VM Blindada – Windows Server 2016



Direcionamento de carreira!


Faaaala galera, 100%?! Primeiro post aqui para o Cooperati. Um prazer enorme fazer parte desse time de especialistas!

Uma nova versão do Windows Server está saindo do forno. Uma das novidades que a versão 2016 traz, e que me chamou muito atenção chama-se “Shielded VM”. No bom e velho português, podemos chamar de “VM Blindada”ou “Blindagem de VM”

Então, você já deve ter se ligado que trata-se de algo relacionado a segurança das VMs, certo? Essa feature me chamou atenção por conta da proposta, por ser algo que eu não me atentava com muita frequência. Pense comigo: Se hoje você tem um parque de maquinas virtuais, significa que você possui vários arquivos VHD e/ou VHDx, right? Logo, você consegue pegar esse VHD e adiciona-lo a sua maquina como um disco virtual e dai fuçar tudo o que estiver dentro deste disco, certo?

Pegou onde está o problema? Imagine que algum infeliz mau intencionado invada, de forma física, seu DataCenter e copie seu File Server e seu AD, por exemplo. O que impedirá ele de conectar os VHDs em outro PC e fazer o que bem entender com seus dados?

Há Nathan, mas isso ai é viagem, eu tenho senhas, chave na porta, tranca com 5 segredos. OK, ok?! E se por acaso alguém interno fizer isso? Com a virtualização várias pessoas tem acesso a “n” tipos de servidores em seu ambiente virtual. E mais, lembre-se que com a virtualização seus servidores não passam de arquivos.

Detalhe  importante é que os riscos citados acima independem de fabricante, ok?

Cenário explicado, agora o nome do recurso faz mais sentido, certo?

O que esse carinha vai fazer é encriptar sua VM (proteção a nível de software), além de garantir que ela só execute em um host (ou  mais) que foi/foram designado(s )  para isso (proteção a nível de hardware).

A parte de encriptação é realizada com o já conhecido BitLocker. Se o VHD e/ou VHDx tentar ser acessado em um host diferente do que a VM foi provisionada uma senha será solicitada. Se não for fornecida, o acesso, obviamente não será concedido.

A parte da proteção a nível de hardware possui várias etapas, tentarei simplificar o máximo possível. Vamos utilizar a imagem abaixo como referencia:

image

Veja que possuímos dois Servidores no cenário, um deles executa a função de Host Guardian Server (HGS), esse carinha ai que detém as chaves que permitem ou não a execução de uma VM. Eles que vão garantir que sua VM não seja executada fora dos servidores que você determinar. O segundo server é um Hyper-V Server convencional.

O processo inicia-se com a solicitação de “Ligar” (power on) da VM01 (1). Quando um admin solicitar esse processo o Host enviará um requisição de atestado ao HGS, para que ele valide, aprove ou não (2).

Vamos imaginar que ocorreu aprovação (3), o HGS retornar o atestado dizendo: OK, essa VM está em nossa lista (4).

Agora o host precisa da chave para desbloquear a VM (lembra da encriptação?), mais uma solicitação é enviada ao HGS (5). Ele novamente verificará se a chave deve ou não ser liberada (6).

Com a aprovação (7), a chave é enviada de volta ao Host que desbloqueia a VM e permiti que a mesma seja ligada (8).

Show, né?! Isso tudo para garantir que os arquivos de suas maquinas virtuais estejam totalmente seguros! Obviamente o processo envolve muito mais coisa, ali no “meio de campo”, mas basicamente é assim que funciona.

Se quiser conhecer mais sobre, deixarei dois links ali abaixo…eles me ajudaram e vão te ajudar também, com toda certeza!

Grande abraço!!

Referencias:

A closer look at shielded VMs in Windows Server 2016

https://technet.microsoft.com/en-us/windows-server-docs/security/guarded-fabric-and-shielded-vms

https://blogs.technet.microsoft.com/datacentersecurity/2016/03/14/windows-server-2016-shielded-vms-protecting-tenant-secrets/

Nathan Pinotti

Nerd, apaixonado por TI (mais de infra lógica e gestão xD), coordenador e professor de curso superior acadêmico, MCP, MCTS, ITILv3, CAPM. Formado em redes de computadores com especializações em Gestão de Projetos e Docência. Atualmente atua nas comunidades técnicas moderando grupos (skype e telegram) e TechNet. Possui uma empresa atuante em projetos de Otimização de Ambientes de TI.

More Posts - Website

Follow Me:
TwitterFacebookYouTube