Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Nowe mechanizmy zabezpieczeń Hyper-V 2016. Infrastruktura usługowa przedsiębiorstwa

Data publikacji: 26-04-2016 Autor: Marek Pyka
Rys. 1. Konsola lokalna przy...
Rys. 2. Komunikat ochrony...
Rys. 3. Przebieg procesu...
Rys. 4. Shielded Virtual...

Rosnąca popularyzacja technologii wirtualizacji, zarówno w dużych, jak i małych firmach, doprowadziła do pojawienia się nowej klasy zagrożeń dla bezpieczeństwa infrastruktury IT. Administratorzy systemów wirtualizacji w data center posiadają uprawnienia kontroli niespotykane dotychczas w systemach informatycznych.

Wdrożenie usługi chronionych maszyn wirtualnych rozpoczniemy od przygotowania zaufanej infrastruktury data center (Guarded Fabric) bazującej na Microsoft Windows Server 2016 Hyper-V (środowisko przeznaczone do uruchamiania Shielded Virtual Machines). Przygotowując środowisko Hyper-V, zakładamy wykorzystanie modułów TPM w celu weryfikacji „legalności” maszyn. Należy podkreślić, że istnieje możliwość wdrożenia trybu attestation wyłącznie przy użyciu środowiska Active Directory (admin-trusted attestation). Tryb ten daje możliwość wykorzystania starszych hostów nie w pełni zgodnych z wymogami sprzętowymi, jednak poziom bezpieczeństwa środowiska jest wtedy niższy. Budując środowisko dla chronionych maszyn wirtualnych, przed rozpoczęciem prac należy podjąć też decyzję o wyborze trybu weryfikacji, gdyż (na chwilę obecną w Windows Server 2016 TP4) tryb mieszany nie jest obsługiwany przez rozwiązania Microsoft. Istnieje możliwość migracji z trybu admin-trusted do host-trusted, jednak wymaga to pełnej zgodności docelowego środowiska z trybem, do którego przeprowadzana jest migracja. Ze względu na nowe możliwości i większe bezpieczeństwo infrastruktury w artykule skupimy się na trybie z wykorzystaniem układów TPM.

> PRZYGOTOWANIE WĘZŁÓW HGS

W celu przygotowania węzłów dla usług Host Guardian Service (HGS) tworzymy i instalujemy odpowiednią rolę (w naszym wypadku przygotujemy wyłącznie pierwszy węzeł, gdyż procedura dodawania kolejnych jest identyczna). W tym celu, po zainstalowaniu Windows Server 2016, wywołujemy następujące polecenie PowerShell:

Install-WindowsFeature `
–Name HostGuardianServiceRole `
–IncludeManagementTools –Restart

Następnie po zainstalowaniu roli serwera należy zainstalować usługi Active Directory i zintegrować je z usługami Host Guardian Service. Do tego celu używamy następujących poleceń PowerShella:

$adminPassword = `
ConvertTo-SecureString -AsPlainText `
'P@ssw0rd!' –Force `
Install-HgsServer `
-HgsDomainName SecureITProf.demo' `
-SafeModeAdministratorPassword `
$adminPassword –Restart

Przeprowadzona instalacja kontrolera domeny wymaga restartu, po którym kolejnym krokiem jest przygotowanie wymaganych przez HGS certyfikatów. Usługi Host Guardian Service wymagają dwóch typów certyfikatów – podpisu komunikacji i ochrony kryptograficznej. Jeżeli organizacja posiada własną Infrastrukturę Klucza Publicznego, wymagane certyfikaty mogą być przez nią wystawione i wdrożone na węzłach HGS. W omawianym przypadku przygotujemy certyfikaty typu self-signed i wyeksportujemy je w celu instalacji w środowisku Guarded Fabric (ze względów bezpieczeństwa oraz elastyczności środowiska stosowanie certyfikatów typu self-signed nie jest zalecane w środowisku produkcyjnym). Do wygenerowania certyfikatów użyjemy poleceń PowerShella:

$certificatePassword = ConvertTo-SecureString `
-AsPlainText 'P@ssw0rd!' –Force

1.    Tworzymy i eksportujemy certyfikaty podpisu komunikacji:

$signingCert = `
New-SelfSignedCertificate -DnsName `
"signing.$env:userdnsdomain" – `
‘ CertStoreLocation `
Cert:\LocalMachine\My
Export-PfxCertificate -Cert `
$signingCert -Password `
$certificatePassword -FilePath `
'C:\Certyfikaty\HSGsigningCert.pfx'

2.    Tworzymy i eksportujemy certyfikaty ochrony kryptograficznej:

$encryptionCert = New-SelfSignedCertificate -DnsName `
"encryption.$env:userdnsdomain" -CertStoreLocation `
Cert:\LocalMachine\My
Export-PfxCertificate -Cert $encryptionCert -Password `
$certificatePassword -FilePath’ `
'C:\Certyfikaty\HSGencryptionCert.pfx'
 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"