+38 (044) 596-00-68

TechExpert на страже конфиденциальных данных

ГлавнаяTechExpert на страже конфиденциальных данных

Цель проекта — разработать решение для защиты виртуальных машин от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения.

Задачи для исполнителя проекта

Компания TechExpert разработала и организовала решения для защиты виртуальных машин на основе сервиса шифрования Shielded VM (HGS) по типу TPM-trusted attestation от случайных или умышленных действий администратора хоста и от вредоносного программного обеспечения нацеленного на изъятие конфиденциальной информации. на хостах виртуализации). Сервис Shielded VM делает виртуальные вычислительные ресурсы еще более защищенными. Он предоставляет дополнительную защиту от кражи данных и несанкционированного доступа к виртуальным машинам со стороны облачных провайдеров и администраторов вашей IT инфраструктуры.

Технология

Принципиальная схема решения

image
Главным элементом решения является специализированный сервер Host Guardian Service (HGS), который генерирует и предоставляет ключи для запуска и доступа к виртуальным машинам, а также осуществляет аттестацию хоста Hyper-V. Проверка TPM-trusted attestation проходит на основе идентификатора TPM, последовательности загрузки операционной системы и политики целостности кода. HGS-сервер и защищенный хост обмениваются информацией по http/https протоколу. Связь HGS-серверов с отказоустойчивой инфраструктурой виртуализации предоставляется через защищенную отказоустойчивую сеть с использованием технологии VPN.

Схема работы HGS

image

Shielded VM защищает шифрование конфигурационные файлы и системный диск виртуальной машины. Для шифрования других дисков, подключенных к виртуальной машине, необходимо зашифровать их с помощью BitLocker отдельно внутри гостевой операционной системы. Фактически технология Shielded VM изолирует виртуальные машины от хоста и гарантирует, что на нем работает только одобренный код. Виртуальные машины защищены от вредоносного кода на узле Hyper-V, а также несанкционированных действий администратора.

Обеспечивается защита от таких типов атак

  • Кража VHDX системным администратором
  • Использование режима отладки в Hyper-V
  • Заражение хоста Hyper-V вредоносным кодом
  • Заражение шаблона диска виртуальной машины шаблона виртуальной машины
  • Несанкционированная попытка миграции Shielded VM

Реализация технологии Shielded VM в режиме TPM-trusted attestation требует поддержки крипто-процессора TPM 2.0 и UEFI 2.3.1.

Аппаратный процесс аттестации выглядит так

  • Запускается Shielded VM
  • Клиент инициирует протокол аттестации
  • Хост отправляет метрики и результаты контроля целостности кода
  • Утверждение метрик хоста
  • Хосту выдается подписанный сертификат аттестации. Тем самым разрешается запуск виртуальной машины

Компоненты и подсистемы разработаны на основе современного оборудования и программного обеспечения. В результате решения вы получаете надежную, защищенную IT инфраструктуру.

Преимущества внедрения решения

Учитывая специфику решения в разрезе безопасности и конфиденциальности данных, мы предлагаем нашим клиентам возможность самостоятельно развернуть решения в IT-инфраструктуре своего предприятия на основе технического проекта (инструкций), который мы разработаем для вас. Проект описывает процедуры подготовки IT инфраструктуры, установку и настройку серверов HGS, развертывание и настройку Shielded VM, необходимые инструкции для команды Заказчика.

Заявка на интеграцию