).

Гарантии, предоставленный службой опекуна узла

HGS, а также методы для создания защите виртуальных машин, помогающие следующие гарантии.

Тип Software assurance для виртуальных машинИзолирована гарантии виртуальной Машины из службы защиты ключа и методов создания для защиты виртуальных машин
Зашифрованных с помощью BitLocker дисков (дисков операционной системы и диски с данными)Экранированные виртуальных машин с помощью BitLocker для защиты дисков. Ключи BitLocker, необходимые для загрузки виртуальной Машины и расшифровать диски защищены с помощью виртуальных TPM экранированные виртуальной Машины с помощью проверенное отрасли технологии, например безопасный измеряемая загрузка. Хотя защиты виртуальных машин только автоматически шифрования и защиты диска операционной системы, вы можете шифрования дисков с данными также присоединенные экранированные виртуальной машине.
Развертывание нового защиты виртуальных машин из шаблона «доверенных» диски и изображенийПри развертывании новых защите виртуальных машин указать, какие диски шаблона, они доверяют могут клиентов. Экранированные шаблона диски имеют подписи, которые вычисляются в определенный момент времени, когда их содержимое считается доверенным. Подписи дисков затем сохраняются в каталоге подписи, содержащие клиентов безопасно для структуры при создании защите виртуальных машин. Во время подготовки защиты виртуальных машин, подпись диска заново вычислен и по сравнению с доверенными подписями в каталоге. Если подписи совпадают, развертывается экранированные виртуальной Машины. Если подписи не совпадают, диск экранированные шаблон считается недоверенный и развертывание завершается ошибкой.
Защита паролей и другими секретами при создании экранированные виртуальной МашиныПри создании виртуальных машин, необходимо убедиться, что секреты виртуальной Машины, например подписи доверенного дисков, RDP сертификаты и пароль виртуальной Машины учетной записи локального администратора, не являются доступ к структуре. Эти секреты хранятся в зашифрованном файле под названием предотвращения файл данных (. PDK-файл), которой защищен с помощью клавиш клиента и передаются в структуре с клиентом. При создании виртуальной Машины экранированные клиента выбирает предотвращения данных для безопасного обеспечивает эти секреты только в доверенных компоненты в охраняемые инфраструктуре.
Управление клиента начала виртуальной МашиныТакже защиту данных содержит список охраняемые матрица, на которых разрешен запуск конкретного экранированные виртуальной Машины. Это удобно, например, в случаях, когда экранированные виртуальной Машины обычно находится в локальных частных облаков но возможно, потребуется перенести на другой облака (открытый и закрытый) для целей аварийного восстановления. Облако целевой или fabric должны поддерживать защиты виртуальных машин и экранированные виртуальной Машины необходимо разрешить fabric, чтобы запустить его.

Что защиту данных и почему не требуется?

Предотвращения файл данных (также называемые подготовки файл данных или PDK) — это зашифрованный файл, который создает клиента или владельца виртуальной Машины для защиты важных виртуальной Машины сведения о конфигурации, такие как пароль администратора, протокол удаленного рабочего СТОЛА и другие связанные с идентификаторами сертификаты учетные данные для присоединения к домену и т. д. Администратор fabric использует файл предотвращения данных при создании экранированные виртуальной Машины, но не может использовать сведения, содержащиеся в файле.

В частности предотвращения файлы данных содержать секреты такие как:

  • Учетные данные администратора
  • (unattend.xml) файла ответов
  • Политики безопасности, которая определяет виртуальных машин созданный с помощью этого защиту данных настроены как изолирована или шифрование поддерживается
    • Помните, что настроен как защите виртуальных машин защищены от fabric «Администраторы», тогда как шифрование поддерживается виртуальных машин, не
  • Сертификат RDP для защиты удаленного рабочего стола связь с виртуальной Машины
  • Каталог подписи тома, который содержит список подписи надежных, подписанный шаблон дисков, которые может быть создан из новой виртуальной Машины
  • Средство защиты ключа (или КЛЮЧЕВОГО), определяющий какие охраняемые матрица экранированные виртуальной Машины разрешено запускать на

Предотвращения данных файла (PDK) предоставляет гарантии, что виртуальная Машина будет создана образом клиенте предназначен. Например, когда клиента помещает (unattend.xml) файл ответов в предотвращения файл данных и обеспечивает его для размещения поставщика, поставщик не может просматривать или вносить изменения в этот файл ответов. Аналогичным образом поставщик не может заменить различных VHDX при создании экранированные виртуальной Машины, так как предотвращения файл данных содержит подписи доверенного диски, защите виртуальных машин могут быть созданы из.

На следующем рисунке показан предотвращения файл данных и связанные элементы конфигурации.

Защиту файлов данных

Что такое типы виртуальных машин, которые могут работать охраняемые fabric?

Охраняемые матрица, способных выполнять виртуальных машин в одном из трех возможных способов:

  1. Обычный виртуальной Машины, предлагая без защиты помимо предыдущих версий Hyper-V
  2. Шифрование поддерживается VM, защиту которого можно настроить, администратор fabric
  3. Экранированные виртуальной Машины, защиту которого переключения на и не может быть отключен путем администратора fabric

Шифрование поддерживается виртуальных машин предназначены для использования которой fabric Администраторы обладают полным доверием. Например предприятия могут развертывать охраняемые fabric для убедитесь, что виртуальная Машина диски зашифрованные в состоянии покоя для соблюдения требований. Fabric администраторы могут продолжать использовать удобные средства управления, такие подключения консоли виртуальной Машины, прямая PowerShell и других ежедневных управления и средства устранения неполадок.

Экранированные виртуальных машин предназначены для использования в матрица, где данные и состояние виртуальной машины должен быть защищен от обоих администраторов fabric и ненадежных программное обеспечение, которое может выполняться на узле Hyper-v. Например защиты виртуальных машин никогда не разрешать подключения консоли виртуальной Машины в то время как администратор fabric можно включить эту защиту или отключить для виртуальных машин шифрование поддерживается.

В таблице ниже приведены различия между поддерживается шифрования и защиты виртуальных машин.

ВозможностьШифрование поколения 2 поддерживаетсяПоколения 2 изолирована
Безопасная загрузкаДа, требуется но настраиваемойДа, требуется и принудительно
VtpmДа, требуется но настраиваемойДа, требуется и принудительно
Шифровать состояние виртуальной Машины и динамической миграцииДа, требуется но настраиваемойДа, требуется и принудительно
Компоненты интеграцииНастраиваемая администратором fabricНекоторые компоненты интеграции заблокированы (например обмена данными, PowerShell прямое)
Подключение к виртуальной машине (консоль), устройств HID (например, клавиатура, мышь)Не может быть отключеноЗначение «отключено» (не может быть включена)
COM и последовательным портамПоддерживаетсяЗначение «отключено» (не может быть включена)
Подключите отладчик (к процессу виртуальной Машине)ПоддерживаетсяЗначение «отключено» (не может быть включена)

Шифрование поддерживается виртуальных машин и защиты виртуальных машин продолжать поддерживать распространенным fabric возможности управления, например Live миграции, реплики Hyper-V, контрольные точки виртуальной Машины и т. д.

Службы опекуна узла в действии: как включен экранированные виртуальной Машины

Защиту файлов данных

  1. VM01 включен.

    Перед охраняемые узла можно питания на виртуальной Машине экранированные, его необходимо сначала утвердительно проверить то, что это работоспособным. Чтобы доказать, что он является работоспособным, он должен предоставить сертификата о работоспособности службы защиты ключа (KPS). В процессе аттестации получения сертификата о работоспособности.

  2. Аттестация запросы узла.

    Охраняемые узла запросов аттестации. Режим аттестации определяется службы опекуна узла:

    Доверенные администратора аттестации: билет Kerberos, определяющий группы безопасности, которые главному отправляет узла Hyper-V. Проверяет HGS узел принадлежит группа безопасности, которой был настроен ранее администратором доверенных HGS

    Доверенный платформенный МОДУЛЬ аттестации: узел отправляет информацию, включая:

    • Идентификация TPM сведения (его ключа подтверждения)
    • Сведения о процессов, запущенных во время последовательности загрузки последних (журнал организации TCG)
    • Сведения о политике целостности кода (целостности кода), был применен на узле

      С помощью аттестации доверенного администратора работоспособности узла определяется исключительно ее членства в группе безопасности.

      В аттестации доверенного платформенного МОДУЛЯ измерения узла загрузки и политику целостности кода определить его работоспособности.

      Аттестация происходит при запуске узла и последующей каждые 8 часов. Если по какой-либо причине узел не сертификата при попытке запуска виртуальной Машины, это также инициирует аттестации.

  3. Аттестация успешно (или не удается).

    Служба аттестации аттестации режим используется для определения, какие проверки, ее необходимо сделать (членства и измерения загрузки и т. д.) чтобы утвердительно (успешно) подтверждающим узла.

  4. Сертификат аттестации отправлено для размещения.

    При условии, что аттестации был выполнен успешно, сертификат работоспособности отправляется на узел, и узел считается «, защищены» (авторизованных для запуска виртуальных машин экранированные). Узел использует сертификат работоспособности для авторизации службы защиты ключа безопасного выпуск клавиш, необходимых для работы с защиты виртуальных машин

  5. Запросы на виртуальной Машине сервера службы управления ключами.

    Охраняемые узла нет ключи, необходимые для питания на виртуальной Машине экранированные (VM01 в данном случае). Чтобы получить необходимые ключи, охраняемые узла необходимо предоставить следующие KPS:

    • Текущий сертификат работоспособности
    • Зашифрованный секретный ключ (предохранитель ключа или КЛЮЧЕВОГО), содержащий ключи, необходимые для включения VM01 питания. Секретный код шифруется с помощью других ключей, которые знает только KPS.
  6. Выпуск ключа.

    KPS проверяет сертификат работоспособности, чтобы определить срок его действия. Сертификат должен не истек и KPS должны доверять служба аттестации выдавшего его.

  7. Ключ возвращается для узла.

    Если действительный сертификат работоспособности, KPS пытается расшифровать секрет и безопасно вернуть ключи, необходимые для питания на виртуальной Машине. Обратите внимание, шифровать ключи VBS охраняемые узла.

  8. Включает питание узла VM01.

Охраняемые fabric и экранированные глоссарий виртуальной Машины

ТерминОпределение
Служба опекуна узла (HGS)Роль сервера Windows, установленной на защищенной кластера серверов, восстановление исходного состояния системы, может оценить работоспособность узла Hyper-V и освобождать ключи на работоспособном узлы Hyper-V включением или живой миграция защите виртуальных машин. Эти две возможности, лежащих в основе экранированные решение виртуальной Машины и называются службы аттестации и служба защиты ключа соответственно.
охраняемые узлаУзла Hyper-V, на котором может работать защиты виртуальных машин. Узел можно считать только , защищены при его были считается работоспособным службой аттестации HGS. Экранированные виртуальных машин не может быть включении или живой переведены на узле Hyper-V, прошло не еще аттестацию или неудачных аттестации.
охраняемые fabricЭто общая термин используется для описания fabric узлов Hyper-V и их службы опекуна узла, которая позволяет управлять и запуск защиты виртуальных машин.
Экранированные виртуальной машины (VM)На виртуальной машине, можно выполнять только на узлы, защищены и защиту от взлома, проверки и кражи от вредоносных программ вредоносных fabric Администраторы и узла.
Fabric администратораАдминистратор общими или частными облака, можно управлять виртуальными машинами. В контексте охраняемые fabric администратора fabric не имеет доступа к защите виртуальных машин или политик, которые определяют, какие узлы защите виртуальных машин могут выполняться.
Администратор HGSДоверенным администратором в облаке общими или частными, имеющей полномочия для управления политиками и криптографические материал для охраняемые узлов, то есть узлы, на которых может запускаться экранированные виртуальной Машины.
Подготовка файлов данных или защиту данных файла (PDK)Зашифрованный файл, клиента или пользователя создается для хранения важные сведения о конфигурации на виртуальной Машине и защитить эти данные от доступа другими пользователями. Например файл предотвращения данных может содержать пароль, который будет назначен для учетной записи локального администратора, при создании виртуальной Машины.
Безопасность на основе виртуализации (VBS)Hyper-V на основе обработки и хранения среды в Windows Server 2016 будет защищен от администраторов. Виртуальным безопасным режимом позволяет системе для хранения ключей операционной системы, которые не отображаются до администратора операционной системы.
виртуальный доверенного платформенного МОДУЛЯВиртуализированные версия доверенного платформенного модуля (TPM). В Windows Server 2016 с ролью Hyper-V, вы можете предоставить виртуального устройства TPM 2.0, чтобы виртуальные машины могут быть зашифрованы, так же, как физический доверенного платформенного МОДУЛЯ позволяет шифровать физический компьютер.

См. также:

© 2017 Microsoft