A evolução das ameaças cibernéticas tornou mais difícil do que nunca o esforço da TI para proteger os dados e aplicações das corporações. Os ataques estão se tornando cada vez mais sofisticados e pessoas mal-intecionadas conseguem coletar informações confidenciais, sequestrar e destruir dados de forma silenciosa e sem deixar rastros. O ataque é descoberto muito tempo depois, quando o estrago já está feito.
Ambientes virtuais sempre sofreram com problemas de segurança, já que as máquinas não conseguem usufruir da segurança existente no hardware dos servidores físicos que se utilizam do chip TPM (Trusted Plataform Module) para aumentar a segurança do sistema operacional. Diante desta fragilidade, uma pessoa mal-intencionada conseguiria comprometer um ambiente de virtualização através de várias origens, como, por exemplo, um acesso através do storage ou através da rede e, desta forma, capturar e copiar as máquinas virtuais de seu interesse e levar consigo os projetos ou propriedades intelectuais confidenciais.
O novo WINDOWS SERVER 2016 traz mecanismos de segurança que dificultam os ataques em seus sistemas e, mesmo que alguém consiga de alguma maneira acessar o ambiente corporativo, terá dificuldades para acessar os dados confidenciais deste ambiente de servidores devido às novas camadas de segurança que foram incorporadas. No Windows Server 2016, diversos recursos de defesa contra ameaças e proteção de credenciais são ativados por padrão e vários outros recursos de segurança podem ser ativados sob demanda.
Dentre as novas proteções, podemos destacar o recurso de Máquinas Virtuais Protegidas (Shielded Virtual Machines) que tem como objetivo proteger as máquinas virtuais da mesma maneira como os hardwares físicos já vinham sendo protegidos por anos, ao utilizar recursos de TPM, Inicialização Segura e Encriptação de disco. Desta forma, os dados e o estado da máquina virtual estão protegidos contra inspeção, roubo e comprometimento ocasionados por malwares quando estiverem rodando sob o virtualizador Hyper-V.
Porém, como sabemos que esses tipos de ataques estão agora sendo protegidos através de software, também sabemos que software podem sofrer uma infinidade de padrões de ataques. Pensando também nestes vetores de ataque, o WINDOWS SERVER 2016 introduziu o serviço Host Guardian Service (HGS) que ajuda a resolver o problema. Sem este serviço, não é possível ligar ou acessar as máquinas virtuais, que continuarão criptografadas, pois somente este serviço possui as chaves necessárias para acessar as máquinas virtuais. E, enquanto o serviço HGS não considerar todo o ambiente Hyper-V saudável, não irá liberar as máquinas virtuais. Este processo é conhecido como “Atestação”. Na figura abaixo, podemos visualizar como funciona este processo.
Existem diversas possibilidades de ataques que o Hyper-V está preparado para proteger através do recurso de Máquinas Virtuais Protegidas. Abaixo, alguns exemplos de como as máquinas virtuais podem ser protegidas de ataques:
Tipo de Ataque | Defesa das Máquinas Virtuais Protegidas |
Um administrador mal-intencionado rouba os discos virtuais das VM´s |
Os discos virtuais das VM´s estão criptografados. |
Vírus é injetado no Host Hyper-V | Todos os softwares rodando em modo kernel, modo usuário e todos os drivers rodando no Host Hyper-V são verificados |
Vírus é injetado em um template de disco de máquina virtual |
Máquinas Virtuais Protegidas só são criadas a partir de templates de discos que já possuem integridade assegurada. |
Um administrador mal-intencionado tenta mover a Máquina Virtual protegida para um novo Host Hyper-V não confiável |
Hosts Hyper-V confiáveis são adicionados ao serviço do HGS utilizando um identificado único associado ao seu TPM, o novo Host Hyper-V não será reconhecido, pois não foi adicionado ao HGS. |
Um depurador é instalado em um Host Hyper-V |
O serviço do HGS não liberará chaves para hosts com depuradores conectados/instalados. Isto é sempre verificado pelo HGS. |
JESSER MATTOS IZIDORO
Tecnólogo em Gestão da Tecnologia da Informação e Pós-Graduando em Gestão da Segurança da Informação.
Autodidata, iniciou carreira na área de TI através do Software Livre (iniciou no Linux em 1997), possui diversas certificações Linux, Microsoft e Firewalls corporativos. Possui sólidos conhecimentos em Ambientes de Virtualização, Redes, Firewall e Segurança. Atuou como professor do curso oficial do Linux Professional Institute (LPI) pelo SENAC-SC e há 10 anos trabalha na Dinamio Tecnologia com Segurança da Informação.