:::: MENU ::::
Posts tagged with: Hyper-V 2016

Shielded VMs v Microsoft Hyper-V 2016 (první část)

O co se jedná?

Shielded VM je virtuální stroj, jehož data jsou chráněna kombinací několika spolupracujících technologií, které byly představeny ve Windows Server 2016. Velkou výhodou je ochrana VM jak v jejím statickém stavu (běží na některém Hyper-V hostiteli a má někde uložena data), tak ve chvíli jejího přesunu (při Live Migration, SNLM apod.)

Security nastavení Gen 2 VM v Hyper-V 2016

Proč by mě to mohlo/mělo zajímat?

Hned z několika důvodů a to například:

  • Provozuji infrastrukturu pro své zákazníky a chci jim dát maximální jistotu zabezpečení jejich informací
  • Provozuji infrastrukturu pro své kolegy a chci jim dát maximální jistotu zabezpečení jejich informací
  • Někdo pro mě provozuje infrastrukturu a já chci mít maximální jistotu zabezpečení mých informací

Ono totiž nění úplně málo způsobů, jak se „dostat“ k datům uvnitř VM. Například zevnitř:

  • Hyper-V admin může cokoli – vykrádat RAM VM, mountovat VHDčka a odnášet data, kdykoli se připojovat do VM apod.
  • Síťový admin může také hodně – sniffovat traffic VM, krást RAM VM během její Live Migration apod.
  • Storage admin, backup admin, domain admin, a další nemají také moc svázané ruce něco nepěkného provést…

Útoky zvenku nebudu rozvádět, protože si asi dokážete představit do jakých oblastí bych musel zabrousit.

Co k tomu potřebuji?

Záleží na režimu nastavení a provozu, o kterém se dozvíte dále, ale vesměs se celé řešení skládá ze tří hlavních komponent – Host Guardian Service (HGS), Guarded Hosts a samotných Shielded VMs.

Host Guardian Service

Jedná se o roli Windows Serveru 2016, která zajišťuje atestaci Hyper-V hostitelů (tzv. Guarded Hosts) a ochranu klíčů, které jsou použité k ochraně dat (šifrování VHD bitlockerem, šifrování dat při Live Migration apod.).

HGS role ve Windows Server 2016

Guarded Host

Vlastně se jedná o krásný název pro chráněný Windows Server 2016 s rolí Hyper-V. Chráněným se váš hostitel stane až ve chvíli, kdy atestační služba HGS validuje jeho identitu a konfiguraci. Jinými slovy, potvrdí, že se na něj můžete z pohledu bezpečnosti spolehnout (že např. neobsahuje škodlivý kód, nemá pozměněné boot záznamy, že má aktivní Virtulization-Based Security (VBS), dostupné požadované bezpečnostní technologie a hardware atd.)

Shielded VM

K vysvětlení v úvodu článku zde doplním, že se jedná o VM generace 2, která používá virtuální TPM (vTPM) k ochraně dat uvnitř svých VHD pomocí BitLockeru a jejíž obsah paměti (a případně saved state) je také chráněn.

Režimy ochrany Shielded VM

Spíše se jedná o režimy zabezpečení dat, atestace a řízení přístupu k TK (Transport Key), které umožňují odemykat a spouštět Shielded VM na Guarded Hosts.

TPM Trusted Attestation

Jedná se právě o tu nejsilnější formu atestace, která má ovšem největší nároky na konfiguraci a komponenty (UEFI 2.3.1, Secure Boot, TPM 2.0). Hyper-V hostitel se stává Guarded Hostitelem ve chvíli, kdy má dostupný a nastavený TPM, zabezpečený boot a vygenerované a platné Code Integrity (CI) politiky.

Admin Trusted Attestation

Forma atestace, kdy nepotřebujete žádný super nový hardware (především TPM 2.0) a kdy chcete poměrně snadno zvýšit zabezpečení vašich VM. Hyper-V hostitel se stává Guarded Hostitelem ve chvíli, kdy HGS ověří jeho členství v požadované AD Security Group. Tedy opravdu jednoduchý scénář.

Všimněte si, že v obou režimech má ovšem finální slovo HGS a proto je samozřejmostí zajištění jejího zabezpečení (vytváří se dedikovaný AD Forest) a její dostupnosti (Clustering). Pokud vám totiž HGS nedá TK a to buď protože vám (hostiteli) nevěří nebo prostě jen není dostupná, tak VM ani nezapnete.

Chápu. A co dál?

V další části si nejdříve zkusíme blíže ukázat celé fungování HGS, GH a Shielded VMs, a tím si připravíme půdu na konfiguraci – nejdříve bez Microsoft System Center 2016 a poté s ním.

 


HYPERCON 2.0 materiály ke stažení

Tak se mi konečně podařilo sesbírat prezentace a skripty z HYPERCONu 2.0 a hodil jsem rovnou na web. Ještě jednou díky všem za účast a odkaz na soubor najdete v sekci Ke stažení.


Ohlédnutí za HYPERCON 2.0 a co dál…

Tento týden v úterý skončila pražským konáním konference HYPERCON 2.0. Dovolte mi tedy krátké ohlédnutí za oběma místy konání a také reakci na některé z vašich komentářů.

Když jsem poprvé organizoval HYPERCON, tedy edici 2016, tak jsem byl velice mile překvapen počtem účastníků. Druhá edice, 2.0, ale bohužel nebyla počty lepší a v Praze dokonce horší než minulý ročník. Bohužel to bylo způsobeno poměrně pozdní organizací, což bylo zapříčiněno mým naprostým nedostatkem času.

Každopádně věřím, že se nám podařilo doručit obsah, který jsme slibovali a který byl pro vás zajímavý. V Novém Jičíně se vám mohli poprvé na HYPERCONu představit kolegové Dan Hejda (www.defense-ops.com) a Ondřej Výšek (www.optimalizovane-it.cz) a v Praze k nim přibyli ještě další tři noví přednášející – Ondřej Bačina (Dell), Lukáš Radil (KPCS CZ) a host Markus Klein (Orange Networks).

Dostal jsem ovšem samozřejmě i negativní reakce, které věřte, že vnímám a pokusím se je maximálně odladit na příštím HYPERCONu 3.0. Zapracujeme na cateringu, řízení teploty v přednášecích sálech, relevantnosti obsahu a časovém rozložení.

Tento ročník jsem vás také obdarovali zajímavými cenami. V Novém Jičíně jsme rozdávali volný vstup na příští HYPERCON, slevu na kurzy v Amenit školícím centru a technologickými assessmenty. V Praze jsme se rozhodli jít více materiální cestou a tak jsme vás potěšili něčím dobrým k pití, kvadroptérou, multimediálním centrem na Raspberry Pi a dvěma robotickými zařízeními.

Fotografie, komentáře a reakce účastníků naleznete na twitteru @hyperconcz #hyperconcz20.  Prezentace a skripty z obou lokalit HYPERCONu 2.0 se co nejdříve objeví na webu www.hypercon.cz.

A co dál? Už teď začínám plánovat obsah dalšího HYPERCONu, vydání 3.0. Stále zůstaneme věrni Hyper-V, ale již se více podíváme i na jeho související technologie v cloudu. Protože dnes již není otázka zda „jít“ do cloudu, ale kdy. A navíc, jak říká kolega Ondra Výšek – Cloud nebolí. Nebojte se ale – moje úchylné přednášky jako např. Hyper-V Internals určitě v programu najdete.

Závěrem bych rád poděkoval partnerům KPCS, Amenitu, Gopasu a WUGu za jejich podporu, kolegům a kamarádům za jejich skvělé přednášky a především vám za účast!


Pokračování mé přednášky na téma Hyper-V Internals

V říjnu jsem měl na WUGu v Praze přednášku na Hyper-V Internals, ale nestihl jsem samozřejmě probrat vše, co jsem chtěl. Díky WUGu se tedy podařilo najít termín na pokračování, kde se dozvíte víc o Hyper-V Clusteru, Hyper-V Replica, Shielded VMs a když zbyde čas tak se určitě ještě mnoho témat najde. Více info a registrace zde.

Těším se na vás a doufám, že vás přijde opět hodně! Možná přinesu i nějaké dárky 😉


Vzhled blogu a ESXo v Hyper-V

Po delší době jsem se rozhodl konečně dokončit úpravu vzhledu blogu, aby se lépe četl a přinášel vám především zajímavé informace (a ne na vás pálil jedno logo za druhým 🙂 ). Snad se vám nový look & feel líbí a bude pro vás příjemnější pro čtení.

Aby ale tenhle post nebyl úplně zbytečný, tak se mi dnes podařilo rozjet VMware vSphere ESXi server ve virtuálce provozované na Windows Server 2016 Hyper-V. Hned jak dotestuji, že se tam dá spustit i nested virtuálka, tak sem hodím návod, jak na to. Zatím jen screenshot ať se můžete pokochat a těšit (ano, nemám IP adresu, ale to je jen tím, že nemám v labové síti žádné DHCP).

esx65-nested-in-hv2016.png


DataScript Morning Talk: Co nás čeká v Microsoft Hyper-V 2016 a co to znamená v praxi?

datascript-morning-talksDatum: 10.11.2015 9:00 – 11:30

Místo konání: Akademické konferenční centrum (Husova 4a, 110 00  Praha 1) – vchod z Jilské ulice přes recepci Filozofického a Sociologického ústavu AV ČR

Jak se na snídani dopravit?

  • Metrem – Váš cíl je na půl cesty mezi stanicemi Národní (B) a Staroměstská (A)
  • Autem – nejbližší parkování u  Národního divadla. Jediný nájezd je Divadelní ulicí, počet parkovacích míst je 216

Prezentující: Jan Marek

Co Vás čeká?

  • Vybral jsem top 10 pro mne nejzajímavějších novinek, které nás čekají v příští verzi Hyper-V. Řekneme si o nich maximum, ale především si prakticky ukážeme jejich využití v praxi.
  • Úvod do virtualizace na platformě Microsoft Hyper-V
  • Nedostatky aktuální verze Hyper-V 2012 R2
  • Novinky v Hyper-V 2016 (kontejnery, síťě, výkon, podpora OS, user experience, zabezpečení)

Registrace a více informací ZDE.

Společně se společností DataScript se na vás těším!