Компанія TechExpert розробила і організувала рішення для захисту віртуальних машин на основі сервісу шифрування Shielded VM (HGS) за типом TPM-trusted attestation від випадкових або навмисних дій адміністратора хоста та від шкідливого програмного забезпечення націленого на вилучення конфіденційної інформації Замовника в своїй інфраструктурі (на хостах віртуалізації).
Сервіс Shielded VM робить віртуальні обчислювальні ресурси ще більш захищеними. Він надає додатковий захист від крадіжки даних і несанкціонованого доступу до віртуальних машин з боку хмарних провайдерів та адміністраторів вашої IT інфраструктури.
Принципова схема рішення
Головним елементом рішення є спеціалізований сервер Host Guardian Service (HGS), який генерує і надає ключі для запуску і доступу до віртуальних машин, а також здійснює атестацію хоста Hyper-V. Перевірка TPM-trusted attestation проходить на основі ідентифікатора TPM, послідовності завантаження операційної системи і політики цілісності коду. HGS-сервер і захищений хост обмінюються інформацією по http / https протоколу. Зв’язок HGS-серверів з відмовостійкою інфраструктурою віртуалізації надається через захищену відмовостійку мережу з використанням технології VPN.
Схема роботи HGS
Shielded VM захищає шифруванням конфігураційні файли і системний диск віртуальної машини. Для шифрування інших дисків, які підключені до віртуальної машини, необхідно зашифрувати їх за допомогою BitLocker окремо всередині гостьової операційної системи.
Фактично, технологія Shielded VM ізолює віртуальні машини від хоста і гарантує, що на ньому працює тільки схвалений код. Віртуальні машини захищені від шкідливого коду на вузлі Hyper-V, а також несанкціонованих дій адміністратора.
Забезпечується захист від таких типів атак:
Реалізація технології Shielded VM в режимі TPM-trusted attestation вимагає підтримки крипто-процесора TPM 2.0 і UEFI 2.3.1.
Апаратний процес атестації виглядає так:
З огляду на специфіку рішення в розрізі безпеки і конфіденційності даних ми пропонуємо наших клієнтам можливість самостійно розгорнути рішення в IT-інфраструктурі свого підприємства на основі технічного проекту (інструкцій), який ми розробимо для вас. Проект описує процедури підготовки IT інфраструктури, встановлення та налаштування серверів HGS, розгортання і налаштування Shielded VM, необхідні інструкції для команди Замовника.