無論是企業(yè)內(nèi)部還是托管在IDC或云服務(wù)商的虛擬機，如何保障運行的環(huán)境是安全的，虛擬機是安全的（虛擬機文件里的數(shù)據(jù)以及看到的監(jiān)視器畫面）成為此篇文章和大家探討研究的。

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對外擴展宣傳的重要窗口，一個合格的網(wǎng)站不僅僅能為公司帶來巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺，創(chuàng)新互聯(lián)建站面向各種領(lǐng)域：成都垃圾桶等網(wǎng)站設(shè)計、營銷型網(wǎng)站解決方案、網(wǎng)站設(shè)計等建站排名服務(wù)。

比如您正在運行的虛擬機，管理員是可以通過虛擬化平臺通過監(jiān)視器看到您的系統(tǒng)并操作的，比如關(guān)機，開啟，重啟等等操作，其次如果有別有用心的管理員或者不法分子在拿到您虛擬機的虛擬磁盤文件后拷貝到自己的電腦展開查看等，那么虛擬機里的數(shù)據(jù)一覽無遺，甚至嚴重一點的拿到您AD虛擬機的虛擬磁盤后對域控用戶數(shù)據(jù)庫解密，獲取到企業(yè)用戶的登錄信息及密碼，那么后果就相當嚴重了。

其次如果有人把虛擬機的虛擬磁盤拷貝出來放到競爭對手的虛擬機環(huán)境里導入運行，那么是否會有虛擬機業(yè)務(wù)成果的山寨呢？

當然我這里只是列舉可能出現(xiàn)的風險和案例，針對這樣的問題而展開如何確保虛擬機運行安全以及虛擬機運行所處的環(huán)境是可信任的展開話題討論。

針對以上的痛點，在Windows Server 2016開始提供了一個新的技術(shù)叫“受保護者服務(wù)”可以使用受保護的結(jié)構(gòu)（Hyper-V主機環(huán)境）為VM提供更安全的運行環(huán)境。受保護的結(jié)構(gòu)主要有三個部分組成：

• 由一個主機保護者服務(wù)（HGS）組成 （通常是三個節(jié)點的集群）

• 一個或多個受保護的主機

• 一組受保護的虛擬機（VM）

在Windows Server 2016里只支持Windows系統(tǒng)的虛擬機保護，而在Windows Server 2019里還新增支持了Linux系統(tǒng)的虛擬機保護。

那么整個受保護的虛擬機運行在受保護的結(jié)構(gòu)環(huán)境中，拓撲如下：

 

對于工作模式只要分為2中：TPM模式和主機密鑰模式

用到的安全手段主要大致可以為四種：TPM（vTPM）、簽名證書、加密證書、Bitlocker

從受保護的主機來判斷是否受信任和安全主要是根據(jù)這3點來衡量：提取主機的系統(tǒng)特征，硬件基準，以及當前運行環(huán)境作為代碼完整性策略

從受保護的虛擬機來判斷虛擬機是否安全主要是根據(jù)這4點來衡量：虛擬磁盤模板是否加密，卷簽名目錄，受保護的數(shù)據(jù)文件PDK（監(jiān)護人證書：簽名和加密；防護數(shù)據(jù)文件所有者：簽名和加密），vTPM

受保護的虛擬機工作關(guān)系結(jié)構(gòu)是這樣的：

 

受保護的虛擬機在受保護的Hyper-V主機工作關(guān)系結(jié)構(gòu)是這樣的：

 

1. 請求開啟受保護的虛擬機VM01
   在受保護的主機可以啟動受保護的VM之前，首先必須證明它是可信任的。為了證明它是可信任的，它必須向密鑰保護服務(wù)（KPS）提供受信任證明。受信任證書通過證明過程獲得。

主機請求證明。
受保護的主機請求證明。認證模式由受保護主機服務(wù)群集決定：
TPM可信證明：Hyper-V主機發(fā)送的信息包括：

• TPM識別信息（認可密鑰）

• 最近的啟動引導順序的進程信息（TCG日志）

• 主機上應用的代碼完整性策略信息（CI）

備注：受保護的Hyper-V主機啟動后每8小時進行一次驗證，如果由于某種原因，當受保護的VM嘗試啟動時收保護的主機沒有認證證書也會觸發(fā)請求。

主機密鑰證明：Hyper-V主機發(fā)送密鑰對的公鑰。HGS驗證主機密鑰是否已注冊。
管理員信任的證明：Hyper-V主機發(fā)送Kerberos票證，該票證標識主機所在的安全組。HGS驗證主機屬于先前由受信任的HGS管理員配置的安全組。（在Windows Server 2019中該模式已經(jīng)取消）

1. 證明成功（或失敗）
   成功證明主機受信任所需的檢查：

• 通過TPM可信證明，驗證主機的TPM標識，引導驗證和代碼完整性策略。

• 使用主機密鑰證明，僅驗證主機密鑰的注冊。

2. 認證證書已發(fā)送給主機
   假設(shè)證明成功，則向主機發(fā)送受信任證書，并且主機被視為“被保護”（被授權(quán)運行受保護的VM）。主機使用信任證書授權(quán)密鑰保護服務(wù)安全地發(fā)放使用受保護虛擬機所需的密鑰

3. 主機請求VM密鑰
   受保護的主機沒有啟動受保護的VM（本例中為VM01）所需的密鑰。要獲得必要的密鑰，受保護的主機必須向KPS提供以下內(nèi)容：

• 目前的受信任證明

• 加密密鑰（密鑰保護程序或KPS），包含啟動VM01所需的密鑰。密鑰是使用只有KPS知道的其他密鑰加密的。

4. 發(fā)布密鑰
   KPS檢查受信任證書以確定其有效性。證書不得過期，KPS必須信任頒發(fā)證書的證明服務(wù)。

5. 密鑰返回給主機
   如果受信任證書有效，KPS會嘗試解密該密鑰并安全地返回啟動VM所需的密鑰。請注意，密鑰已加密到受保護主機的VBS。

6. 主機啟動VM01

那么部署這樣一套受保護的結(jié)構(gòu)需要多少步驟呢？下面這張圖列了關(guān)鍵步驟：

 

部署這樣一套受保護的Hyper-V環(huán)境和受保護的虛擬機最后是可以通過Powershell來管理，也或者使用SCVMM或Windows Azure Pack來管理的。

過程不復雜，但要注意的點和涉及的知識是比較復雜的。

簡單來說怎么實現(xiàn)虛擬機安全以及達到的效果，我的總結(jié)是：

• 以簽名證書和加密證書構(gòu)建獨立的監(jiān)護域（監(jiān)護人）

• 掃描認為合格的Hyper-V硬件及系統(tǒng)環(huán)境作為基準存放在另一個獨立域中作為基準校驗，其中可以以TPM為安全芯片加固

• 虛擬機磁盤進行證書Bitlocker加密，也可以結(jié)合vTPM加固，虛擬磁盤再進行證書簽名綁定唯一性，讓在獨立域中作為基準校驗

• 設(shè)置虛擬機的所有者和監(jiān)護域（人）進行定向校驗

• 虛擬機的每一次啟動都會進行全方位多維度基準校驗，缺一都將導致啟動失敗

• 虛擬機的虛擬磁盤也是全方位360度無死角加密，無論是網(wǎng)路復制傳輸還是拷貝都無法獲取虛擬磁盤內(nèi)容

• 受保護的虛擬機在受保護的Hyper-V主機之前移動或傳輸數(shù)據(jù)也是全加密狀態(tài)

• 如果惡意人員要獲取虛擬機里的數(shù)據(jù)，需要具備3大塊：受保護的Hyper-V主機，監(jiān)護域（人）以及虛擬機文件，想想都不現(xiàn)實可以同時拿到這么多才能獲取到vhdx里的內(nèi)容

這項功能我覺得針對業(yè)務(wù)場景也解決如下需求：

• 在加域的虛擬機（域成員服務(wù)器），從外圍增加了虛擬機的安全加固，但對內(nèi)使用域管理員賬號進行訪問還需要多種約束手段以及其他的技術(shù)手段做安全輔助；

• 如果虛擬機是不加域的托管在企業(yè)虛擬化平臺上，那么業(yè)務(wù)人員直接管理該虛擬機：從外保障了惡意的IT管理員無法進行數(shù)據(jù)的竊取和窺竊，從內(nèi)由直接的使用者放心的使用管理自己的系統(tǒng)。

后續(xù)如何實現(xiàn)主要核心三個章節(jié)：

最后感謝王澤和高毅的功能介紹，讓我有更深入的研究與實踐把這樣一個好的技術(shù)和功能分享給大家。

網(wǎng)頁題目：受保護Hyper-V環(huán)境和受保護虛擬機GuardedfabricandshieldedVMs
文章地址：http://www.chinadenli.net/article20/jigcco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、網(wǎng)站設(shè)計公司、關(guān)鍵詞優(yōu)化、企業(yè)建站、用戶體驗、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)