48IT на страже конфиденциальных данных / ИТ услуги

Project Description:

Category:: Shielded VM

Цель проекта — разработать решение по защите виртуальных машин от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения.

Задачи для исполнителя проекта:

Компания 48IT разработала и организовала решение по защите виртуальных машин на основе сервиса шифрования Shielded VM (HGS) по типу TPM-trusted attestation от случайных или преднамеренных действий администратора хоста и от вредоносного программного обеспечения нацеленного на извлечение конфиденциальной информации Заказчика в своей инфраструктуре (на хостах виртуализации).

Сервис Shielded VM делает виртуальные вычислительные ресурсы еще более защищенными. Он предоставляет дополнительную защиту от кражи данных и несанкционированного доступа к виртуальным машинам со стороны облачных провайдеров и администраторов вашей IT инфраструктуры.

Технология:

Принципиальная схема решения

Главным элементом решения является специализированный сервер Host Guardian Service (HGS), который генерирует и предоставляет ключи для запуска и доступа к виртуальным машинам, а также осуществляет аттестацию хоста Hyper-V. Проверка TPM-trusted attestation проходит на основе идентификатора TPM, последовательности загрузки операционной системы и политики целостности кода. HGS-сервер и защищенный хост обмениваются информацией по http/https протоколу. Связь HGS-серверов с отказоустойчивой инфраструктурой виртуализации предоставляется через защищенную отказоустойчивую сеть с использованием технологии VPN.

Схема работы HGS

Shielded VM защищает шифрованием конфигурационные файлы и системный диск виртуальной машины. Для шифрования других дисков, которые подключены к виртуальной машине, необходимо зашифровать их с помощью BitLocker отдельно внутри гостевой операционной системы.

Фактически, технология Shielded VM изолирует виртуальные машины от хоста и гарантирует, что на нем работает только одобренный код. Виртуальные машины защищены от вредоносного кода на узле Hyper-V, а также несанкционированных действий администратора.

Обеспечивается защита от таких типов атак:

Кража VHDX системным администратором.
Использование режима отладки в Hyper-V.
Заражение хоста Hyper-V вредоносным кодом.
Заражение шаблона диска виртуальной машины.
Несанкционированная попытка миграции Shielded VM.

Реализация технологии Shielded VM в режиме TPM-trusted attestation требует поддержки крипто-процессора TPM 2.0 и UEFI 2.3.1.

Аппаратный процесс аттестации выглядит так:

Запускается Shielded VM.
Клиент инициирует протокол аттестации.
Хост отправляет метрики и результаты контроля целостности кода.
Валидация метрик хоста.
Хосту выдается подписанный сертификат аттестации. Тем самым разрешается запуск виртуальной машины.

Компоненты и подсистемы спроектированы на основе современного оборудования и программного обеспечения. В результате внедрения решения вы получаете надежную, защищенную IT инфраструктуру.

Выгоды от внедрения решения:

Учитывая специфику решения в разрезе безопасности и конфиденциальности данных, мы предлагаем наших клиентам возможность самостоятельно развернуть решение в IT-инфраструктуре своего предприятия на основе технического проекта (инструкций), который мы разработаем для вас. Проект описывает процедуры подготовки IT инфраструктуры, установки и настройки серверов HGS, развертывания и настройки Shielded VM, необходимые инструкции для команды Заказчика.

Комментарии отсутствуют