受保護(hù)Hyper-V環(huán)境和受保護(hù)虛擬機(jī)Guarded fabric and shielded VMs

無(wú)論是企業(yè)內(nèi)部還是托管在IDC或云服務(wù)商的虛擬機(jī)，如何保障運(yùn)行的環(huán)境是安全的，虛擬機(jī)是安全的（虛擬機(jī)文件里的數(shù)據(jù)以及看到的監(jiān)視器畫面）成為此篇文章和大家探討研究的。

比如您正在運(yùn)行的虛擬機(jī)，管理員是可以通過(guò)虛擬化平臺(tái)通過(guò)監(jiān)視器看到您的系統(tǒng)并操作的，比如關(guān)機(jī)，開啟，重啟等等操作，其次如果有別有用心的管理員或者不法分子在拿到您虛擬機(jī)的虛擬磁盤文件后拷貝到自己的電腦展開查看等，那么虛擬機(jī)里的數(shù)據(jù)一覽無(wú)遺，甚至嚴(yán)重一點(diǎn)的拿到您AD虛擬機(jī)的虛擬磁盤后對(duì)域控用戶數(shù)據(jù)庫(kù)解密，獲取到企業(yè)用戶的登錄信息及密碼，那么后果就相當(dāng)嚴(yán)重了。

其次如果有人把虛擬機(jī)的虛擬磁盤拷貝出來(lái)放到競(jìng)爭(zhēng)對(duì)手的虛擬機(jī)環(huán)境里導(dǎo)入運(yùn)行，那么是否會(huì)有虛擬機(jī)業(yè)務(wù)成果的山寨呢？

當(dāng)然我這里只是列舉可能出現(xiàn)的風(fēng)險(xiǎn)和案例，針對(duì)這樣的問(wèn)題而展開如何確保虛擬機(jī)運(yùn)行安全以及虛擬機(jī)運(yùn)行所處的環(huán)境是可信任的展開話題討論。

針對(duì)以上的痛點(diǎn)，在Windows Server 2016開始提供了一個(gè)新的技術(shù)叫“受保護(hù)者服務(wù)”可以使用受保護(hù)的結(jié)構(gòu)（Hyper-V主機(jī)環(huán)境）為VM提供更安全的運(yùn)行環(huán)境。受保護(hù)的結(jié)構(gòu)主要有三個(gè)部分組成：

• 由一個(gè)主機(jī)保護(hù)者服務(wù)（HGS）組成 （通常是三個(gè)節(jié)點(diǎn)的集群）

• 一個(gè)或多個(gè)受保護(hù)的主機(jī)

• 一組受保護(hù)的虛擬機(jī)（VM）

在Windows Server 2016里只支持Windows系統(tǒng)的虛擬機(jī)保護(hù)，而在Windows Server 2019里還新增支持了Linux系統(tǒng)的虛擬機(jī)保護(hù)。

那么整個(gè)受保護(hù)的虛擬機(jī)運(yùn)行在受保護(hù)的結(jié)構(gòu)環(huán)境中，拓?fù)淙缦拢?/p>

對(duì)于工作模式只要分為2中：TPM模式和主機(jī)密鑰模式

用到的安全手段主要大致可以為四種：TPM（vTPM）、簽名證書、加密證書、Bitlocker

從受保護(hù)的主機(jī)來(lái)判斷是否受信任和安全主要是根據(jù)這3點(diǎn)來(lái)衡量：提取主機(jī)的系統(tǒng)特征，硬件基準(zhǔn)，以及當(dāng)前運(yùn)行環(huán)境作為代碼完整性策略

從受保護(hù)的虛擬機(jī)來(lái)判斷虛擬機(jī)是否安全主要是根據(jù)這4點(diǎn)來(lái)衡量：虛擬磁盤模板是否加密，卷簽名目錄，受保護(hù)的數(shù)據(jù)文件PDK（監(jiān)護(hù)人證書：簽名和加密；防護(hù)數(shù)據(jù)文件所有者：簽名和加密），vTPM

受保護(hù)的虛擬機(jī)工作關(guān)系結(jié)構(gòu)是這樣的：

受保護(hù)的虛擬機(jī)在受保護(hù)的Hyper-V主機(jī)工作關(guān)系結(jié)構(gòu)是這樣的：

1. 請(qǐng)求開啟受保護(hù)的虛擬機(jī)VM01
   在受保護(hù)的主機(jī)可以啟動(dòng)受保護(hù)的VM之前，首先必須證明它是可信任的。為了證明它是可信任的，它必須向密鑰保護(hù)服務(wù)（KPS）提供受信任證明。受信任證書通過(guò)證明過(guò)程獲得。

主機(jī)請(qǐng)求證明。
受保護(hù)的主機(jī)請(qǐng)求證明。認(rèn)證模式由受保護(hù)主機(jī)服務(wù)群集決定：
TPM可信證明：Hyper-V主機(jī)發(fā)送的信息包括：

• TPM識(shí)別信息（認(rèn)可密鑰）

• 最近的啟動(dòng)引導(dǎo)順序的進(jìn)程信息（TCG日志）

• 主機(jī)上應(yīng)用的代碼完整性策略信息（CI）

備注：受保護(hù)的Hyper-V主機(jī)啟動(dòng)后每8小時(shí)進(jìn)行一次驗(yàn)證，如果由于某種原因，當(dāng)受保護(hù)的VM嘗試啟動(dòng)時(shí)收保護(hù)的主機(jī)沒有認(rèn)證證書也會(huì)觸發(fā)請(qǐng)求。

主機(jī)密鑰證明：Hyper-V主機(jī)發(fā)送密鑰對(duì)的公鑰。HGS驗(yàn)證主機(jī)密鑰是否已注冊(cè)。
管理員信任的證明：Hyper-V主機(jī)發(fā)送Kerberos票證，該票證標(biāo)識(shí)主機(jī)所在的安全組。HGS驗(yàn)證主機(jī)屬于先前由受信任的HGS管理員配置的安全組。（在Windows Server 2019中該模式已經(jīng)取消）

1. 證明成功（或失?。?br/>成功證明主機(jī)受信任所需的檢查：

• 通過(guò)TPM可信證明，驗(yàn)證主機(jī)的TPM標(biāo)識(shí)，引導(dǎo)驗(yàn)證和代碼完整性策略。

• 使用主機(jī)密鑰證明，僅驗(yàn)證主機(jī)密鑰的注冊(cè)。

2. 認(rèn)證證書已發(fā)送給主機(jī)
   假設(shè)證明成功，則向主機(jī)發(fā)送受信任證書，并且主機(jī)被視為“被保護(hù)”（被授權(quán)運(yùn)行受保護(hù)的VM）。主機(jī)使用信任證書授權(quán)密鑰保護(hù)服務(wù)安全地發(fā)放使用受保護(hù)虛擬機(jī)所需的密鑰

3. 主機(jī)請(qǐng)求VM密鑰
   受保護(hù)的主機(jī)沒有啟動(dòng)受保護(hù)的VM（本例中為VM01）所需的密鑰。要獲得必要的密鑰，受保護(hù)的主機(jī)必須向KPS提供以下內(nèi)容：

• 目前的受信任證明

• 加密密鑰（密鑰保護(hù)程序或KPS），包含啟動(dòng)VM01所需的密鑰。密鑰是使用只有KPS知道的其他密鑰加密的。

4. 發(fā)布密鑰
   KPS檢查受信任證書以確定其有效性。證書不得過(guò)期，KPS必須信任頒發(fā)證書的證明服務(wù)。

5. 密鑰返回給主機(jī)
   如果受信任證書有效，KPS會(huì)嘗試解密該密鑰并安全地返回啟動(dòng)VM所需的密鑰。請(qǐng)注意，密鑰已加密到受保護(hù)主機(jī)的VBS。

6. 主機(jī)啟動(dòng)VM01

那么部署這樣一套受保護(hù)的結(jié)構(gòu)需要多少步驟呢？下面這張圖列了關(guān)鍵步驟：

部署這樣一套受保護(hù)的Hyper-V環(huán)境和受保護(hù)的虛擬機(jī)最后是可以通過(guò)Powershell來(lái)管理，也或者使用SCVMM或Windows Azure Pack來(lái)管理的。

過(guò)程不復(fù)雜，但要注意的點(diǎn)和涉及的知識(shí)是比較復(fù)雜的。

簡(jiǎn)單來(lái)說(shuō)怎么實(shí)現(xiàn)虛擬機(jī)安全以及達(dá)到的效果，我的總結(jié)是：

• 以簽名證書和加密證書構(gòu)建獨(dú)立的監(jiān)護(hù)域（監(jiān)護(hù)人）

• 掃描認(rèn)為合格的Hyper-V硬件及系統(tǒng)環(huán)境作為基準(zhǔn)存放在另一個(gè)獨(dú)立域中作為基準(zhǔn)校驗(yàn)，其中可以以TPM為安全芯片加固

• 虛擬機(jī)磁盤進(jìn)行證書Bitlocker加密，也可以結(jié)合vTPM加固，虛擬磁盤再進(jìn)行證書簽名綁定唯一性，讓在獨(dú)立域中作為基準(zhǔn)校驗(yàn)

• 設(shè)置虛擬機(jī)的所有者和監(jiān)護(hù)域（人）進(jìn)行定向校驗(yàn)

• 虛擬機(jī)的每一次啟動(dòng)都會(huì)進(jìn)行全方位多維度基準(zhǔn)校驗(yàn)，缺一都將導(dǎo)致啟動(dòng)失敗

• 虛擬機(jī)的虛擬磁盤也是全方位360度無(wú)死角加密，無(wú)論是網(wǎng)路復(fù)制傳輸還是拷貝都無(wú)法獲取虛擬磁盤內(nèi)容

• 受保護(hù)的虛擬機(jī)在受保護(hù)的Hyper-V主機(jī)之前移動(dòng)或傳輸數(shù)據(jù)也是全加密狀態(tài)

• 如果惡意人員要獲取虛擬機(jī)里的數(shù)據(jù)，需要具備3大塊：受保護(hù)的Hyper-V主機(jī)，監(jiān)護(hù)域（人）以及虛擬機(jī)文件，想想都不現(xiàn)實(shí)可以同時(shí)拿到這么多才能獲取到vhdx里的內(nèi)容

這項(xiàng)功能我覺得針對(duì)業(yè)務(wù)場(chǎng)景也解決如下需求：

• 在加域的虛擬機(jī)（域成員服務(wù)器），從外圍增加了虛擬機(jī)的安全加固，但對(duì)內(nèi)使用域管理員賬號(hào)進(jìn)行訪問(wèn)還需要多種約束手段以及其他的技術(shù)手段做安全輔助；

• 如果虛擬機(jī)是不加域的托管在企業(yè)虛擬化平臺(tái)上，那么業(yè)務(wù)人員直接管理該虛擬機(jī)：從外保障了惡意的IT管理員無(wú)法進(jìn)行數(shù)據(jù)的竊取和窺竊，從內(nèi)由直接的使用者放心的使用管理自己的系統(tǒng)。

后續(xù)如何實(shí)現(xiàn)主要核心三個(gè)章節(jié)：

最后感謝王澤和高毅的功能介紹，讓我有更深入的研究與實(shí)踐把這樣一個(gè)好的技術(shù)和功能分享給大家。