Мета проекту – розробити рішення для захисту віртуальних машин від випадкових або навмисних дій адміністратора хоста та від шкідливого програмного забезпечення.

Задачі для виконавця проекту

Компанія TechExpert розробила й організувала рішення для захисту віртуальних машин на основі сервісу шифрування Shielded VM (HGS) за типом TPM-trusted attestation від випадкових або навмисних дій адміністратора хоста та від шкідливого програмного забезпечення націленого на вилучення конфіденційної інформації Замовника в своїй інфраструктурі (на хостах віртуалізації). Сервіс Shielded VM робить віртуальні обчислювальні ресурси ще більш захищеними. Він надає додатковий захист від крадіжки даних і несанкціонованого доступу до віртуальних машин з боку хмарних провайдерів та адміністраторів вашої IT інфраструктури.

Технологія

Принципова схема рішення

Головним елементом рішення є спеціалізований сервер Host Guardian Service (HGS), який генерує і надає ключі для запуску і доступу до віртуальних машин, а також здійснює атестацію хоста Hyper-V. Перевірка TPM-trusted attestation проходить на основі ідентифікатора TPM, послідовності завантаження операційної системи й політики цілісності коду. HGS-сервер і захищений хост обмінюються інформацією по http / https протоколу. Зв’язок HGS-серверів з відмовостійкою інфраструктурою віртуалізації надається через захищену відмовостійку мережу з використанням технології VPN.

Схема роботи HGS

Shielded VM захищає шифруванням конфігураційні файли й системний диск віртуальної машини. Для шифрування інших дисків, які підключені до віртуальної машини, необхідно зашифрувати їх за допомогою BitLocker окремо всередині гостьової операційної системи. Фактично, технологія Shielded VM ізолює віртуальні машини від хоста і гарантує, що на ньому працює тільки схвалений код. Віртуальні машини захищені від шкідливого коду на вузлі Hyper-V, а також несанкціонованих дій адміністратора.

Забезпечується захист від таких типів атак

  • Крадіжка VHDX системним адміністратором
  • Використання режиму налагодження в Hyper-V
  • Зараження хоста Hyper-V шкідливим кодом
  • Зараження шаблону диска віртуальної машини
  • Несанкціонована спроба міграції Shielded VM

Реалізація технології Shielded VM в режимі TPM-trusted attestation вимагає підтримки крипто-процесора TPM 2.0 і UEFI 2.3.1.

Апаратний процес атестації виглядає так

  • Запускається Shielded VM
  • Клієнт ініціює протокол атестації
  • Хост відправляє метрики і результати контролю цілісності коду
  • Затвердження метрик хоста
  • Хосту видається підписаний сертифікат атестації. Тим самим дозволяється запуск віртуальної машини

Компоненти та підсистеми спроектовані на основі сучасного обладнання та програмного забезпечення. В результаті впровадження рішення ви отримуєте надійну, захищену IT інфраструктуру.

Переваги впровадження рішення

З огляду на специфіку рішення в розрізі безпеки й конфіденційності даних ми пропонуємо наших клієнтам можливість самостійно розгорнути рішення в IT-інфраструктурі свого підприємства на основі технічного проекту (інструкцій), який ми розробимо для вас. Проект описує процедури підготовки IT інфраструктури, встановлення та налаштування серверів HGS, розгортання і налаштування Shielded VM, необхідні інструкції для команди Замовника.