Guía de planeamiento de máquinas virtuales blindadas y tejido protegido para inquilinos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Este tema se centra en los propietarios de máquinas virtuales que desean proteger sus máquinas virtuales (VM) con fines de cumplimiento y seguridad. Independientemente de si las máquinas virtuales se ejecutan en el tejido protegido de un proveedor de hospedaje o en un tejido protegido privado, los propietarios de máquinas virtuales deben controlar el nivel de seguridad de sus máquinas virtuales blindadas, lo que incluye mantener la capacidad de descifrarlas si fuera necesario.

Hay tres áreas que se deben tener en cuenta cuando se usan máquinas virtuales blindadas:

• El nivel de seguridad de las máquinas virtuales
• Las claves criptográficas usadas para protegerlas
• Datos del blindaje: información confidencial usada para crear máquinas virtuales blindadas

Nivel de seguridad de las máquinas virtuales

Al implementar máquinas virtuales blindadas, se debe seleccionar uno de los dos niveles de seguridad:

• Blindada
• Cifrado admitido

Las máquinas virtuales blindadas y compatibles con cifrado tienen un TPM virtual conectado a ellas y las que ejecutan Windows están protegidas por BitLocker. La principal diferencia es que las máquinas virtuales blindadas bloquean el acceso de los administradores del tejido, mientras que las máquinas virtuales que admiten el cifrado permiten a los administradores del tejido el mismo nivel de acceso que tendría que tener en una máquina virtual normal. Para más información sobre estas diferencias, consulte Introducción al tejido protegido y a las máquinas virtuales blindadas.

Elija Máquinas virtuales blindadas si desea proteger la máquina virtual de un tejido en peligro (incluidos los administradores en peligro). Deben usarse en entornos en los que ni los administradores del tejido ni el propio tejido son de confianza. Elija Máquinas virtuales que admiten cifrado si desea cumplir una barra de cumplimiento que podría requerir tanto el cifrado en reposo como el cifrado de la máquina virtual en la conexión (por ejemplo, durante la migración en vivo).

Las máquinas virtuales que admiten el cifrado son ideales en aquellos entornos en los que los administradores de tejido son de plena confianza, pero el cifrado sigue siendo un requisito.

Puede ejecutar una mezcla de máquinas virtuales normales, máquinas virtuales blindadas y máquinas virtuales que admiten el cifrado en un tejido protegido e incluso en el mismo host de Hyper-V.

Si una máquina virtual está blindada o admite el cifrado viene determinada por los datos de blindaje que se seleccionan al crearla. Los propietarios de máquinas virtuales configuran el nivel de seguridad al crear los datos de blindaje (consulte la sección Datos de blindaje). Tenga en cuenta que una vez realizada esta elección, no se podrá cambiar mientras la máquina virtual permanezca en el tejido de virtualización.

Claves criptográficas usadas para máquinas virtuales blindadas

Las máquinas virtuales blindadas están protegidas frente a los vectores de ataque del tejido de virtualización mediante discos cifrados y otros elementos cifrados que solo se pueden descifrar mediante:

• Una clave de propietario: se trata de una clave criptográfica mantenida por el propietario de la máquina virtual que normalmente se usa para la recuperación o solución de problemas del último recurso. Los propietarios de máquinas virtuales son los responsables de mantener las claves de propietario en una ubicación segura.
• Una o varias protecciones (claves de protección de host): cada protección representa un tejido de virtualización en el que un propietario autoriza la ejecución de máquinas virtuales blindadas. Las empresas a menudo tienen un tejido de virtualización principal y de recuperación ante desastres (DR), y lo habitual es que autoricen a sus máquinas virtuales blindadas a ejecutarse en ambos. En algunos casos, el tejido secundario (DR) lo puede hospedar un proveedor de nube pública. Las claves privadas de cualquier tejido protegido solo se mantienen en el tejido de virtualización, mientras que sus claves públicas se pueden descargar y se encuentran en su protección.

¿Cómo se crean las claves de propietario? Las claves de propietario se representan mediante dos certificados. Un certificado para el cifrado y otro para la firma. Para crear estos dos certificados puede usar su propia infraestructura se PKI u obtener certificados SSL de una entidad de certificación (CA) pública. Con fines de prueba, también puede crear un certificado autofirmado en cualquier equipo a partir de Windows 10 o Windows Server 2016.

¿Cuántas claves de propietario debe tener? Puede usar una o varias claves de propietario. Los procedimientos recomendados aconsejan utilizar una sola clave de propietario para un grupo de máquinas virtuales que comparten el mismo nivel de seguridad, confianza o riesgo y para el control administrativo. Puede compartir una sola clave de propietario para todas las máquinas virtuales blindadas unidas a un dominio y custodiar esa clave de propietario para que los administradores de dominio la administren.

¿Puedo usar mis propias claves para la protección del host? Sí, puede usar la opción "Bring Your Own" en el proveedor de hospedaje y usar esa clave para las máquinas virtuales blindadas. Esto le permite usar sus claves específicas (en lugar de la clave del proveedor de hospedaje), que se pueden usar cuando tenga una seguridad o normativa específicas que deba cumplir. Por higiene, las claves de protección del host deben ser diferentes de la clave de propietario.

Datos de blindaje

Los datos de blindaje contienen los secretos necesarios para implementar máquinas virtuales blindadas o que admiten cifrado. También se usa al convertir máquinas virtuales normales en máquinas virtuales blindadas.

Los datos de blindaje se crean mediante el Asistente para archivos de datos de blindaje y se almacenan en archivos PDK, que los propietarios de máquinas virtuales cargan en el tejido protegido.

Las máquinas virtuales blindadas facilitan la protección contra ataques de un tejido de virtualización en peligro, por lo que necesitamos un mecanismo seguro para pasar datos de inicialización confidenciales, como la contraseña del administrador, las credenciales de unión a un dominio o los certificados RDP, sin revelarlos al propio tejido de virtualización o a sus administradores. Además, los datos de blindaje contienen:

1. Nivel de seguridad: blindado o que admite cifrado
2. Propietario y lista de protecciones de host de confianza donde se puede ejecutar la máquina virtual
3. Datos de inicialización de la máquina virtual (unattend.xml, certificado RDP)
4. Lista de discos de plantillas firmadas de confianza para crear la máquina virtual en el entorno de virtualización

Al crear una máquina virtual blindada o que admita el cifrado, o al convertir una máquina virtual existente, se le pedirá que seleccione los datos de blindaje, en lugar de solicitarle información confidencial.

¿Cuántos archivos de datos de blindaje necesito? Se puede usar un único archivo de datos de blindaje para crear todas las máquinas virtuales blindadas. Sin embargo, si una máquina virtual blindada determinada requiere que cualquiera de los cuatro elementos sea diferente, se necesitará un archivo de datos de blindaje adicional. Por ejemplo, puede tener un archivo de datos de blindaje para el departamento de TI y otro para el departamento de RR. HH., ya que su contraseña de administrador inicial y los certificados de RDP son distintos.

Aunque es posible usar archivos de datos de blindaje independientes para cada máquina virtual blindada, no es necesariamente la mejor opción y debe hacerse por las razones adecuadas. Por ejemplo, si cada máquina virtual blindada necesita tener una contraseña de administrador diferente, considere la posibilidad de usar un servicio o una herramienta de administración de contraseñas como la Solución de contraseñas de administrador local (LAPS) de Microsoft.

Creación de una máquina virtual blindada en un tejido de virtualización

Hay varias opciones para crear una máquina virtual blindada en un tejido de virtualización (lo siguiente es válido tanto para máquinas virtuales blindadas como para máquinas virtuales que admiten el cifrado):

1. Crear una máquina virtual blindada en el entorno y cárguelo en el tejido de virtualización.
2. Crear una máquina virtual blindada a partir de una plantilla firmada en el tejido de virtualización.
3. Blindar una máquina virtual existente (la máquina virtual existente debe ser de segunda generación y debe usar Windows Server 2012, o cualquier versión posterior)

La creación de máquinas virtuales a partir de una plantilla es una práctica normal. Sin embargo, dado que el disco de plantilla que se usa para crear una máquina virtual blindada se encuentra en el tejido de virtualización, se necesitan medidas adicionales para asegurarse de que ningún administrador de tejido malintencionado ni el malware se ejecute en el tejido lo hayan alterado. Para resolver este problema se usan discos de plantilla firmados: los administradores de confianza o el propietario de la máquina virtual crean discos de plantilla firmados y sus firmas de disco. Cuando se crea una máquina virtual blindada, la firma del disco de plantilla se compara con las firmas que se encuentran en el archivo de datos de blindaje especificado. Si cualquiera de las firmas del archivo de datos de blindaje coincide con la del disco de plantilla, el proceso de implementación continúa. Si ninguna coincide, se anula el proceso de implementación, lo que garantiza que los secretos de la máquina virtual no correrán peligro debido a un disco de plantilla no confiable.

Cuando se usan discos de plantilla firmados para crear máquinas virtuales blindadas, hay dos opciones disponibles:

1. Use un disco de plantilla firmado existente proporcionado por el proveedor de virtualización. En este caso, el proveedor de virtualización mantiene discos de plantilla firmados.
2. Cargue un disco de plantilla firmado en el tejido de virtualización. El propietario de la máquina virtual es responsable de mantener los discos de plantilla firmados.