Tweet
Guarded Fabric là gì?
Khi triển khai Hyper-V trong doanh nghiệp, nhiều kỹ sư hệ thống thường nghĩ rằng chỉ cần phân quyền Administrator là đủ. Tuy nhiên trên thực tế, ngay cả quản trị viên của Hyper-V Host cũng có thể truy cập ổ đĩa VHDX, sao chép dữ liệu hoặc can thiệp vào máy ảo nếu không có cơ chế bảo vệ bổ sung. Đó là lý do Microsoft giới thiệu Guarded Fabric từ Windows Server 2016.
Guarded Fabric là một kiến trúc bảo mật được thiết kế để bảo vệ các máy ảo có dữ liệu quan trọng như Domain Controller, Database Server, File Server chứa dữ liệu nhạy cảm, Hệ thống tài chính, ERP, Các workload trong môi trường nhiều thuê bao (multi-tenant)...
Mục tiêu của tính năng Guarded Fabric là đảm bảo rằng ngay cả quản trị viên Hyper-V Host cũng không thể truy cập nội dung bên trong máy ảo VM.
Thành phần quan trọng nhất: Host Guardian Service (HGS)
HGS đóng vai trò như một "người gác cổng" trong hệ thống.
Trước khi một Shielded VM được khởi động, Hyper-V Host phải chứng minh rằng hệ điều hành OS chưa bị thay đổi, TPM hoạt động bình thường, chức năng Secure Boot được bật để đảm bảo phiên bản image là "chính hãng", các thành phần bảo mật vẫn còn nguyên vẹn (không phải là image đã bị thay đổi). Quá trình này được gọi là Attestation. Nếu Host vượt qua quá trình kiểm tra, HGS mới cấp khóa giải mã để VM có thể khởi động. Nếu Host không đạt yêu cầu, VM sẽ không được mở khóa và không thể chạy.
Shielded VM là gì?
Shielded VM là máy ảo được bảo vệ bằng nhiều lớp bảo mật:
Khi nào nên sử dụng Guarded Fabric?
Guarded Fabric đặc biệt phù hợp trong các môi trường như các Data Center lớn, Cloud riêng (Private Cloud), Hosting Provider, Môi trường có nhiều quản trị viên, Hệ thống chứa dữ liệu nhạy cảm hoặc yêu cầu tuân thủ bảo mật cao...
Đối với các lab Hyper-V nhỏ hoặc môi trường thử nghiệm, việc triển khai Guarded Fabric thường không cần thiết do độ phức tạp và yêu cầu hạ tầng bổ sung.
TÓM TẮT BÀI VỀ GUARDED FABRIC
Guarded Fabric là một trong những tính năng bảo mật mạnh nhất của Hyper-V. Thay vì chỉ bảo vệ Hyper-V Host, Microsoft tập trung bảo vệ chính máy ảo thông qua cơ chế xác thực Host và cấp khóa động từ Host Guardian Service. Nhờ đó, các Shielded VM có thể được bảo vệ khỏi việc bị đánh cắp, xem trộm hoặc chỉnh sửa trái phép, ngay cả khi Hyper-V Host hoặc tài khoản quản trị bị xâm nhập.
Khi triển khai Hyper-V trong doanh nghiệp, nhiều kỹ sư hệ thống thường nghĩ rằng chỉ cần phân quyền Administrator là đủ. Tuy nhiên trên thực tế, ngay cả quản trị viên của Hyper-V Host cũng có thể truy cập ổ đĩa VHDX, sao chép dữ liệu hoặc can thiệp vào máy ảo nếu không có cơ chế bảo vệ bổ sung. Đó là lý do Microsoft giới thiệu Guarded Fabric từ Windows Server 2016.
Guarded Fabric là một kiến trúc bảo mật được thiết kế để bảo vệ các máy ảo có dữ liệu quan trọng như Domain Controller, Database Server, File Server chứa dữ liệu nhạy cảm, Hệ thống tài chính, ERP, Các workload trong môi trường nhiều thuê bao (multi-tenant)...
Mục tiêu của tính năng Guarded Fabric là đảm bảo rằng ngay cả quản trị viên Hyper-V Host cũng không thể truy cập nội dung bên trong máy ảo VM.
Thành phần quan trọng nhất: Host Guardian Service (HGS)
HGS đóng vai trò như một "người gác cổng" trong hệ thống.
Trước khi một Shielded VM được khởi động, Hyper-V Host phải chứng minh rằng hệ điều hành OS chưa bị thay đổi, TPM hoạt động bình thường, chức năng Secure Boot được bật để đảm bảo phiên bản image là "chính hãng", các thành phần bảo mật vẫn còn nguyên vẹn (không phải là image đã bị thay đổi). Quá trình này được gọi là Attestation. Nếu Host vượt qua quá trình kiểm tra, HGS mới cấp khóa giải mã để VM có thể khởi động. Nếu Host không đạt yêu cầu, VM sẽ không được mở khóa và không thể chạy.
Shielded VM là gì?
Shielded VM là máy ảo được bảo vệ bằng nhiều lớp bảo mật:
- Mã hóa ổ đĩa bằng BitLocker
- Bảo vệ dữ liệu cấu hình VM
- Ngăn truy cập trực tiếp từ Hyper-V Host
- Ngăn console access trái phép
- Ngăn sao chép VHDX để đọc dữ liệu offline
Khi nào nên sử dụng Guarded Fabric?
Guarded Fabric đặc biệt phù hợp trong các môi trường như các Data Center lớn, Cloud riêng (Private Cloud), Hosting Provider, Môi trường có nhiều quản trị viên, Hệ thống chứa dữ liệu nhạy cảm hoặc yêu cầu tuân thủ bảo mật cao...
Đối với các lab Hyper-V nhỏ hoặc môi trường thử nghiệm, việc triển khai Guarded Fabric thường không cần thiết do độ phức tạp và yêu cầu hạ tầng bổ sung.
TÓM TẮT BÀI VỀ GUARDED FABRIC
Guarded Fabric là một trong những tính năng bảo mật mạnh nhất của Hyper-V. Thay vì chỉ bảo vệ Hyper-V Host, Microsoft tập trung bảo vệ chính máy ảo thông qua cơ chế xác thực Host và cấp khóa động từ Host Guardian Service. Nhờ đó, các Shielded VM có thể được bảo vệ khỏi việc bị đánh cắp, xem trộm hoặc chỉnh sửa trái phép, ngay cả khi Hyper-V Host hoặc tài khoản quản trị bị xâm nhập.
Attached Files