Hyper-V – Zabezpieczanie hostów i maszyn wirtualnych

Nie ma wątpliwości, że obawy dotyczące bezpieczeństwa znajdują się na szczycie listy inicjatyw i obaw Administratorów IT, a także dyrektorów ds. informatyki i prezesów. Bezpieczeństwo to coś, co należy traktować poważnie, niezależnie od tego, jaki system lub platforma jest wykorzystywana w środowisku organizacji. Od początku wirtualizacji istniały obawy dotyczące rozdzielenia zasobów i uprawnień między systemem operacyjnym gościa a samym hostem i jego systemem operacyjnym. Ponadto istnieją obawy dotyczące rozdzielenia między systemami operacyjnymi gościa.

A co z komunikacją sieciową zarówno z perspektywy przechowywania, jak i zarządzania?
Lista obaw jest dość długa, jeśli chodzi o środowiska wirtualne.

Przyjrzymy się kilku zaleceniom dotyczącym zabezpieczenia systemów operacyjnych hosta i gościa Hyper-V przed zagrożeniami bezpieczeństwa i zwiększenia ogólnej postawy bezpieczeństwa środowiska Hyper-V.

Zabezpieczanie hostów Hyper-V

Zabezpieczenie samego hosta Hyper-V jest z pewnością ważnym aspektem zabezpieczenia całego środowiska Hyper-V. Jeśli atakujący naruszy hosta Hyper-V, kontrola nad całym środowiskiem wraz z systemami operacyjnymi gościa jest w tym momencie możliwa. Jest to więc krytyczny aspekt bezpieczeństwa w przypadku Hyper-V.

Opcje instalacji – Nano, Core, GUI

Podczas gdy wielu jest przyzwyczajonych i czuje się komfortowo administrując interfejsami graficznymi Windows Server, korzystanie z instalacji Windows Server z zainstalowanym interfejsem graficznym zapewnia atakującemu znacznie większą przestrzeń do naruszenia. Zainstalowanie interfejsu graficznego dla produkcyjnych hostów Hyper-V drastycznie obniża poziom bezpieczeństwa hosta, a także tworzy platformę, która wymaga znacznie większej liczby poprawek i innych potencjalnych poprawek dla różnych zagrożeń bezpieczeństwa.

Zainstalowanie małej instalacji Nano Server lub Core do hostowania roli Hyper-V jest znacznie lepszą opcją dla produkcyjnych środowisk Hyper-V. Zmniejsza to obszar systemu operacyjnego bez zainstalowanego interfejsu graficznego, co z kolei zmniejsza zagrożenia bezpieczeństwa i luki w zabezpieczeniach, które muszą zostać złagodzone lub załatane.

Klastry grup roboczych

W systemie Windows Server 2016 wprowadzono nową możliwość instalowania klastrów Hyper-V w grupach roboczych systemu Windows Server 2016. Otwiera to naprawdę dobry przypadek użycia ze względów bezpieczeństwa. Przed systemem Windows Server 2016 klastrowanie trybu failover nie było możliwe w przypadku grupy roboczej. W przypadku uruchamiania klastra Hyper-V niektórzy administratorzy Hyper-V byli zmuszeni utworzyć całkowicie oddzielną domenę, jeśli chcieli oddzielić środowisko Hyper-V od domeny produkcyjnej.

Dzięki nowej możliwości grupy roboczej w klastrach trybu failover systemu Windows Server 2016 administratorzy Hyper-V mogą teraz znacznie łatwiej oddzielić klastry Hyper-V od domeny produkcyjnej. W ten sposób, jeśli zostaną naruszone, domena produkcyjna nie będzie zagrożona. Jednak chociaż rola Hyper-V jest obsługiwana w konfiguracji klastra grupy roboczej, ma ona pewne zastrzeżenia, które należy odnotować. Jednym z głównych zastrzeżeń dotyczących klastra grupy roboczej, które mogą odstraszać od Hyper-V, jest to, że migracja na żywo nie jest obsługiwana w tej konfiguracji. Jednak szybka migracja jest obsługiwana.

Zarządzanie poprawkami

Utrzymywanie hostów Hyper-V w stanie zaktualizowanym, jest istotną częścią zabezpieczania środowiska Hyper-V. Hyper-V to nic więcej niż specjalna rola hostowana przez Windows Server. Mając to na uwadze, instalacja Windows Server Hyper-V wymaga instalacji poprawek, tak jak każdy inny Windows Server. Wdrożenie skutecznego schematu zarządzania poprawkami dla Windows Server Hyper-V jest niezbędne do utrzymania stabilności i bezpieczeństwa środowiska.

Używanie narzędzi, takich jak Windows Server Update Services wraz z aktualizacją uwzględniającą klastry z klastrem Windows Server Hyper-V umożliwia wdrożenie skutecznego i wydajnego systemu zarządzania poprawkami dla klastrów Hyper-V. Mechanizm aktualizacji uwzględniający klastry umożliwia znacznie bardziej płynny i zautomatyzowany sposób aktualizacji klastrów Hyper-V z wieloma hostami poprzez automatyczne opróżnianie ról i bezproblemową migrację maszyn wirtualnych na żywo w tym procesie.

Zabezpieczenie sieci

Wdrożenie bezpiecznych sieci dla różnego ruchu sieciowego to świetny sposób z perspektywy sieciowej na zabezpieczenie klastra Hyper-V. Korzystając z dostępnych narzędzi i wbudowanej sieci, którą zapewnia Hyper-V, ruch można prawidłowo segmentować. Zwrócenie uwagi na „hydraulikę” ruchu i zapewnienie, że ruch pamięci masowej jest izolowany w swojej własnej sieci, a także w sieci Live Migration, zapewnia, że ​​ruch pamięci masowej i ruch Live Migration nie przepływają tymi samymi ścieżkami, co inne usługi Hyper-V.

W przypadku maszyn wirtualnych przełączniki wirtualne Hyper-V mogą zapewnić segmentację tak jak każdy inny przełącznik fizyczny, stosując sieci VLAN do różnych połączeń. Następnie maszyny wirtualne można podłączyć do odpowiedniego przełącznika wirtualnego i odizolować od innego ruchu maszyn wirtualnych, który może być obsługiwany przez hosta Hyper-V.

Szyfrowanie dysku

W systemie Windows Server 2016 wprowadzono możliwość ochrony dysku systemu operacyjnego za pomocą szyfrowania dysku BitLocker dla maszyn wirtualnych generacji 1 wraz z już istniejącą możliwością dla maszyn wirtualnych generacji 2 za pomocą TPM. Jest to możliwe dzięki technologii Guarded Fabric, która wykorzystuje zarządzanie kluczami do odszyfrowania dysków maszyn wirtualnych i uruchomienia maszyny wirtualnej.

Zabezpieczanie maszyn wirtualnych Hyper-V

Przechodząc od hosta Hyper-V, zabezpieczenie maszyn wirtualnych Hyper-V jest również niezbędnym aspektem bezpieczeństwa Hyper-V. Systemy operacyjne gościa znajdujące się w maszynach wirtualnych produkcyjnych to zasoby, które dostarczają aplikacje krytyczne dla biznesu. Utrzymanie ich bezpieczeństwa pozwala chronić te kluczowe zasoby biznesowe przed naruszeniem.

Maszyna wirtualna generacji 2

Maszyna wirtualna Hyper-V Generacji 2 zapewnia najnowsze funkcje i funkcjonalności. Ponadto generacja 2 oferuje najlepsze funkcje bezpieczeństwa. Dzięki maszynom wirtualnym generacji 2 możesz skorzystać z funkcji bezpiecznego rozruchu, która pomaga zapobiegać uruchamianiu nieautoryzowanego oprogramowania układowego, systemów operacyjnych lub sterowników UEFI podczas rozruchu. Maszyny wirtualne generacji 2 można uruchamiać z dystrybucjami Windows lub GNU/Linux. Otwierają one dodatkowe funkcje bezpieczeństwa, w tym Trusted Platform.

Secure Boot

Funkcja bezpiecznego rozruchu pomaga zabezpieczyć środowisko rozruchowe maszyny wirtualnej Hyper-V, umożliwiając mechanizm bezpieczeństwa, który zapobiega wprowadzeniu nieautoryzowanego oprogramowania w momencie rozruchu.

Poprawki

Łatanie maszyn wirtualnych Hyper-V powinno być wykonywane zgodnie z harmonogramem, tak jak w przypadku każdego innego serwera Windows. Wiele organizacji korzysta z pewnego rodzaju rotacji, w której poprawki są najpierw udostępniane grupie testowej lub być może testowane w środowisku DEV/TEST przed udostępnieniem do produkcji. Przechowywanie maszyn wirtualnych Hyper-V do łatania jest niezbędne, aby zapewnić naprawienie odkrytych luk. Podobnie jak hosty Hyper-V, Administratorzy Hyper-V mogą korzystać z narzędzi, takich jak Windows Server Update Services lub WSUS, aby kontrolować i zatwierdzać poprawki dla systemów operacyjnych gościa Hyper-V.

Bezpieczna sieć

Hyper-V może obsługiwać wiele różnych sieci dla maszyn wirtualnych, z których każda może mieć różne tagi VLAN. Zapewnienie, że maszyny wirtualne Hyper-V są podłączone do właściwych przełączników wirtualnych i odpowiednio przypisane, jest koniecznym zadaniem konfiguracyjnym, ponieważ dotyczy nie tylko łączności, ale także bezpieczeństwa.

Zabezpieczenia oparte na wirtualizacji (VBS)

W systemie Windows 10 lub Windows Server 2016 Administratorzy Hyper-V mogą włączyć nową funkcję zabezpieczeń o nazwie Virtualization-based Security. Mechanizm ten tworzy odizolowany bezpieczny obszar pamięci od normalnego systemu operacyjnego. Pamięć ta jest następnie używana w wirtualnym trybie bezpiecznym, aby zapewnić zwiększoną ochronę przed lukami w systemie operacyjnym i zapobiec złośliwym atakom.

VBS używa hiperwizora systemu Windows do tworzenia wirtualnego trybu bezpiecznego, który chroni cenne zasoby zabezpieczeń, takie jak uwierzytelnione dane uwierzytelniające użytkownika. Nawet jeśli złośliwe oprogramowanie naruszy sam system operacyjny, VBS może znacznie ograniczyć zakres działań złośliwego oprogramowania w zakresie wykonywania kodu lub uzyskiwania dostępu do uwierzytelnionych danych uwierzytelniających.

Włączenie tego nowego mechanizmu w obsługiwanych systemach operacyjnych gościa w Hyper-V, w tym Windows 10 i Windows Server 2016, znacznie zwiększa ogólne bezpieczeństwo.

Podsumowanie

Bezpieczeństwo jest zazwyczaj najlepiej realizowane na wielu warstwach. Myśląc o Hyper-V, zabezpieczenie zarówno hosta, jak i systemów operacyjnych gościa zapewnia najlepszą ogólną postawę bezpieczeństwa w celu złagodzenia naruszeń z wielu źródeł. Wykorzystanie różnych najlepszych praktyk bezpieczeństwa na hoście, takich jak rozważenie instalacji hypervisora ​​w celu wykluczenia instalacji GUI z produkcji, korzystanie z klastrów grup roboczych, bezpiecznych sieci, zarządzania poprawkami, szyfrowania dysków i innych mechanizmów bezpieczeństwa, w dużym stopniu przyczynia się do zabezpieczenia hosta Hyper-V. W systemie operacyjnym gościa korzystanie z maszyn wirtualnych generacji 2, bezpiecznego rozruchu, zarządzania poprawkami, bezpiecznej sieci i zabezpieczeń opartych na wirtualizacji sprawia, że ​​atakujący lub złośliwe oprogramowanie mają znacznie większe trudności ze złamaniem zabezpieczeń systemów operacyjnych gości działających na Hyper-V. Bezpieczeństwo jest istotną częścią każdego wdrożenia Hyper-V. Korzystając z tych i innych mechanizmów, administratorzy Hyper-V mogą zapewnić stabilną, wydajną i bezpieczną platformę dla usług i aplikacji o znaczeniu krytycznym dla firmy.


Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT