Guide de planification d’une infrastructure protégée et de machines virtuelles dotées d’une protection maximale pour les locataires

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cette rubrique se concentre sur les propriétaires de machines virtuelles qui souhaitent protéger leurs machines virtuelles à des fins de conformité et de sécurité. Que les machines virtuelles s’exécutent sur l’infrastructure protégée d’un fournisseur d’hébergement ou sur une infrastructure protégée privée, les propriétaires de machines virtuelles doivent contrôler le niveau de sécurité de leurs machines virtuelles dotées d’une protection maximale, ce qui inclut leur déchiffrement si nécessaire.

Il existe trois domaines à prendre en compte quand vous utilisez des machines virtuelles dotées d’une protection maximale :

  • Niveau de sécurité des machines virtuelles
  • Clés de chiffrement utilisées pour les protéger
  • Données de protection : informations sensibles utilisées pour créer des machines virtuelles dotées d’une protection maximale

Niveau de sécurité des machines virtuelles

Durant le déploiement de machines virtuelles dotées d’une protection maximale, l’un des deux niveaux de sécurité suivants doit être sélectionné :

  • Protégé
  • Chiffrement pris en charge

Un module TPM virtuel est attaché aux machines virtuelles dotées d’une protection maximale et à celles qui prennent en charge le chiffrement. Celles qui exécutent Windows sont protégées par BitLocker. La principale différence vient du fait que les machines virtuelles dotées d’une protection maximale bloquent l’accès aux administrateurs d’infrastructure, alors que les machines virtuelles prenant en charge le chiffrement offrent aux administrateurs d’infrastructure le même niveau d’accès que pour une machine virtuelle classique. Pour plus d’informations sur ces différences, consultez Vue d’ensemble d’une infrastructure protégée et de machines virtuelles dotées d’une protection maximale.

Choisissez Machines virtuelles dotées d’une protection maximale si vous cherchez à protéger la machine virtuelle dans le cas d’une infrastructure compromise (ou contre des administrateurs compromis). Elles doivent être utilisées dans les environnements où les administrateurs d’infrastructure et l’infrastructure elle-même ne sont pas fiables. Choisissez Machines virtuelles prenant en charge le chiffrement si vous cherchez à respecter un seuil de conformité qui peut nécessiter à la fois le chiffrement au repos et le chiffrement en transit (par exemple durant une migration dynamique) de la machine virtuelle.

Les machines virtuelles prenant en charge le chiffrement sont idéales dans les environnements où les administrateurs d’infrastructure sont entièrement fiables, mais où le chiffrement reste une obligation.

Vous pouvez exécuter un mélange de machines virtuelles classiques, de machines virtuelles dotées d’une protection maximale et de machines virtuelles prenant en charge le chiffrement sur une infrastructure protégée, voire sur le même hôte Hyper-V.

Le choix entre une machine virtuelle dotée d’une protection maximale ou une machine virtuelle prenant en charge le chiffrement est déterminé par les données de protection sélectionnées au moment de la création de la machine virtuelle. Les propriétaires de machines virtuelles configurent le niveau de sécurité au moment de la création des données de protection (consultez la section Données de protection). Notez qu’une fois ce choix effectué, il ne peut plus être changé tant que la machine virtuelle reste sur l’infrastructure de virtualisation.

Clés de chiffrement utilisées pour les machines virtuelles dotées d’une protection maximale

Les machines virtuelles dotées d’une protection maximale sont protégées contre les vecteurs d’attaque de l’infrastructure de virtualisation à l’aide de disques chiffrés et de divers autres éléments chiffrés, qui ne peuvent être déchiffrés que par :

  • Une clé de propriétaire : il s’agit d’une clé de chiffrement conservée par le propriétaire de la machine virtuelle, qui est généralement utilisée pour une reprise d’activité de dernier recours ou la résolution des problèmes. Les propriétaires de machines virtuelles ont la responsabilité de conserver les clés de propriétaire dans un emplacement sécurisé.
  • Un ou plusieurs Service Guardian hôtes (clés associées à des Service Guardian hôtes) : chaque Service Guardian hôte représente une infrastructure de virtualisation dans laquelle un propriétaire autorise l’exécution des machines virtuelles dotées d’une protection maximale. Les entreprises disposent souvent d’une infrastructure de virtualisation principale et d’une infrastructure de reprise d’activité après sinistre. Elles autorisent généralement les machines virtuelles dotées d’une protection maximale à s’exécuter sur ces deux infrastructures. Dans certains cas, l’infrastructure secondaire (reprise d’activité après sinistre) peut être hébergé par un fournisseur de cloud public. Les clés privées d’une infrastructure protégée sont conservées uniquement dans l’infrastructure de virtualisation, alors que ses clés publiques peuvent être téléchargées et sont contenues dans son Service Guardian hôte.

Comment créer une clé de propriétaire ? Une clé de propriétaire est représentée par deux certificats. Un certificat pour le chiffrement et un certificat pour la signature. Vous pouvez créer ces deux certificats en utilisant votre propre infrastructure PKI, ou obtenir des certificats SSL auprès d’une autorité de certification (AC) publique. À des fins de test, vous pouvez également créer un certificat autosigné sur n’importe quel ordinateur à partir de Windows 10 ou Windows Server 2016.

Combien de clés de propriétaire devez-vous avoir ? Vous pouvez utiliser une seule clé de propriétaire ou plusieurs clés de propriétaire. Conformément aux bonnes pratiques, il est recommandé d’utiliser une seule clé de propriétaire pour un groupe de machines virtuelles partageant le même niveau de sécurité, d’approbation ou de risque ainsi qu’à des fins de contrôle administratif. Vous pouvez partager une même clé de propriétaire entre toutes vos machines virtuelles dotées d’une protection maximale, jointes à un domaine, et confier cette clé de propriétaire à des administrateurs de domaine pour qu’ils la gèrent.

Puis-je utiliser mes propres clés pour le Service Guardian hôte ? Oui, vous pouvez « apporter votre propre » clé au fournisseur d’hébergement, et l’utiliser pour vos machines virtuelles dotées d’une protection maximale. Vous pouvez ainsi utiliser vos propres clés au lieu de la clé du fournisseur d’hébergement. Cela peut être utile quand vous avez des règles de sécurité ou des réglementations spécifiques à respecter. Pour des raisons de sécurité, les clés associées à des Service Guardian hôtes doivent être différentes de la clé de propriétaire.

Données de protection

Les données de protection contiennent les secrets nécessaires au déploiement de machines virtuelles dotées d’une protection maximale ou prenant en charge le chiffrement. Elles sont également utilisées pour la conversion de machines virtuelles classiques en machines virtuelles dotées d’une protection maximale.

Les données de protection sont créées à l’aide de l’Assistant Fichier de données de protection, et sont stockées dans des fichiers PDK que les propriétaires de machines virtuelles chargent dans l’infrastructure protégée.

Les machines virtuelles dotées d’une protection maximale permettent de renforcer la protection contre les attaques provenant d’une infrastructure de virtualisation compromise. Nous avons donc besoin d’un mécanisme sécurisé pour passer les données d’initialisation sensibles, par exemple le mot de passe de l’administrateur, les informations d’identification de jonction de domaine ou les certificats RDP, sans les révéler à l’infrastructure de virtualisation elle-même ou à ses administrateurs. De plus, les données de protection contiennent les éléments suivants :

  1. Niveau de sécurité : protection maximale ou prise en charge du chiffrement
  2. Propriétaire et liste des Service Guardian hôtes approuvés, où la machine virtuelle peut s’exécuter
  3. Données d’initialisation de la machine virtuelle (unattend.xml, certificat RDP)
  4. Liste des disques de modèle signés et approuvés pour la création de la machine virtuelle dans l’environnement de virtualisation

Au moment de la création d’une machine virtuelle dotée d’une protection maximale ou prenant en charge le chiffrement, ou de la conversion d’une machine virtuelle existante, vous êtes invité à sélectionner les données de protection au lieu d’entrer les informations sensibles.

De combien de fichiers de données de protection ai-je besoin ? Un seul fichier de données de protection peut être utilisé pour créer chaque machine virtuelle dotée d’une protection maximale. Toutefois, si une machine virtuelle dotée d’une protection maximale impose un changement de l’un des quatre éléments, un fichier de données de protection supplémentaire est nécessaire. Par exemple, vous pouvez avoir un fichier de données de protection pour votre service informatique et un autre fichier de données de protection pour le service des ressources humaines (RH), car leur mot de passe d’administrateur initial et leurs certificats RDP diffèrent.

Bien qu’il soit possible d’utiliser des fichiers de données de protection distincts pour chaque machine virtuelle dotée d’une protection maximale, ce choix n’est pas forcément optimal et doit reposer sur de bonnes raisons. Par exemple, si chaque machine virtuelle dotée d’une protection maximale doit avoir un mot de passe d’administrateur distinct, utilisez plutôt un service ou un outil de gestion des mots de passe tel que LAPS (solution de mot de passe d’administrateur local) de Microsoft.

Création d’une machine virtuelle dotée d’une protection maximale sur une infrastructure de virtualisation

Il existe plusieurs options pour créer une machine virtuelle dotée d’une protection maximale sur une infrastructure de virtualisation (ce qui suit s’applique à la fois aux machines virtuelles dotées d’une protection maximale et aux machines virtuelles prenant en charge le chiffrement) :

  1. Créer une machine virtuelle dotée d’une protection maximale dans votre environnement, et la charger dans l’infrastructure de virtualisation
  2. Créer une machine virtuelle dotée d’une protection maximale à partir d’un modèle signé dans l’infrastructure de virtualisation
  3. Doter une machine virtuelle existante d’une protection maximale (la machine virtuelle existante doit être de génération 2 et doit exécuter Windows Server 2012 ou une version ultérieure)

La création de machines virtuelles à partir d’un modèle est une pratique normale. Toutefois, dans la mesure où le disque de modèle utilisé pour créer une machine virtuelle dotée d’une protection maximale réside sur l’infrastructure de virtualisation, des mesures supplémentaires sont nécessaires pour vérifier qu’il n’a pas été falsifié par un administrateur d’infrastructure malveillant ou par un programme malveillant s’exécutant sur l’infrastructure. Ce problème est résolu à l’aide des disques de modèle signés. Les disques de modèle signés et les signatures de disque correspondantes sont créés par des administrateurs fiables ou par le propriétaire de la machine virtuelle. Quand une machine virtuelle dotée d’une protection maximale est créée, la signature du disque de modèle est comparée aux signatures contenues dans le fichier de données de protection spécifié. Si l’une des signatures du fichier de données de protection correspond à la signature du disque de modèle, le processus de déploiement se poursuit. Si aucune correspondance n’est trouvée, le processus de déploiement est abandonné, ce qui permet de garantir que les secrets de machine virtuelle ne seront pas compromis en raison d’un disque de modèle non fiable.

Quand vous utilisez des disques de modèle signés pour créer des machines virtuelles dotées d’une protection maximale, vous disposez de deux options :

  1. Utiliser un disque de modèle signé existant, fourni par votre fournisseur de virtualisation. Dans ce cas, le fournisseur de virtualisation conserve les disques de modèle signés.
  2. Charger un disque de modèle signé dans l’infrastructure de virtualisation. Le propriétaire de la machine virtuelle est responsable de la conservation des disques de modèle signés.