[Articulo] Windows Server | Ambientes virtuales seguros con Shielded VMs en Windows Server 2016
Shielded VM es un equipo virtual basado en una definición cifrada que un propietario de una VM crea para proteger información importante de configuración de VM, como la contraseña de administrador, RDP y otros certificados relacionados con la identidad, credenciales, etc.
En esta publicación vamos a presentar conceptualmente qué es Shielded VMs en Windows Server 2016 y por qué lo necesitarías en tu infraestructura.
¡Esperamos que lo disfruten y estamos en contacto!
[toc]
Introducción
Objetivo y Alcance
Esta publicación tiene como objetivo que las organizaciones y Administradores de IT conozcan conceptualmente cuáles son los componentes de Virtualización, Redes, Almacenamiento, Seguridad y Administración de la “oferta Microsoft” para un datacenter definido por software (Software-Defined Datacenter).
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
¿Qué es una Shielded VM?
Una Shielded VM es un equipo virtual basado en una definición cifrada que un propietario de una VM crea para proteger información importante de configuración de VM, como la contraseña de administrador, RDP y otros certificados relacionados con la identidad, credenciales, etc.
Básicamente, el archivo de datos de protección (archivo PDK) proporciona garantías de que la máquina virtual se creará de la manera prevista por el inquilino. Por ejemplo, cuando el inquilino coloca un archivo de respuesta (unattend.xml) en el archivo de datos de protección y lo entrega al proveedor de alojamiento, el proveedor de alojamiento no puede ver ni realizar cambios en ese archivo de respuesta. Del mismo modo, el proveedor de alojamiento no puede sustituir un VHDX diferente al crear la máquina virtual blindada, ya que el archivo de datos de protección contiene las firmas de los discos de confianza a partir de los cuales se pueden crear máquinas virtuales blindadas.
¿Qué se protege en una Shielded VM?
Entre otros, los archivos de datos de protección contienen secretos tales como:
- Credenciales de administrador
- Un archivo de respuesta (unattend.xml)
- Una política de seguridad que determina si las máquinas virtuales creadas con estos datos de protección están configuradas como blindadas o con encriptación.
- Un certificado RDP para asegurar la comunicación de escritorio remoto con la máquina virtual
- Un catálogo de firma de volumen que contiene una lista de firmas de disco de plantilla firmadas y de confianza que permiten crear una nueva máquina virtual desde
- Un Key Protector (o KP) que define las telas protegidas en las que está autorizada una máquina virtual blindada para ejecutarse.
Elementos de Configuración relacionados
La siguiente figura muestra el archivo de datos de protección y los elementos de configuración relacionados:
Conclusiones
Shielded VM es un equipo virtual basado en una definición cifrada que un propietario de una VM crea para proteger información importante de configuración de VM, como la contraseña de administrador, RDP y otros certificados relacionados con la identidad, credenciales, etc.
En esta publicación recorrimos esta característica conceptualmente, y además especificamos que tipo de elementos resguarda y algunos elementos de configuración relacionados.