Bagikan melalui

Panduan Perencanaan VM Guarded Fabric dan Shielded untuk Penyewa

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Topik ini berfokus pada pemilik VM yang ingin melindungi komputer virtual (VM) mereka untuk tujuan kepatuhan dan keamanan. Terlepas dari apakah VM berjalan pada fabric yang dijaga penyedia hosting atau fabric yang dijaga privat, pemilik VM perlu mengontrol tingkat keamanan VM terlindungi mereka, yang termasuk mempertahankan kemampuan untuk mendekripsinya jika diperlukan.

Ada tiga area yang perlu dipertimbangkan saat menggunakan VM terlindungi:

  • Tingkat keamanan untuk VM
  • Kunci kriptografi yang digunakan untuk melindunginya
  • Melindungi data—informasi sensitif yang digunakan untuk membuat VM terlindungi

Tingkat keamanan untuk VM

Saat menyebarkan VM terlindungi, salah satu dari dua tingkat keamanan harus dipilih:

  • Terlindung
  • Enkripsi Didukung

Baik VM terlindungi maupun yang didukung enkripsi memiliki TPM virtual yang melekat padanya dan yang menjalankan Windows dilindungi oleh BitLocker. Perbedaan utamanya adalah bahwa VM terlindung memblokir akses oleh administrator fabric sementara VM yang didukung enkripsi mengizinkan administrator fabric tingkat akses yang sama seperti yang mereka miliki ke VM biasa. Untuk detail selengkapnya tentang perbedaan ini, lihat Ringkasan fabric terlindungi dan VM terlindungi.

Pilih VM Terlindungi jika Anda ingin melindungi VM dari fabric yang disusupi (termasuk administrator yang disusupi). Mereka harus digunakan di lingkungan di mana administrator fabric dan fabric itu sendiri tidak dipercaya. Pilih Enkripsi VM yang Didukung jika Anda ingin memenuhi bilah kepatuhan yang mungkin memerlukan enkripsi saat tidak aktif dan enkripsi VM pada kabel (misalnya, selama migrasi langsung).

VM yang didukung enkripsi sangat ideal di lingkungan di mana administrator fabric sepenuhnya tepercaya tetapi enkripsi tetap menjadi persyaratan.

Anda dapat menjalankan campuran VM reguler, VM terlindungi, dan VM yang didukung enkripsi pada fabric yang dijaga dan bahkan pada host Hyper-V yang sama.

Apakah VM dilindungi atau didukung enkripsi ditentukan oleh data perisai yang dipilih saat membuat VM. Pemilik VM mengonfigurasi tingkat keamanan saat membuat data perisai (lihat bagian Melindungi data ). Perhatikan bahwa setelah pilihan ini dibuat, pilihan ini tidak dapat diubah saat VM tetap berada di kain virtualisasi.

Kunci kriptografi yang digunakan untuk VM terlindungi

VM terlindungi dilindungi dari vektor serangan fabrik virtualisasi menggunakan disk terenkripsi dan berbagai elemen terenkripsi lainnya yang hanya dapat didekripsi oleh:

  • Kunci Pemilik - ini adalah kunci kriptografi yang dikelola oleh pemilik VM yang biasanya digunakan untuk pemulihan atau pemecahan masalah terakhir resor. Pemilik VM bertanggung jawab untuk mempertahankan kunci pemilik di lokasi yang aman.
  • Satu atau beberapa Guardian (kunci Host Guardian) – setiap Guardian mewakili fabric virtualisasi tempat pemilik mengotorisasi VM terlindung untuk dijalankan. Perusahaan sering memiliki fabrik virtualisasi primer dan pemulihan bencana (DR) dan biasanya akan mengotorisasi VM terlindung mereka untuk berjalan pada keduanya. Dalam beberapa kasus, fabric sekunder (DR) mungkin dihosting oleh penyedia cloud publik. Kunci privat untuk setiap kain yang dijaga hanya dipertahankan pada fabric virtualisasi, sementara kunci publiknya dapat diunduh dan terkandung dalam Guardian-nya.

Bagaimana cara membuat kunci pemilik? Kunci pemilik diwakili oleh dua sertifikat. Sertifikat untuk enkripsi dan sertifikat untuk penandatanganan. Anda dapat membuat kedua sertifikat ini menggunakan infrastruktur PKI Anda sendiri atau mendapatkan sertifikat SSL dari otoritas sertifikat publik (CA). Untuk tujuan pengujian, Anda juga dapat membuat sertifikat yang ditandatangani sendiri di komputer apa pun yang dimulai dengan Windows 10 atau Windows Server 2016.

Berapa banyak kunci pemilik yang harus Anda miliki? Anda dapat menggunakan satu kunci pemilik atau beberapa kunci pemilik. Praktik terbaik merekomendasikan kunci pemilik tunggal untuk sekelompok VM yang memiliki tingkat keamanan, kepercayaan, atau risiko yang sama, dan untuk kontrol administratif. Anda dapat berbagi satu kunci pemilik untuk semua VM terlindungi yang bergabung dengan domain dan escrow kunci pemilik yang akan dikelola oleh administrator domain.

Dapatkah saya menggunakan kunci saya sendiri untuk Host Guardian? Ya, Anda dapat kunci "Bring Your Own" ke penyedia hosting dan menggunakan kunci tersebut untuk VM terlindungi Anda. Ini memungkinkan Anda untuk menggunakan kunci spesifik Anda (vs. menggunakan kunci penyedia hosting) dan dapat digunakan ketika Anda memiliki keamanan atau peraturan tertentu yang perlu Anda patuhi. Untuk tujuan kebersihan utama, kunci Host Guardian harus berbeda dari kunci Pemilik.

Melindungi data

Melindungi data berisi rahasia yang diperlukan untuk menyebarkan VM yang dilindungi atau didukung enkripsi. Ini juga digunakan saat mengonversi VM reguler ke VM terlindungi.

Melindungi data dibuat menggunakan Wizard File Data Perisai dan disimpan dalam file PDK yang diunggah pemilik VM ke fabric yang dijaga.

VM terlindungi membantu melindungi dari serangan dari fabrik virtualisasi yang disusupi, jadi kami memerlukan mekanisme yang aman untuk meneruskan data inisialisasi sensitif, seperti kata sandi administrator, kredensial gabungan domain, atau sertifikat RDP, tanpa mengungkapkannya ke fabrik virtualisasi itu sendiri atau kepada administratornya. Selain itu, melindungi data berisi hal-hal berikut:

  1. Tingkat keamanan – Dilindungi atau didukung enkripsi
  2. Pemilik dan daftar Wali Host tepercaya tempat VM dapat berjalan
  3. Data inisialisasi komputer virtual (unattend.xml, sertifikat RDP)
  4. Daftar disk templat tepercaya yang ditandatangani untuk membuat VM di lingkungan virtualisasi

Saat membuat VM yang dilindungi atau didukung enkripsi atau mengonversi VM yang ada, Anda akan diminta untuk memilih data perisai alih-alih dimintai informasi sensitif.

Berapa banyak file data perisai yang saya butuhkan? Satu file data perisai dapat digunakan untuk membuat setiap VM terlindungi. Namun, jika VM terlindung yang diberikan mengharuskan salah satu dari empat item berbeda, maka file data perisai tambahan diperlukan. Misalnya, Anda mungkin memiliki satu file data perisai untuk departemen TI Anda dan file data perisai yang berbeda untuk departemen SDM karena kata sandi administrator awal dan sertifikat RDP mereka berbeda.

Meskipun menggunakan file data perisai terpisah untuk setiap VM terlindungi dimungkinkan, itu belum tentu pilihan optimal dan harus dilakukan karena alasan yang tepat. Misalnya, jika setiap VM terlindungi perlu memiliki kata sandi administrator yang berbeda, pertimbangkan untuk menggunakan layanan atau alat manajemen kata sandi seperti Solusi Kata Sandi Administrator Lokal (LAPS) Microsoft.

Membuat VM terlindungi pada fabric virtualisasi

Ada beberapa opsi untuk membuat VM terlindung pada fabric virtualisasi (berikut ini relevan untuk VM terlindung dan didukung enkripsi):

  1. Buat VM terlindungi di lingkungan Anda dan unggah ke fabric virtualisasi
  2. Membuat VM terlindung baru dari templat yang ditandatangani pada fabric virtualisasi
  3. Melindungi VM yang ada (VM yang ada harus generasi 2 dan harus menjalankan Windows Server 2012 atau yang lebih baru)

Membuat VM baru dari templat adalah praktik normal. Namun, karena disk templat yang digunakan untuk membuat VM Terlindungi baru berada pada kain virtualisasi, langkah-langkah tambahan diperlukan untuk memastikan bahwa disk tersebut belum dirusak oleh administrator kain berbahaya atau dengan malware yang berjalan pada fabric. Masalah ini diselesaikan menggunakan disk templat yang ditandatangani—disk templat yang ditandatangani dan tanda tangan disk mereka dibuat oleh administrator tepercaya atau pemilik VM. Saat VM terlindung dibuat, tanda tangan disk templat dibandingkan dengan tanda tangan yang terkandung dalam file data perisai yang ditentukan. Jika salah satu tanda tangan file data perisai cocok dengan tanda tangan disk templat, proses penyebaran berlanjut. Jika tidak ada kecocokan yang dapat ditemukan, proses penyebaran dibatalkan, memastikan bahwa rahasia VM tidak akan disusupi karena disk templat yang tidak dapat dipercaya.

Saat menggunakan disk templat yang ditandatangani untuk membuat VM terlindungi, tersedia dua opsi:

  1. Gunakan disk templat yang sudah ditandatangani yang disediakan oleh penyedia virtualisasi Anda. Dalam hal ini, penyedia virtualisasi mempertahankan disk templat yang ditandatangani.
  2. Unggah disk templat yang ditandatangani ke fabric virtualisasi. Pemilik VM bertanggung jawab untuk mempertahankan disk templat yang ditandatangani.