Руководство по планированию защищенных виртуальных машин и экранированных виртуальных машин для клиентов

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этом разделе рассматриваются владельцы виртуальных машин, которые хотят защитить свои виртуальные машины (виртуальные машины) для обеспечения соответствия требованиям и безопасности. Независимо от того, выполняются ли виртуальные машины в защищенной структуре поставщика услуг размещения или частной защищенной структуре, владельцы виртуальных машин должны контролировать уровень безопасности экранированных виртуальных машин, который включает в себя сохранение возможности расшифровки их при необходимости.

Существует три области, которые следует учитывать при использовании экранированных виртуальных машин:

• Уровень безопасности для виртуальных машин
• Криптографические ключи, используемые для их защиты
• Экранирование данных — конфиденциальная информация, используемая для создания экранированных виртуальных машин

Уровень безопасности для виртуальных машин

При развертывании экранированных виртуальных машин необходимо выбрать один из двух уровней безопасности:

• Экранированный
• Поддерживается шифрование

Как экранированные, так и поддерживаемые шифрованием виртуальные машины имеют виртуальный TPM, подключенный к ним, и те, которые работают под управлением Windows, защищены BitLocker. Основное различие заключается в том, что экранированные виртуальные машины блокируют доступ администраторами структуры, а поддерживаемые шифрованием виртуальные машины позволяют администраторам структуры одинаковый уровень доступа, что и к обычной виртуальной машине. Дополнительные сведения об этих различиях см. в обзоре структуры Guarded и экранированных виртуальных машин.

Выберите экранированные виртуальные машины , если вы хотите защитить виртуальную машину от скомпрометированного структуры (включая скомпрометированных администраторов). Они должны использоваться в средах, где администраторы структуры и сама структура не являются доверенными. Выберите поддерживаемые виртуальные машины шифрования, если вы ищете соответствие строке соответствия требованиям, для которых может потребоваться шифрование неактивных данных и шифрование виртуальной машины на проводе (например, во время динамической миграции).

Поддерживаемые шифрованием виртуальные машины идеально подходят в средах, где администраторы структуры полностью доверенны, но шифрование остается обязательным.

Вы можете запускать смесь обычных виртуальных машин, экранированных виртуальных машин и поддерживаемых шифрованием виртуальных машин в защищенной структуре и даже на одном узле Hyper-V.

Независимо от того, экранирована ли виртуальная машина или поддерживается шифрованием, определяется данными экранирования, выбранными при создании виртуальной машины. Владельцы виртуальных машин настраивают уровень безопасности при создании экранированных данных (см. раздел " Экранирование данных "). Обратите внимание, что после этого выбора невозможно изменить, пока виртуальная машина остается в структуре виртуализации.

Криптографические ключи, используемые для экранированных виртуальных машин

Экранированные виртуальные машины защищены от векторов атак в структуре виртуализации с помощью зашифрованных дисков и различных других зашифрованных элементов, которые можно расшифровать только с помощью:

• Ключ владельца — это криптографический ключ, поддерживаемый владельцем виртуальной машины, который обычно используется для восстановления в последнем случае или устранения неполадок. Владельцы виртуальных машин отвечают за обслуживание ключей владельца в безопасном расположении.
• Один или несколько опекунов (ключи защиты узла) — каждый Guardian представляет структуру виртуализации, на которой владелец разрешает запускать экранированные виртуальные машины. Предприятия часто имеют основную структуру виртуализации и структуру аварийного восстановления и обычно разрешают запуск экранированных виртуальных машин для обоих. В некоторых случаях вторичная структура аварийного восстановления может размещаться общедоступным поставщиком облачных служб. Закрытые ключи для любой защищенной структуры сохраняются только в структуре виртуализации, в то время как его открытые ключи можно скачать и содержать в его Guardian.

Разделы справки создать ключ владельца? Ключ владельца представлен двумя сертификатами. Сертификат для шифрования и сертификата для подписывания. Эти два сертификата можно создать с помощью собственной инфраструктуры PKI или получить SSL-сертификаты из общедоступного центра сертификации (ЦС). В целях тестирования можно также создать самозаверяющий сертификат на любом компьютере, начиная с Windows 10 или Windows Server 2016.

Сколько ключей владельца у вас должно быть? Вы можете использовать один ключ владельца или несколько ключей владельца. Рекомендации по использованию одного ключа владельца для группы виртуальных машин, которые используют одинаковый уровень безопасности, доверия или риска, а также для административного контроля. Вы можете предоставить общий доступ к одному ключу владельца для всех экранированных виртуальных машин, присоединенных к домену, и депонировать ключ владельца, которыми управляет администраторы домена.

Можно ли использовать собственные ключи для защитника узла? Да, вы можете использовать ключ "Собственный" к поставщику размещения и использовать этот ключ для экранированных виртуальных машин. Это позволяет использовать определенные ключи (и использовать ключ поставщика услуг размещения) и использовать их при наличии конкретных правил безопасности или нормативных требований, которые необходимо соблюдать. В целях гигиены ключей ключи защиты узла должны отличаться от ключа владельца.

Экранирование данных

Экранирование данных содержит секреты, необходимые для развертывания экранированных или поддерживаемых шифрованием виртуальных машин. Он также используется при преобразовании обычных виртуальных машин в экранированные виртуальные машины.

Экранирование данных создается с помощью мастера экранирования файлов данных и хранится в ФАЙЛАх PDK, которые владельцы виртуальных машин отправляют в защищенную структуру.

Экранированные виртуальные машины помогают защититься от атак из скомпрометированного структуры виртуализации, поэтому нам нужен безопасный механизм для передачи конфиденциальных данных инициализации, таких как пароль администратора, учетные данные присоединения к домену или сертификаты RDP, не показывая их самой структуре виртуализации или ее администраторам. Кроме того, экранирование данных содержит следующее:

1. Уровень безопасности — экранированный или поддерживаемый шифрованием
2. Владелец и список доверенных опекунов узлов, где виртуальная машина может запускаться
3. Данные инициализации виртуальных машин (unattend.xml, сертификат RDP)
4. Список доверенных подписанных дисков шаблонов для создания виртуальной машины в среде виртуализации

При создании экранированных или поддерживаемых шифрованием виртуальных машин или преобразовании существующей виртуальной машины вам будет предложено выбрать экранирование данных, а не запрашивать конфиденциальную информацию.

Сколько файлов данных экранирования требуется? Для создания каждой экранированного виртуальной машины можно использовать один файл данных экранирования. Однако если для данной экранированного виртуальной машины требуется, чтобы любой из четырех элементов был разными, требуется дополнительный файл данных экранирования. Например, у вас может быть один файл данных экранирования для ИТ-отдела и другой файл данных экранирования для отдела кадров, так как их начальный пароль администратора и сертификаты RDP отличаются.

Хотя использование отдельных файлов данных экранирования для каждой экранированного виртуальной машины возможно, это не обязательно оптимальный выбор и следует сделать по правильным причинам. Например, если каждая экранированная виртуальная машина должна иметь другой пароль администратора, рекомендуется вместо этого использовать службу управления паролями или средство, например решение локального администратора Майкрософт (LAPS).

Создание экранированных виртуальных машин в структуре виртуализации

Существует несколько вариантов создания экранированных виртуальных машин в структуре виртуализации (для экранированных и поддерживаемых шифрованием виртуальных машин имеется следующее:

1. Создайте экранированную виртуальную машину в среде и отправьте ее в структуру виртуализации.
2. Создание экранированных виртуальных машин из подписанного шаблона в структуре виртуализации
3. Экранирование существующей виртуальной машины (существующая виртуальная машина должна быть поколения 2 и должна работать под управлением Windows Server 2012 или более поздней версии)

Создание новых виртуальных машин на основе шаблона является обычной практикой. Тем не менее, так как диск шаблона, используемый для создания экранированных виртуальных машин, находится в структуре виртуализации, необходимы дополнительные меры, чтобы убедиться, что он не был изменен администратором вредоносной структуры или вредоносными программами, работающими в структуре. Эта проблема решена с помощью подписанных дисков шаблонов— подписанных дисков шаблонов и подписей дисков создаются доверенными администраторами или владельцем виртуальной машины. При создании экранированного виртуальной машины подпись диска шаблона сравнивается с сигнатурами, содержащимися в указанном файле данных экранирования. Если какая-либо из подписей файла данных экранирования соответствует сигнатуре диска шаблона, процесс развертывания продолжается. Если совпадение не найдено, процесс развертывания прерывается, гарантируя, что секреты виртуальной машины не будут скомпрометированы из-за ненадежного диска шаблона.

При использовании подписанных дисков шаблонов для создания экранированных виртуальных машин доступны два варианта:

1. Используйте существующий подписанный диск шаблона, предоставляемый поставщиком виртуализации. В этом случае поставщик виртуализации поддерживает подписанные диски шаблонов.
2. Отправьте подписанный диск шаблона в структуру виртуализации. Владелец виртуальной машины отвечает за обслуживание подписанных дисков шаблонов.