Guia de planejamento de malha protegida e VM blindada para locatários
Este tópico se concentra em proprietários de VMs que gostariam de proteger suas VMs (máquinas virtuais) para fins de conformidade e segurança. Independentemente de as VMs serem executadas na malha protegida de um provedor de hospedagem ou em uma malha protegida privada, os proprietários de VMs precisam controlar o nível de segurança de suas VMs blindadas, o que inclui manter a capacidade de descriptografá-las, se necessário.
Deve-se considerar três áreas ao usar VMs blindadas:
- O nível de segurança para as VMs
- As chaves criptográficas usadas para protegê-las
- Blindagem de dados – informações confidenciais usadas para criar VMs blindadas
Nível de segurança para as VMs
Ao implantar VMs blindadas, um dos dois níveis de segurança deve ser selecionado:
- Blindado
- Criptografia com suporte
As VMs blindadas e compatíveis com criptografia possuem um TPM virtual conectado a elas e as que executam o Windows são protegidas pelo BitLocker. A principal diferença é que as VMs blindadas bloqueiam o acesso dos administradores de malha, enquanto as VMs compatíveis com criptografia permitem aos administradores de malha o mesmo nível de acesso que teriam a uma VM regular. Para obter mais detalhes sobre essas diferenças, consulte Visão geral de malha protegida e VMs blindadas.
Escolha VMs blindadas se você deseja proteger a VM de uma malha comprometida (incluindo administradores comprometidos). Eles devem ser usados em ambientes em que os administradores de malha e a própria malha não são confiáveis. Escolha VMs de criptografia com suporte se você quer atingir um barra de conformidade que pode exigir criptografia em repouso e criptografia da VM na transmissão (por exemplo, durante a migração dinâmica).
As VMs compatíveis com criptografia são ideais em ambientes em que os administradores de malha são totalmente confiáveis, mas a criptografia continua sendo um requisito.
Você pode executar uma combinação de VMs regulares, VMs blindadas e VMs compatíveis com criptografia em uma malha protegida e até mesmo no mesmo host do Hyper-V.
Os dados de blindagem selecionados ao criar a VM determinarão se ela será blindada ou compatível com criptografia. Os proprietários de VM configuram o nível de segurança ao criar os dados de blindagem (consulte a seção Proteger dados ). Observe que, depois dessa escolha, ela não poderá ser alterada enquanto a VM permanecer na malha de virtualização.
Chaves de criptografia usadas em VMs blindadas
As VMs blindadas são protegidas contra vetores de ataque de malha de virtualização usando discos criptografados e vários outros elementos criptografados que podem ser descriptografados apenas por:
- Uma chave de proprietário – essa é uma chave criptográfica mantida pelo proprietário da VM que normalmente é usada para recuperação de último recurso ou solucionar problemas. Os proprietários da VM são responsáveis por manter as chaves de proprietário em um local seguro.
- Um ou mais Guardiões (chaves do Guardião de Host) – cada Guardião representa uma malha de virtualização na qual um proprietário autoriza a execução de VMs blindadas. As empresas geralmente têm os dois, uma malha de virtualização primária e uma de recuperação de desastre (DR), e normalmente elas autorizam a execução de suas VMs blindadas em ambas. Em alguns casos, a malha secundária (DR) pode ser hospedada por um provedor de nuvem pública. As chaves privadas de uma malha protegida são mantidas apenas na malha de virtualização, enquanto as chaves públicas podem ser baixadas e contidas no Guardião dela.
Como fazer para criar uma chave de proprietário? Uma chave de proprietário é representada por dois certificados. Um certificado para criptografia e um certificado para assinatura. Você pode criar esses dois certificados usando sua própria infraestrutura de PKI ou obter certificados SSL de uma CA (autoridade de certificação pública). Para fins de teste, você também pode criar um certificado autoassinado em um computador começando com Windows 10 ou Windows Server 2016.
Quantas chaves de proprietário você deve ter? Você pode usar uma única chave de proprietário ou várias. As melhores práticas recomendam uma única chave de proprietário para um grupo de VMs que compartilham a mesma segurança, confiança ou nível de risco e para controle administrativo. Você pode compartilhar uma única chave de proprietário com todas as VMs blindadas ingressadas no domínio e segurar essa chave de proprietário a ser gerenciada pelos administradores de domínio.
Posso usar minhas próprias chaves para o Guardião de Host? Sim, você pode "Trazer sua própria" chave para o provedor de hospedagem e usar essa chave em suas VMs blindadas. Isso permite que você use suas chaves específicas (versus usando a chave do provedor de hospedagem) e pode ser usado quando você tiver segurança ou regulamentos específicos que você precisa cumprir. Para fins de higiene de chave, as chaves do Guardião de Host devem ser diferentes da chave de proprietário.
Dados de blindagem
Os dados de blindagem contêm os segredos necessários para implantar VMs blindadas ou compatíveis com criptografia. Eles também são usados ao converter VMs normais em VMs blindadas.
Os dados de blindagem são criados usando o Assistente de arquivo de dados de blindagem e são armazenados em arquivos PDK que os proprietários de VM carregam na malha protegida.
As VMs blindadas ajudam na proteção contra ataques de uma malha de virtualização comprometida, portanto, é necessário um mecanismo seguro para passar dados de inicialização confidenciais, como a senha do administrador, as credenciais de ingresso no domínio ou os certificados RDP, sem revelá-los para a própria malha de virtualização ou para seus administradores. Além disso, os dados de blindagem contêm o seguinte:
- Nível de segurança – blindada ou compatível com criptografia
- Proprietário e lista de Guardiões do Host confiáveis em que a VM pode ser executada
- Dados de inicialização de máquina virtual (unattend.xml, certificado RDP)
- Lista de discos de modelo assinados confiáveis para criar a VM no ambiente de virtualização
Ao criar uma VM blindada ou compatível com criptografia ou ao converter uma VM existente, será solicitado que você selecione os dados de blindagem em vez de fornecer as informações confidenciais.
Quantos arquivos de dados de blindagem são necessários? Um único arquivo de dados de blindagem pode ser usado para criar todas as VMs blindadas. Se, no entanto, uma determinada VM blindada exigir que um dos quatro itens seja diferente, será necessário obter mais um arquivo de dados de blindagem. Por exemplo, você pode ter um arquivo de dados de blindagem para seu departamento de TI e um arquivo de dados de blindagem diferente para o departamento de RH porque a senha inicial de administrador e os certificados RDP deles diferem.
Embora o uso de arquivos de dados de blindagem separados para cada VM blindada seja possível, essa não é necessariamente a opção ideal e deve ser feita pelos motivos certos. Por exemplo, se cada VM blindada precisar ter uma senha de administrador diferente, considere usar um serviço ou ferramenta de gerenciamento de senhas, como a LAPS (Solução de Senha de Administrador Local) da Microsoft.
Criação de uma VM blindada em uma malha de virtualização
Há várias opções para criar uma VM blindada em uma malha de virtualização (as expostas a seguir são relevantes tanto para VMs blindadas quanto para as compatíveis com criptografia):
- Criar uma VM blindada em seu ambiente e carregá-la na malha de virtualização
- Criar uma nova VM blindada a partir de um modelo assinado na malha de virtualização
- Proteger uma VM existente (a VM existente deve ser de geração 2 e deve estar executando o Windows Server 2012 ou posterior)
Criar novas VMs com base em um modelo é uma prática normal. No entanto, como o disco de modelo usado para criar uma VM blindada reside na malha de virtualização, são necessárias medidas adicionais para garantir que ela não tenha sido adulterada por um administrador de malha mal-intencionado ou por malware executando na malha. Esse problema é resolvido usando discos de modelo assinados. Discos de modelo assinados e suas assinaturas de disco são criados por administradores confiáveis ou pelo proprietário da VM. Quando uma VM blindada é criada, a assinatura do disco de modelo é comparada com as assinaturas contidas no arquivo de dados de blindagem especificado. Se alguma das assinaturas do arquivo de dados de blindagem corresponder à assinatura do disco de modelo, o processo de implantação continuará. Se nenhuma correspondência for encontrada, o processo de implantação será anulado, garantindo que os segredos da VM não sejam comprometidos devido a um disco de modelo não confiável.
Ao usar discos de modelo assinados para criar VMs blindadas, duas opções estão disponíveis:
- Use um disco de modelo assinado existente fornecido pelo seu provedor de virtualização. Nesse caso, o provedor de virtualização mantém discos de modelo assinados.
- Carregue um disco de modelo assinado na malha de virtualização. O proprietário da VM é responsável por manter discos de modelo assinados.