Tweet
Aunque la virtualización del servidor ha demostrado ser relativamente segura, siempre ha tenido un talón de Aquiles importante: portabilidad de la máquina virtual. Hoy en día, hay poco para evitar que un administrador de virtualización, o incluso un administrador de almacenamiento de esa materia, de copiar el disco duro virtual de una máquina virtual a medios extraíbles.
Feature.: Host Guardian and Shielded Virtual Machines
El servicio Host Guardian de Microsoft está diseñado para evitar que esto suceda permitiendo la creación de máquinas virtuales blindadas.
El servicio Host Guardian es un servicio de certificación y protección de garantia de Windows Server 2016 que permite configurar un host Hyper-V para actuar como un host protegido. Un host protegido debe ser identificado positivamente en la red y garantizado en el nivel de Active Directory y / o TPM. Si se está usando la certificación de confianza de TPM, Windows se supera como para verificar la salud del host comparando su configuración con una configuración de línea de base conocida. Sin embargo, vale la pena señalar que el certificado de confianza de Active Directory no admite la verificación de la configuración del host.
El Host Guardian Service permite el uso de máquinas virtuales blindadas. Una máquina virtual blindada es una máquina virtual cuyos discos duros virtuales están encriptados a través de TPM virtual. Este cifrado impide que una máquina virtual protegida se ejecute en cualquier servidor Hyper-V distinto de un host protegido designado. Si se quita un disco duro virtual de la organización, no se puede acceder a su contenido y la máquina virtual no se puede ejecutar.
Las máquinas virtuales blindadas son cifradas en BitLocker. BitLocker hace uso de un dispositivo TPM virtual, que reside en el servidor host. El TPM virtual se cifra usando una clave de transporte, y la clave de transporte es a su vez protegida por el Servicio Guardian de Host.
Una VM protegida con Hyper-V Shielded es una característica de seguridad de Windows Server 2016 que protege una máquina virtual (VM) de segunda generación de Hyper-V contra el acceso o la manipulación mediante una combinación de Secure Boot, cifrado de BitLocker, TPM (virtual Trusted Platform Module) y Host Guardian Service.