Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e
27.03.2019

Pożegnanie z systemem Windows...

System operacyjny Windows 7 wciąż cieszy się dużą popularnością wśród użytkowników...

Nowe mechanizmy zabezpieczeń Hyper-V 2016. Infrastruktura usługowa przedsiębiorstwa

Data publikacji: 26-04-2016 Autor: Marek Pyka
Rys. 1. Konsola lokalna przy...
Rys. 2. Komunikat ochrony...
Rys. 3. Przebieg procesu...
Rys. 4. Shielded Virtual...

Rosnąca popularyzacja technologii wirtualizacji, zarówno w dużych, jak i małych firmach, doprowadziła do pojawienia się nowej klasy zagrożeń dla bezpieczeństwa infrastruktury IT. Administratorzy systemów wirtualizacji w data center posiadają uprawnienia kontroli niespotykane dotychczas w systemach informatycznych.

Wdrożenie usługi chronionych maszyn wirtualnych rozpoczniemy od przygotowania zaufanej infrastruktury data center (Guarded Fabric) bazującej na Microsoft Windows Server 2016 Hyper-V (środowisko przeznaczone do uruchamiania Shielded Virtual Machines). Przygotowując środowisko Hyper-V, zakładamy wykorzystanie modułów TPM w celu weryfikacji „legalności” maszyn. Należy podkreślić, że istnieje możliwość wdrożenia trybu attestation wyłącznie przy użyciu środowiska Active Directory (admin-trusted attestation). Tryb ten daje możliwość wykorzystania starszych hostów nie w pełni zgodnych z wymogami sprzętowymi, jednak poziom bezpieczeństwa środowiska jest wtedy niższy. Budując środowisko dla chronionych maszyn wirtualnych, przed rozpoczęciem prac należy podjąć też decyzję o wyborze trybu weryfikacji, gdyż (na chwilę obecną w Windows Server 2016 TP4) tryb mieszany nie jest obsługiwany przez rozwiązania Microsoft. Istnieje możliwość migracji z trybu admin-trusted do host-trusted, jednak wymaga to pełnej zgodności docelowego środowiska z trybem, do którego przeprowadzana jest migracja. Ze względu na nowe możliwości i większe bezpieczeństwo infrastruktury w artykule skupimy się na trybie z wykorzystaniem układów TPM.

> PRZYGOTOWANIE WĘZŁÓW HGS

W celu przygotowania węzłów dla usług Host Guardian Service (HGS) tworzymy i instalujemy odpowiednią rolę (w naszym wypadku przygotujemy wyłącznie pierwszy węzeł, gdyż procedura dodawania kolejnych jest identyczna). W tym celu, po zainstalowaniu Windows Server 2016, wywołujemy następujące polecenie PowerShell:

Install-WindowsFeature `
–Name HostGuardianServiceRole `
–IncludeManagementTools –Restart

Następnie po zainstalowaniu roli serwera należy zainstalować usługi Active Directory i zintegrować je z usługami Host Guardian Service. Do tego celu używamy następujących poleceń PowerShella:

$adminPassword = `
ConvertTo-SecureString -AsPlainText `
'P@ssw0rd!' –Force `
Install-HgsServer `
-HgsDomainName SecureITProf.demo' `
-SafeModeAdministratorPassword `
$adminPassword –Restart

Przeprowadzona instalacja kontrolera domeny wymaga restartu, po którym kolejnym krokiem jest przygotowanie wymaganych przez HGS certyfikatów. Usługi Host Guardian Service wymagają dwóch typów certyfikatów – podpisu komunikacji i ochrony kryptograficznej. Jeżeli organizacja posiada własną Infrastrukturę Klucza Publicznego, wymagane certyfikaty mogą być przez nią wystawione i wdrożone na węzłach HGS. W omawianym przypadku przygotujemy certyfikaty typu self-signed i wyeksportujemy je w celu instalacji w środowisku Guarded Fabric (ze względów bezpieczeństwa oraz elastyczności środowiska stosowanie certyfikatów typu self-signed nie jest zalecane w środowisku produkcyjnym). Do wygenerowania certyfikatów użyjemy poleceń PowerShella:

$certificatePassword = ConvertTo-SecureString `
-AsPlainText 'P@ssw0rd!' –Force

1.    Tworzymy i eksportujemy certyfikaty podpisu komunikacji:

$signingCert = `
New-SelfSignedCertificate -DnsName `
"signing.$env:userdnsdomain" – `
‘ CertStoreLocation `
Cert:\LocalMachine\My
Export-PfxCertificate -Cert `
$signingCert -Password `
$certificatePassword -FilePath `
'C:\Certyfikaty\HSGsigningCert.pfx'

2.    Tworzymy i eksportujemy certyfikaty ochrony kryptograficznej:

$encryptionCert = New-SelfSignedCertificate -DnsName `
"encryption.$env:userdnsdomain" -CertStoreLocation `
Cert:\LocalMachine\My
Export-PfxCertificate -Cert $encryptionCert -Password `
$certificatePassword -FilePath’ `
'C:\Certyfikaty\HSGencryptionCert.pfx'
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"