Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Nowe mechanizmy zabezpieczeń Hyper-V 2016. Infrastruktura usługowa przedsiębiorstwa

Data publikacji: 26-04-2016 Autor: Marek Pyka
Rys. 1. Konsola lokalna przy...
Rys. 2. Komunikat ochrony...
Rys. 3. Przebieg procesu...
Rys. 4. Shielded Virtual...

Rosnąca popularyzacja technologii wirtualizacji, zarówno w dużych, jak i małych firmach, doprowadziła do pojawienia się nowej klasy zagrożeń dla bezpieczeństwa infrastruktury IT. Administratorzy systemów wirtualizacji w data center posiadają uprawnienia kontroli niespotykane dotychczas w systemach informatycznych.

Wdrożenie usługi chronionych maszyn wirtualnych rozpoczniemy od przygotowania zaufanej infrastruktury data center (Guarded Fabric) bazującej na Microsoft Windows Server 2016 Hyper-V (środowisko przeznaczone do uruchamiania Shielded Virtual Machines). Przygotowując środowisko Hyper-V, zakładamy wykorzystanie modułów TPM w celu weryfikacji „legalności” maszyn. Należy podkreślić, że istnieje możliwość wdrożenia trybu attestation wyłącznie przy użyciu środowiska Active Directory (admin-trusted attestation). Tryb ten daje możliwość wykorzystania starszych hostów nie w pełni zgodnych z wymogami sprzętowymi, jednak poziom bezpieczeństwa środowiska jest wtedy niższy. Budując środowisko dla chronionych maszyn wirtualnych, przed rozpoczęciem prac należy podjąć też decyzję o wyborze trybu weryfikacji, gdyż (na chwilę obecną w Windows Server 2016 TP4) tryb mieszany nie jest obsługiwany przez rozwiązania Microsoft. Istnieje możliwość migracji z trybu admin-trusted do host-trusted, jednak wymaga to pełnej zgodności docelowego środowiska z trybem, do którego przeprowadzana jest migracja. Ze względu na nowe możliwości i większe bezpieczeństwo infrastruktury w artykule skupimy się na trybie z wykorzystaniem układów TPM.

> PRZYGOTOWANIE WĘZŁÓW HGS

W celu przygotowania węzłów dla usług Host Guardian Service (HGS) tworzymy i instalujemy odpowiednią rolę (w naszym wypadku przygotujemy wyłącznie pierwszy węzeł, gdyż procedura dodawania kolejnych jest identyczna). W tym celu, po zainstalowaniu Windows Server 2016, wywołujemy następujące polecenie PowerShell:

Install-WindowsFeature `
–Name HostGuardianServiceRole `
–IncludeManagementTools –Restart

Następnie po zainstalowaniu roli serwera należy zainstalować usługi Active Directory i zintegrować je z usługami Host Guardian Service. Do tego celu używamy następujących poleceń PowerShella:

$adminPassword = `
ConvertTo-SecureString -AsPlainText `
'P@ssw0rd!' –Force `
Install-HgsServer `
-HgsDomainName SecureITProf.demo' `
-SafeModeAdministratorPassword `
$adminPassword –Restart

Przeprowadzona instalacja kontrolera domeny wymaga restartu, po którym kolejnym krokiem jest przygotowanie wymaganych przez HGS certyfikatów. Usługi Host Guardian Service wymagają dwóch typów certyfikatów – podpisu komunikacji i ochrony kryptograficznej. Jeżeli organizacja posiada własną Infrastrukturę Klucza Publicznego, wymagane certyfikaty mogą być przez nią wystawione i wdrożone na węzłach HGS. W omawianym przypadku przygotujemy certyfikaty typu self-signed i wyeksportujemy je w celu instalacji w środowisku Guarded Fabric (ze względów bezpieczeństwa oraz elastyczności środowiska stosowanie certyfikatów typu self-signed nie jest zalecane w środowisku produkcyjnym). Do wygenerowania certyfikatów użyjemy poleceń PowerShella:

$certificatePassword = ConvertTo-SecureString `
-AsPlainText 'P@ssw0rd!' –Force

1.    Tworzymy i eksportujemy certyfikaty podpisu komunikacji:

$signingCert = `
New-SelfSignedCertificate -DnsName `
"signing.$env:userdnsdomain" – `
‘ CertStoreLocation `
Cert:\LocalMachine\My
Export-PfxCertificate -Cert `
$signingCert -Password `
$certificatePassword -FilePath `
'C:\Certyfikaty\HSGsigningCert.pfx'

2.    Tworzymy i eksportujemy certyfikaty ochrony kryptograficznej:

$encryptionCert = New-SelfSignedCertificate -DnsName `
"encryption.$env:userdnsdomain" -CertStoreLocation `
Cert:\LocalMachine\My
Export-PfxCertificate -Cert $encryptionCert -Password `
$certificatePassword -FilePath’ `
'C:\Certyfikaty\HSGencryptionCert.pfx'
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"