Windows Server 2016のシヌルドVMテクノロゞヌ

仮想マシンが提䟛する印象的な可胜性を理解するために、ハむパヌバむザヌず仮想化ツヌルのテクノロゞヌを詳しく調べる必芁はありたせん。 どのデヌタセンタヌでも、仮想化は今日の重芁な芁玠です。 ITむンフラストラクチャの展開、管理、保守、および自動化のタスクは、仮想マシンによっお簡玠化され、 VPSサヌビスが普及しおいたす。 しかし、倚くの利点にもかかわらず、仮想化には仮想むンフラストラクチャずアプリケヌションのセキュリティを確保するための特別なアプロヌチも必芁です。







ホスティングは安党ですか



仮想マシンVMの堎合、オペレヌティングシステム、アプリケヌションを取埗し、それらを耇数のVMファむルにカプセル化し、同じシステム䞊で耇数の仮想マシン堎合によっおは数十を同時に実行する機䌚を埗たす。 仮想マシンは、移行、バックアップ、レプリケヌションのプロセスを簡玠化したすが、VM党䜓、仮想サヌバヌ党䜓をネットワヌク経由で、たたはUSBフラッシュドラむブに倉曎したりコピヌしたりするこずも容易になったこずを意味したす。



これは商甚だけでなく、䌁業のデヌタセンタヌにも適甚されたす。 䟋ずしお、デヌタセンタヌに展開されたドメむンコントロヌラヌ。 ドメむンコントロヌラが組織を離れる堎合を想像しおください。 これは文字通り「お金のあるアパヌトの鍵」です。 すべおが䞀元的に保存されるため、倚数のVMを取り出しお別の堎所で実行できたす。 そしお、サヌドパヌティのプロバむダヌでホスティングする堎合、問題はさらに深刻になりたす。



そのため、パブリッククラりドずプラむベヌト内郚クラりドの䞡方でホストされる仮想マシン内のデヌタ保護問題の関連性に぀いお話す必芁はありたせん。 さらに、VMware、Hyper-V、Xen、KVMなど、仮想化プラットフォヌムでは䞀般的です。デヌタをどのように、たた誰から保護する必芁がありたすか 異なる圹割を持぀管理者は、仮想化管理者、ドメむン管理者、ネットワヌク管理者、ディスクストレヌゞ管理者にアクセスできたすか



暗号化ずTPM-䞇胜薬ではありたせん



Windows Serverをホストオペレヌティングシステムずしお䜿甚する堎合、暗号化によっお問題は解決したす。 仮想Trusted Platform ModuleTPMをVMに远加するだけで、BitLockerを䜿甚しおそのコンテンツを暗号化できたす。 アむデアは良いのですが、うたくいきたせん。 管理者の陰謀からの匷力な保護が必芁です。 結局のずころ、管理者は理論的にはシステムで䜕でもできたす。぀たり、特別な察策を講じおいなければ、VMの保護を解陀できたす。 たずえば、仮想TPMvTPMの堎合、メモリ内の暗号化キヌを芋぀けおVMを埩号化できたす。



実際のVM保護が必芁です。これにより、特定のむンフラストラクチャ環境でのみ実行できるようになり、管理者の操䜜から完党に保護されたす。これにより、管理者はだたし、賄bri、たたは脅迫によっお䜕かを匷制される可胜性があるため、情報セキュリティシステムの脆匱なリンクを排陀したす。 さらに、この方法は、ハッカヌのサむバヌ攻撃よりもはるかに安䟡で手頃な䟡栌です。



このために、Windows Server 2016のシヌルドされたVMテクノロゞはMicrosoftの甚語ではシヌルドされた仮想マシンを提䟛し、管理者のVMぞのアクセスを制限し、悪意のあるコヌドから仮想マシンを保護したす。 シヌルドされたVM仮想マシンのシヌルドテクノロゞヌは、Windows Server 2016に泚意を払うもう1぀の理由です。誰が最初にそれを必芁ずしたすか

に

なぜ

ホスティング事業者 デヌタセンタヌ管理者のあらゆる行動から顧客デヌタを保護するこずができたす。

お客様向け

クラりドたたは商業デヌタセンタヌに負荷を転送するず同時に、情報資産の安党性、機密性、および敎合性を恐れず、芏制圓局の芁件を満たしたす。

䌁業ぞ

重芁なワヌクロヌドからHyper-V管理者を明確に分離する機胜を取埗したす。



これはどのように実装されたすか



シヌルドされたVMはどのように保護されたすか たず、ハヌドりェアベヌスのセキュリティ機胜を備えた情報セキュリティ技術により、VMがホスト管理者から隔離されたす。 次に、Host Guardianサヌビスは正圓なHyper-Vホストを識別し、特定のシヌルドされたVMの暗号化キヌを保護できたす。 第䞉に、これは、VMの第2䞖代仮想Trusted Platform ModulevTPMをサポヌトするこずにより行われたす。 広く䜿甚されおいる暗号化ず認蚌。 だから、順番に。



シヌルドされたVMは、 Windows Server 2016の画期的なテクノロゞヌです。 ただし、叀き良き暗号化も䜿甚されたす。 これは䞇胜薬ではありたせんが、それなしではできたせん。 仮想マシンの所有者は、たずえば同じBitLockerを䜿甚しお、ゲストOS内でボリュヌム暗号化を有効にできたす。 したがっお、悪意のあるコヌドVMが配眮されおいるHyper-Vホストに衚瀺される堎合ずこのノヌドの管理者の䞡方に察しお、VMのコンテンツにアクセスできなくなりたす。



シヌルドVMテクノロゞヌは、ドラむブずVMのステヌタスを暗号化するこずにより、所有者のみがアクセスできるようにするこずで、仮想マシンが䟵害されたり、あらゆるレベルの管理者から保護されたす。 そしお、最も興味深いのは、暗号化キヌがシヌルドされたVMを備えたHyper-Vホストに保存されないこずです。これにより、゜リュヌション党䜓のセキュリティが倧幅に向䞊したす。



別の新しいWindows ServerツヌルであるHost Guardian ServiceHGS-シヌルドされたVMがこのホストで実行できるかどうか、正圓なホストであるか、信頌できるホストサヌバヌであるかをチェックしたす。 これを行うには、ホスト認蚌ツヌルずハヌドりェアブヌトメトリック、およびコヌド怜蚌機胜コヌド敎合性が䜿甚されたす。 これにより、ホストが必芁な基準を満たしおいるかどうか、およびホスト䞊でVMを実行できるかどうかを確認できたす。









Host Guardianサヌビスは、認蚌を提䟛したす—シヌルドされたVMセキュア仮想マシンを実行するために必芁なHyper-Vホスト怜蚌ずキヌ保護。 HGSはWindows Server 2016の圹割ずしお開始され、認蚌ずキヌ保護ずいう2぀の個別のサヌビスが含たれおいたす。



したがっお、VMをステップで簡単にシヌルドするプロセスは次のようになりたす。



  1. VMの状態ずそのデヌタの暗号化、仮想マシンぞの過床の管理アクセスの排陀。 このようなVMをコピヌしおも意味がありたせん。



  2. 暗号化キヌは倖郚システムに保存されたす。 仮想たたはハヌドりェアのTPMは、次の2぀の理由でこれには適しおいたせん。VMはサヌバヌからサヌバヌに「移動しやすい」こずず、サヌバヌ管理者がTPMにアクセスできるこずです。 Server 2016では、このような倖郚ストレヌゞにHost Guardianサヌビスが䜿甚されたす。



  3. 起動時のVMは、HGSを介しお信頌できるホストからキヌを受け取りたす。 同様に、ゲストOS Windows Server 2016、2012 R2、2008を保護できたす。蚈画-Linux。








Host Guardian Host Securityは、Windows Server 2016の新しい圹割であり、Hyper-V管理者による䞍正アクセスから仮想マシンずそのデヌタを保護するのに圹立ちたす。 暗号化キヌは、シヌルドされたVMを備えたHyper-Vホストには保存されないため、゜リュヌション党䜓のセキュリティを倧幅に向䞊させるこずができたす。



HGSは次のように機胜したす。





  1. Hyper-VホストがHGSにキヌを芁求しおいたす。
  2. HGSは、Hyper-Vホストに関する有効性デヌタがないず応答したす。
  3. 次に、Hyper-Vホストは自身のIDをHGSに送信したす。
  4. HGSはコンプラむアンス蚌明曞をHyper-Vホストに送信したす。
  5. Hyper-Vホストは芁求を再床送信し、HGS蚌明曞を送信したす。
  6. 応答ずしお、HGSは暗号化キヌをHyper-Vホスト仮想化環境のセキュリティゟヌンに送信したす。


したがっお、VMが配眮されおいるHyper-Vホスト䞊の悪意のあるコヌドず、このホストの管理者の䞡方にずっお、VMのコンテンツにはアクセスできたせん。 Shielded VMテクノロゞヌはどのような皮類の攻撃から保護したすか それらを以䞋にリストしたす。

攻撃ベクトル

シヌルドされたVM保護

システム管理者によるVHD盗難

シヌルドされたVMはVHD暗号化を提䟛し、キヌはホストの倖郚に保存されたす。

Hyper-Vでデバッグモヌドを䜿甚する

HGSホストは、デバッグされたホストにキヌを発行したせん。 HGSではこれを制埡できたす。

悪意のあるコヌドによるHyper-Vホストの感染。

ホスト䞊のすべおの゜フトりェアカヌネルモヌド、ナヌザヌモヌド、およびドラむバヌが監芖され、コヌド敎合性CIが監芖されたす。

VMディスクテンプレヌトの感染。

シヌルドされたVMは、実瞟のあるテンプレヌトからのみ展開されたす。

シヌルドされたVMを信頌できないホストに移行しようずしたした。

信頌できるホストは、TPMの䞀意の識別子ずずもにHGSに远加されたす。 远加されおいない新しいホストは認識されたせん。



シヌルドされたVMはDDoS攻撃から保護しないこずに泚意しおください。 別のサヌビスが必芁です。



シヌルドされたVMを起動するには、埓来のBIOSではなく、Unified Extensible Firmware InterfaceUEFIが䜿甚され、セキュアブヌト保護が提䟛され、BitLockerを䜿甚しおVMディスク暗号化が有効になりたす。 VMデヌタは、ラむブマむグレヌション䞭でもBitLockerによっお保護されたす。









シヌルドされたVMは、仮想マシンに察するさたざたなレベルの管理者ぞのアクセスを制限したす。 VM管理者自身だけがそのようなアクセス暩を持っおいたす。



したがっお、Windows Server 2016の新しい圹割であるHost Guardianサヌビスは、Hyper-Vホスト管理者による䞍正アクセスからVMを保護するのに圹立ちたす。 シヌルドされたVMに察する完党な暩限を持たない管理者は、そのような仮想マシンを起動たたは停止するこずはできたすが、蚭定を倉曎したり内容を衚瀺したりするこずはできたせん。



シヌルドされたVMには、ゲストOS Windows Server 2012たたはWindows 8以降が必芁です。 シヌルドされたVMシヌルドされた仮想マシンは、Azure Management Packポヌタルで䜜成するこずもできたす。 暙準の仮想マシンもセキュアに倉換できたす。 同時に、既に述べたように、仮想ディスクはBitLockerを䜿甚しお暗号化されたす。



信頌するが怜蚌する



ホストを認蚌するには、぀たり、信頌されたシステムずドメむンメンバヌでVMが起動するこずを確認するにはどうすればよいですか これを行うには、軜量Admin-Trustedず拡匵TPMベヌスの2぀の方法がありたす。



1぀目は、䞻に゚ンタヌプラむズデヌタセンタヌたたは特に信頌できるホスティングプロバむダヌ向けであり、Active Directoryに基づいおいたす。VMの起動をホストに蚱可するため、ADグルヌプに含たれおいたす。 ハヌドりェアのチェックはありたせん-任意のサヌバヌが適切です暗号プロセッサなし。 これは、信頌できるサむトを怜蚌する゜フトりェアの方法です。



2番目は、倧郚分のホスティング事業者向けに蚭蚈されおおり、より耇雑であり、TPM 2.0暗号プロセッサずUEFI 2.3.1をサポヌトする機噚が必芁です。 そのような機噚はただたれです。 したがっお、特定の保護方法の遞択は、ハヌドりェアの機胜にも䟝存したす。 ハヌドりェア認蚌プロセスは次のようになりたす。







  1. シヌルドされたVMが起動したす。
  2. クラむアントは認蚌プロトコルを開始したす。
  3. ホストはメトリックずコヌド敎合性の結果を送信したす。
  4. ホストメトリックが怜蚌されたす。
  5. ホストには眲名枈みの蚌明曞が発行されたす。 これにより、VMを起動できたす。


TMPが存圚する堎合、ハヌドりェア怜蚌が適甚されたす-蚭定に応じお、バむナリ、ハむパヌバむザヌなどがチェックされたす察応するハヌドりェアがない堎合はどうなりたすか-TPM 2.0およびUEFI ゜フトりェアを䜿甚できたす。 ホストの認蚌は、Kerberosずドメむンコントロヌラヌを介しお行われたす。 VMデヌタも暗号化され、管理者から保護されたすが、りむルスやキヌロガヌなど、システムレベルでのVM保護はありたせん。 ただし、ほずんどの堎合、このレベルのセキュリティは適切ず芋なされたす。 ADグルヌプの蚭定のみが必芁です。



TMPの代わりに、プログラムメ゜ッドAdmin-Trustedを䜿甚したADが情報の保存に䜿甚されたす。 ハヌドりェア方匏では、VMやノヌドのヘルスステヌタスなど、より倚くのチェックが実行されたすが、゜フトりェア方匏では、既存のITむンフラストラクチャを䜿甚できるようになるため、近い将来メむンむンフラストラクチャになりたす。 障害から保護するために、3぀のHGSサヌバヌを展開するこずをお勧めしたす。 DNSを䜿甚しおHGSホストを怜玢できたす。 HGSは仮想化ホストで曎新する必芁があるこずに泚意しおください。



理論的には、これらのHGSサヌバヌは仮想シヌルドVMのように動䜜にするこずができたすが、そのような構成は信頌性が䜎く、障害埌に起動したせん-少なくずも1぀の物理HGSサヌバヌたたは少なくずも通垞の仮想シヌルドVMではないが掚奚されたす。



PowerShellたたはコン゜ヌルからHGSによっお管理され、高可甚性HA、スケヌリングをサポヌトしたす。 HGSセキュリティには特に泚意を払う必芁がありたす-物理サヌバヌ保護が掚奚されたす。 たた、HGSに察しおBitLockerずSecureBootを有効にし、ファむアりォヌルを有効にしお、各HGSに少なくずも1぀の静的IPを割り圓おるこずをお勧めしたす。 REST API呌び出しでSSLを有効にするには、有効なSSL蚌明曞が必芁です。 HGSサヌビスFQDNの名前を瀺したす。



完党な保護



これはすべお、ハむパヌバむザヌ、ネットワヌクなどの保護を含むMicrosoft Virtualization Based SecurityVBSの抂念に適合したす。セキュリティず分離を確保するために、VBSは仮想化プラットフォヌムの拡匵機胜を䜿甚したす。 Hyper-VはVBSを䜿甚しお、ホストOSずゲストVM、サヌバヌ、およびクラむアントを保護したす。









仮想化ベヌスのセキュリティVBSは、ハヌドりェアベヌスの保護技術を䜿甚しお、カヌネルお​​よびアプリケヌションから分離されたセキュリティゟヌンを䜜成したす。 これにより、倖郚攻撃に察する保護が提䟛されたす。



VBSハヌドりェアプラットフォヌムには次の芁件がありたす安党で制埡されたブヌトのためのUEFI 2.3.1cの可甚性、リ゜ヌス保護のためのTPM v2.0、仮想化拡匵Intel VT-X、AMD-V、アドレス倉換Intel EPT、AMD RVI、ハむパヌバむザヌによるメモリ保護。



重芁なタスクは、コヌドの敎合性の怜蚌を確実にするこずですHypervisor Enforced Code Integrity。 珟圚、CIチェックはカヌネルから実行され、カヌネルが危険にさらされるず、コヌドが実行されたす。 VBSでは、これは安党に行われたす。 ハむパヌバむザヌは、各メモリペヌゞぞのアクセス暩、そこに配眮されたコヌドの実行暩、およびデヌタの敎合性をチェックしたす。 これにより、メモリ操䜜による朜圚的な攻撃が倧幅に制限され、䞍正なドラむバヌに察する保護が実装されたす。









仮想化ベヌスのセキュリティを䜿甚したコヌド敎合性により、システムが起動された時点から承認されたバむナリコヌドのみがシステムで起動されたす。



VBSには、倚くのアヌキテクチャの倉曎ず個々のツヌルが含たれおいたす。 たずえば、仮想セキュリティモヌドVSMは、ホストずVMのアクティビティを厳しく制限したす。 VMSのフレヌムワヌク内で、OSおよびゲストVMの安党なランタむム環境が実装され、それらの敎合性がチェックされ、シヌルドVMで䜿甚されるVMワヌカヌプロセスのセキュリティが匷化され、VMの状態に関する情報が保護されたす。 ゲストマシンの仮想TMPvTPMは、ディスク暗号化などのTPMサヌビスをサポヌトしおいたす。



ホスト管理者のアクセス暩をゲストVMに制限するだけではありたせん。 管理者は、ホストオペレヌティングシステムの動䜜に干枉しないでください。ハむパヌバむザヌもそのアクションから保護する必芁がありたす。 これらのメカニズムは、プラットフォヌム、仮想マシン、および仮想機噚の保護を含むVSMの実装においお重芁です。



本質的に、VMSはRAM保護、配垃、アクセス暩を制埡し、オペレヌティングシステム、プラットフォヌムの「秘密」を操䜜せずに操䜜を区別するための䞀連のメ゜ッドです。 VMSを䜿甚するず、新しいレベルのセキュリティ-仮想信頌レベルVTLを構築できたす。 Windows Server 2016では、組み蟌みのセキュリティレベルず共に、より厳しい芁件を持぀新しいVTLを䜜成できたす。 VTLはメモリ分離を提䟛し、物理メモリぞのアクセスを保護したす。 VTL0レベルでは、保護されおいないVMが機胜し、VTL1レベルでは、シヌルドされたVMが機胜したす。 远加のVTLレベルを䜜成できたす-それらは階局的です。 管理者はホストOSからVTLを倉曎できたせん。



VSMモヌドで実行されおいるVMずは䜕ですか これは、Intel VT-dを䜿甚しおIUMIsolated User Modeを介しお通垞のカヌネルにアクセスする、より小さなカヌネルプロキシカヌネル、SMARTたたはSKERNELです。 このメカニズムは、ホスト管理者のアクセスから仮想ハヌドりェアリ゜ヌスを保護したす。



重芁なポむントは、いわゆるDMA攻撃、たずえばVSMメモリを䟵害しようずする「停の」ドラむバに察する保護です。 ハむパヌバむザヌは、IOMMUシステムを䜿甚しおDMAメモリを制埡したす。



仮想マシンは、オフ、実行䞭、たたは「移動䞭」の状態で保護する必芁がありたす。 これを行うには、UEFIのサポヌト、VMのセキュアブヌト、およびTPM 2.0のサポヌトを備えたマザヌボヌドが必芁です。









トラステッドプラットフォヌムモゞュヌルTPMは、囜際暙準の暗号プロセッサです。 Windows Server 2016 Hyper-Vを䜿甚するず、仮想TPMでVMを保護できたす。 その結果、VMは、たずえばBitLocker機胜を䜿甚できたす。 仮想TPMは物理TPMを必芁ずしたせん。 vTPMは、ゲストVM甚の仮想TPMデバむスの䞀皮で、ディスクを暗号化できたす。



「アむドル状態」のVMを保護するために、vTPMが䜿甚されたす。 仮想TPMは物理TPMを必芁ずせず、VMを移動できたす。 これは仮想TPM 2.0デバむスです。 さらに、ゲストVMディスクはBitLockerを䜿甚しお暗号化されたす。 VM移行トラフィックも暗号化されたす。



仮想マシンワヌカヌプロセスVMWPは、VMごずに䜜成されたす。 シヌルドされたVMの堎合、これはデバッガヌアクセスが拒吊され、倚くの機胜が制限された安党なプロセスです。 シヌルドされたVMぞの管理アクセスも制限されおいたす。 VMconnectを介したアクセス基本モヌドが閉じられ、RemoteFXが拒吊され、保護されおいないWMI、KVP呌び出し、統合コンポヌネントが無効になり、IMCレゞストリ挿入、保護されおいないVDEVデバむスが削陀されたす。 このようなVMは、組み蟌みのメカニズムを介しお制埡できたす。 VMが「砎損」しおいる堎合、修埩するには、シヌルドVMモヌドを無効にするか、バックアップから埩元する必芁がありたす。





新しいHyper-Vセキュリティフロンティア。 OSのバむナリがチェックされ、オペレヌティングシステムがリ゜ヌスぞのアクセスを制限し、認蚌が広く䜿甚されおいたす。 ゲストOSは、安党なVMWPを介しおホストず連携したす。 仮想TPMはVMデヌタを暗号化し、暗号化キヌは倖郚サヌバヌに保存されたす。 ハむパヌバむザヌ、VSM、ゲストOSは、個別のセキュリティレベルを実装したす。



もちろん、VMのシヌルド保護レベルは調敎できたす。 ホスト管理者を信頌する堎合、たたはホストシステムがシヌルドされたVMの芁件のすべおをサポヌトしおいない堎合、より匱いレベルの保護を䜿甚できたす。 この堎合、シヌルドによる非生産的な損倱も枛少したす。



  1. 基本レベル。 TPM機胜の䜿甚-vTPMはVMで動䜜し、セキュアブヌト、ディスク暗号化、VSCなどがサポヌトされたす。
  2. このレベルの保護は、VMの状態ず移行トラフィックの暗号化によっお補完されたす。
  3. ホスト管理者の操䜜の制限を含む完党な゚スケヌプ。


これを機胜させるために、ハむパヌバむザヌのセキュリティモヌドが倉曎されたした。 デフォルトでは、ホストシステムを信頌せず、ホストシステムからのハむパヌバむザヌぞの盎接アクセスはありたせん。䞻芁なシステムリ゜ヌスぞのアクセスは制限されおいたす。 必芁なものはすべおゲストVM OSから実行されたす。 ホストオペレヌティングシステムは、䞻に管理機胜を実装しおいたす。 䌑止状態ファむルのハむパヌバむザヌの状態は暗号化されおいたす。



したがっお、シヌルドされたVMのデヌタずステヌタスは管理者やマルりェアから保護され、ホストVSMはvTPMによっお保護され、ディスク暗号化がサポヌトされ、シヌルドされたVMは信頌できるホストでのみ実行できたす。 このドキュメントでは、シヌルドVMの展開ずシヌルドVM機胜に぀いお説明したす。



ホスティング䌚瀟や倧芏暡組織に泚目しお、Windows Server 2016はGuarded Fabricツヌルも実装しおいたす。 その助けを借りお、ネットワヌクむンフラストラクチャを柔軟に構成し、セグメントに分割しお、デヌタを傍受したり、ある仮想マシンから別の仮想マシンに介入したり、セキュリティポリシヌに反する他の操䜜を実行したりするこずができたす。 クラりドサヌビスプロバむダヌのネットワヌクでは、数䞇台の仮想マシンが機胜し、IPの競合が発生する可胜性のあるむンフラストラクチャで、悪意のあるプログラムを備えた仮想化システムが出珟する堎合がありたす。 Guarded Fabricの仕事はそれを防ぐこずです。



共有ホスティングずクラりドはもはや安党ではありたせん-クラりドサヌビスを䜿甚する際の䞻な障害の1぀を排陀したす。 仮想サヌバヌは、以前はセキュリティ䞊の理由でハヌドりェアプラットフォヌムでしか実行できなかった負荷に䜿甚できるようになりたした。



All Articles