48IT на страже конфиденциальных данных

Project Description:

Category:
Shielded VM
Цель проекта — разработать решение по защите виртуальных машин от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения.
Задачи для исполнителя проекта:

Компания 48IT разработала и организовала решение по защите виртуальных машин на основе сервиса шифрования Shielded VM (HGS) по типу TPM-trusted attestation от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения нацеленного на извлечение конфиденциальной информации Заказчика в своей инфраструктуре (на хостах виртуализации).

Сервис Shielded VM делает виртуальные вычислительные ресурсы еще более защищенными. Он предоставляет дополнительную защиту от кражи данных и несанкционированного доступа к виртуальным машинам со стороны облачных провайдеров и администраторов вашей IT инфраструктуры.

Технология:

Принципиальная схема решения

Shielded

Главным элементом решения является специализированный сервер Host Guardian Service (HGS), который генерирует и предоставляет ключи для запуска и доступа к виртуальным машинам, а также осуществляет аттестацию хоста Hyper-V. Проверка TPM-trusted attestation проходит на основе идентификатора TPM, последовательности загрузки операционной системы и политики целостности кода. HGS-сервер и защищенный хост обмениваются информацией по http/https протоколу. Связь HGS-серверов с отказоустойчивой инфраструктурой виртуализации предоставляется через защищенную отказоустойчивую сеть с использованием технологии VPN.

Схема работы HGS

HGS

Shielded VM защищает шифрованием конфигурационные файлы и системный диск виртуальной машины. Для шифрования других дисков, которые подключены к виртуальной машине, необходимо зашифровать их с помощью BitLocker отдельно внутри гостевой операционной системы.

Фактически, технология Shielded VM изолирует виртуальные машины от хоста и гарантирует, что на нем работает только одобренный код. Виртуальные машины защищены от вредоносного кода на узле Hyper-V, а также несанкционированных действий администратора.

Обеспечивается защита от таких типов атак:

  • Кража VHDX системным администратором.
  • Использование режима отладки в Hyper-V.
  • Заражение хоста Hyper-V вредоносным кодом.
  • Заражение шаблона диска виртуальной машины.
  • Несанкционированная попытка миграции Shielded VM.

Реализация технологии Shielded VM в режиме TPM-trusted attestation требует поддержки крипто-процессора TPM 2.0 и UEFI 2.3.1.

Аппаратный процесс аттестации выглядит так:

  1. Запускается Shielded VM.
  2. Клиент инициирует протокол аттестации.
  3. Хост отправляет метрики и результаты контроля целостности кода.
  4. Валидация метрик хоста.
  5. Хосту выдается подписанный сертификат аттестации. Тем самым разрешается запуск виртуальной машины.

Компоненты и подсистемы спроектированы на основе современного оборудования и программного обеспечения. В результате внедрения решения вы получаете надежную, защищенную IT инфраструктуру.

Выгоды от внедрения решения:

Учитывая специфику решения в разрезе безопасности и конфиденциальности данных, мы предлагаем наших клиентам возможность самостоятельно развернуть решение в IT-инфраструктуре своего предприятия на основе технического проекта (инструкций), который мы разработаем для вас. Проект описывает процедуры подготовки IT инфраструктуры, установки и настройки серверов HGS, развертывания и настройки Shielded VM, необходимые инструкции для команды Заказчика.


Компания
48ИТ - Software компания (Разработка программного обеспечения на заказ) с 2016 года предлагает услуг по custom software development (индивидуальное написание компьютерных программ по техническим заданиям заказчиков)

Наши Услуги:
Контакты

191024, САНКТ-ПЕТЕРБУРГ ГОРОД, УЛИЦА 5-Я СОВЕТСКАЯ, ДОМ 45, ЛИТЕР А , ОФИС 3

7 (812) 223 32 12

info@48it.ru

Следите за новостями
191024, САНКТ-ПЕТЕРБУРГ ГОРОД, УЛИЦА 5-Я СОВЕТСКАЯ, ДОМ 45, ЛИТЕР А , ОФИС 3 7 (812) 223 32 12