VM SHIELDED

La virtualización nos ha facilitado mucho las cosas debido a que nos permiten simular varias maquinas virtuales (VM) al mismo tiempo dentro de un mismo host. También nos permite moverlas de forma sencilla y eliminarlas como si fuera un simple archivo de texto. Esto mismo puede ser un problema de seguridad ya que cualquier persona que tenga acceso al servidor de virtualización podría llevarse las máquinas virtuales y trabajar con ella desde su casa, robar toda la información sensible que tengan y nadie se daría cuenta porque las máquinas originales seguirían en funcionamiento. Es un problema que comparten cualquier servicio de virtualización ya sea VMWare, Hyper-V ,etc.

Desde Hyper-V 2016 se puede cifrar el disco duro con Bitlocker. Es una medida muy útil ya que con la virtualización podías llevarte la máquina virtual simplemente copiándola en un dispositivo de almacenamiento y trabajar con ella desde tu casa y sacar todos los datos críticos que tuviera la empresa. Tan sólo debemos añadir un TPM a la máquina virtual para poder cifrarlas. Cifrarlo el disco duro sería poner una barrera más para que no puedan acceder a nuestros datos con facilidad. Con esto no esto no tendremos nuestras máquinas virtuales seguras, ya que si comprometen la seguridad del usuario administrador ya que tendría la capacidad de descifrar la máquina y trabajar con ella con total normalidad.

Por ello en Windows Server 2016 se introduce una nueva característica denominada Host Guardian Service (HGS) la cual nos ofrece una certificación y los servicios mínimos de seguridad que permiten a Hyper-V ejecutar máquinas virtuales blindadas. Las máquinas virtuales blindadas nos protegen de tener hosts comprometidos, cualquier máquina virtual que sale de una organización ya sea accidental o malintencionadamente. Con VM Shielded conseguiremos salvaguardar nuestras VMs, forzando que sólo se ejecuten en la infraestructura que designemos, y proteger esas VMs de administradores que hayan visto comprometida su seguridad.

Esto se consigue mediante dos mecanismos:

* Con un cifrado del disco y del estado de las máquinas virtuales, con lo cual sólo un administrador de la máquina o del telnet puede acceder a ella.

* Otro a nivel del fabric, host de Hyper-V, mediante una nueva característica de Windows Host Guardian Service. HGS comprueba si el host tiene permitido ejecutar la máquina blindada a través de unas mediciones de certificación de arranque y de hardware junto con una nueva característica de integridad del código que permite determinar si un host cumple, o no, con los criterios necesarios para poder ejecutar la máquina blindada.

Estas han sido algunas de las novedades relacionadas con Hyper-V, espero que os haya servido de utilidad. ¡Nos vemos en el próximo post!

Manuel Lozano Rivera

Alumno del curso Microsoft MCSE

Centro: Tajamar

Curso 2016-2017