Faaaala galera, 100%?!
Uma nova versão do Windows Server está saindo do forno. Uma das novidades que a versão 2016 está trazendo, e que me chamou muito atenção chama-se “Shielded VM”. No bom e velho português, podemos chamar de “VM Blindada”
Então, você já deve ter se ligado que trata-se de algo relacionado a segurança das VMs, certo? Essa feature me chamou atenção por conta da proposta, por ser algo que eu não me atentava com muita frequência. Pense comigo: Se hoje você tem um parque de maquinas virtuais, significa que você possui vários arquivos VHD e/ou VHDx, right? Logo, você consegue pegar esse VHD e adiciona-lo a sua maquina como um disco virtual e dai fuçar tudo o que estiver dentro deste disco, certo?
Pegou onde está o problema? Imagine que algum infeliz mau intencionado invada, de forma física, seu Data Center e copie seu File Server e seu AD, por exemplo. O que impedirá ele de conectar os VHDs em outro PC e fazer o que bem entender com seus dados?
Há Nathan, mas isso ai é viagem, eu tenho senhas, chave na porta, tranca com 5 segredos. OK, ok?! E se por acaso alguém interno fizer isso? Com a virtualização várias pessoas tem acesso a “n” tipos de servidores em seu ambiente virtual. E mais, lembre-se que com a virtualização seus servidores não passam de arquivos.
Detalhe importante é que os riscos citados acima independem de fabricante, ok?
Cenário explicado, agora o nome do recurso faz mais sentido, certo?
O que esse carinha vai fazer é encriptar sua VM (proteção a nível de software), além de garantir que ela só execute em um host (ou mais) que foi/foram designado(s ) para isso (proteção a nível de hardware).
A parte de encriptação é realizada com o já conhecido BitLocker. Se o VHD e/ou VHDx tentar ser acessado em um host diferindo do que a VM foi provisionada uma senha será solicitada. Se não for fornecida, o acesso, obviamente não será concedido.
A parte da proteção a nível de hardware possui várias etapas, tentarei simplificar o máximo possível. Vamos utilizar a imagem abaixo como referencia:
Veja que possuímos dois Servidores no cenário, um deles executa a função de Host Guardian Server (HGS), esse carinha ai que detém as chaves que permitem ou não a execução de uma VM. Eles que vão garantir que sua VM não seja executada fora dos servidores que você determinar. O segundo server é um Hyper-V Server convencional.
O processo inicia-se com a solicitação de “Ligar” (power on) da VM01 (1). Quando um admin solicitar esse processo o Host enviará um requisição de atestado ao HGS, para que ele valide, aprove ou não (2).
Vamos imaginar que ocorreu aprovação (3), o HGS retornar o atestado dizendo: OK, essa VM está em nossa lista (4).
Agora o host precisa da chave para desbloquear a VM (lembra da encriptação?), mais uma solicitação é enviada ao HGS (5). Ele novamente verificará se a chave deve ou não ser liberada (6).
Com a aprovação (7), a chave é enviada de volta ao Host que desbloqueia a VM e permiti que a mesma seja ligada (8).
Show, né?! Isso tudo para garantir que os arquivos de suas maquinas virtuais estejam totalmente seguros! Obviamente o processo envolve muito mais coisa, ali no “meio de campo”, mas basicamente é assim que funciona.
Se quiser conhecer mais sobre, deixarei dois links ali abaixo…eles me ajudaram e vão te ajudar também, com toda certeza!
Nosso próximo passo é mostrar o processo de implantação disso tudo. Stay with me e não perca nenhuma novidade do site.
Cadastre-se aqui abaixo, é bem rápido. E se puder, visita minha pagina no facebook. Lá, além de meus artigos, compartilho e indico o trabalho de outros colegas.
Grande abraço!!
Referencias:
Faça o primeiro comentário a "Shielded VM – Windows Server 2016"