Tweet
Host Guardian Service (HGS) trong Hyper-V: "Người Gác Cổng" Cho Shielded VM
Host Guardian Service là gì?
Host Guardian Service (HGS) là một thành phần bảo mật của Microsoft được thiết kế để hỗ trợ Guarded Fabric và Shielded Virtual Machines trong môi trường Hyper-V. Vai trò chính của HGS là xác thực Hyper-V Host trước khi cho phép host đó khởi động một Shielded VM. Thay vì tin tưởng hoàn toàn vào máy chủ Hyper-V, HGS sẽ kiểm tra xem host có đáp ứng các yêu cầu bảo mật hay không. Chỉ khi host được xác thực thành công, HGS mới cấp khóa giải mã để mở khóa và khởi động máy ảo.
Khi thử nghiệm dịch vụ, mình có cảm giác như là HGS hoạt động giống như một hệ thống kiểm soát ra vào trong trung tâm dữ liệu. Hyper-V Host phải chứng minh mình là một hệ thống hợp lệ và an toàn trước khi được phép truy cập vào các máy ảo được bảo vệ.
Hai thành phần chính của HGS
Attestation Service
Attestation Service chịu trách nhiệm đánh giá tính hợp lệ và mức độ tin cậy của Hyper-V Host. Dịch vụ này kiểm tra nhiều yếu tố như Secure Boot, TPM (Trusted Platform Module), Code Integrity, Trạng thái bảo mật của hệ điều hành, các chính sách bảo mật đã được định nghĩa. Nếu host không đáp ứng các yêu cầu này, quá trình xác thực sẽ thất bại.
Key Protection Service (KPS)
Sau khi host vượt qua quá trình Attestation, Key Protection Service sẽ quyết định có cấp khóa giải mã cho VM hay không. KPS lưu giữ các khóa cần thiết để mở khóa ổ đĩa BitLocker bên trong Shielded VM. Nếu host được xem là đáng tin cậy KPS phát hành khóa, Host giải mã VM, sau đó máy VM mới được khởi động. Nếu host không đáng tin cậy thì KPS từ chối phát hành khóa, VM không thể khởi động.
HGS bảo vệ những gì?
Khi triển khai Shielded VM, HGS giúp đảm bảo:
Trong môi trường Guarded Fabric có thể tồn tại ba loại VM:
Normal VM
Đây là VM Hyper-V thông thường. Chúng ta có thể:
Encryption-Supported VM
Đây là mức bảo vệ trung gian. VM được hỗ trợ các tính năng như Secure Boot, Virtual TPM, Mã hóa trạng thái VM, Mã hóa lưu lượng.
Live Migration. Tuy nhiên nhiều tính năng vẫn có thể được cấu hình hoặc thay đổi bởi administrator.
Shielded VM
Đây là mức bảo vệ cao nhất. Các tính năng như Secure Boot, Virtual TPM, VM State Encryption, Live Migration Encryption... được bắt buộc và thực thi hoàn toàn. Ngoài ra các cổng COM Port bị vô hiệu hóa, Serial Port bị vô hiệu hóa, Debugging bị chặn, một số Integration Services bị hạn chế, PowerShell Direct bị giới hạn trong các phiên bản nhất định. Mục tiêu là ngăn cả quản trị viên Hyper-V truy cập dữ liệu bên trong VM.
Quy trình khởi động Shielded VM
Quá trình hoạt động của HGS có thể tóm tắt như sau:
Bước 1: Người dùng yêu cầu khởi động Shielded VM.
Bước 2: Hyper-V Host gửi yêu cầu Attestation tới HGS.
Bước 3: Attestation Service kiểm tra tính hợp lệ của host.
Bước 4: HGS xác nhận host đạt yêu cầu và gửi chứng thực.
Bước 5: Host gửi yêu cầu lấy khóa giải mã VM.
Bước 6: Key Protection Service đánh giá yêu cầu.
Bước 7: Khóa giải mã được gửi tới host.
Bước 8: Host mở khóa VM và khởi động máy ảo.
Nếu bất kỳ bước xác thực nào thất bại, VM sẽ không nhận được khóa và không thể khởi động.
Các lưu ý khi triển khai HGS
HGS là thành phần cực kỳ quan trọng vì nếu HGS không hoạt động, các Shielded VM sẽ không thể được mở khóa. Vì vậy Microsoft khuyến nghị triển khai HGS theo mô hình có tính sẵn sàng cao (High Availability), thường là một cụm nhiều node.
Trong môi trường sản xuất, nên sử dụng TPM-based Attestation vì đây là phương pháp xác thực mạnh nhất. Host phải hỗ trợ TPM 2.0, Secure Boot và UEFI để tận dụng đầy đủ các khả năng bảo mật.
Do HGS lưu giữ các khóa bảo mật quan trọng nhất của hệ thống, hạ tầng HGS nên được tách biệt với Hyper-V Fabric và được bảo vệ bằng các chính sách bảo mật nghiêm ngặt. Thông thường HGS được triển khai trên các máy chủ riêng biệt thay vì đặt chung với Hyper-V Host.
Ngoài ra, doanh nghiệp cần có quy trình sao lưu và phục hồi HGS đầy đủ. Mất dữ liệu HGS có thể dẫn tới việc không thể giải mã hoặc khởi động các Shielded VM trong môi trường sản xuất.
Tóm tắt bài Host Guardian.
Host Guardian Service là trái tim của kiến trúc Guarded Fabric. HGS đảm nhiệm hai chức năng quan trọng: xác thực Hyper-V Host thông qua Attestation Service và quản lý khóa giải mã thông qua Key Protection Service. Nhờ cơ chế này, Shielded VM chỉ có thể hoạt động trên các Hyper-V Host đã được xác thực, giúp bảo vệ dữ liệu trước các cuộc tấn công, truy cập trái phép hoặc các rủi ro từ chính tài khoản quản trị hạ tầng. Đây là một trong những công nghệ bảo mật quan trọng nhất của Hyper-V dành cho các môi trường Data Center và Private Cloud hiện đại. Cám ơn các bạn đã đọc.
Host Guardian Service là gì?
Host Guardian Service (HGS) là một thành phần bảo mật của Microsoft được thiết kế để hỗ trợ Guarded Fabric và Shielded Virtual Machines trong môi trường Hyper-V. Vai trò chính của HGS là xác thực Hyper-V Host trước khi cho phép host đó khởi động một Shielded VM. Thay vì tin tưởng hoàn toàn vào máy chủ Hyper-V, HGS sẽ kiểm tra xem host có đáp ứng các yêu cầu bảo mật hay không. Chỉ khi host được xác thực thành công, HGS mới cấp khóa giải mã để mở khóa và khởi động máy ảo.
Khi thử nghiệm dịch vụ, mình có cảm giác như là HGS hoạt động giống như một hệ thống kiểm soát ra vào trong trung tâm dữ liệu. Hyper-V Host phải chứng minh mình là một hệ thống hợp lệ và an toàn trước khi được phép truy cập vào các máy ảo được bảo vệ.
Hai thành phần chính của HGS
Attestation Service
Attestation Service chịu trách nhiệm đánh giá tính hợp lệ và mức độ tin cậy của Hyper-V Host. Dịch vụ này kiểm tra nhiều yếu tố như Secure Boot, TPM (Trusted Platform Module), Code Integrity, Trạng thái bảo mật của hệ điều hành, các chính sách bảo mật đã được định nghĩa. Nếu host không đáp ứng các yêu cầu này, quá trình xác thực sẽ thất bại.
Key Protection Service (KPS)
Sau khi host vượt qua quá trình Attestation, Key Protection Service sẽ quyết định có cấp khóa giải mã cho VM hay không. KPS lưu giữ các khóa cần thiết để mở khóa ổ đĩa BitLocker bên trong Shielded VM. Nếu host được xem là đáng tin cậy KPS phát hành khóa, Host giải mã VM, sau đó máy VM mới được khởi động. Nếu host không đáng tin cậy thì KPS từ chối phát hành khóa, VM không thể khởi động.
HGS bảo vệ những gì?
Khi triển khai Shielded VM, HGS giúp đảm bảo:
- Ổ đĩa của VM được mã hóa bằng BitLocker
- VM được triển khai từ các template và image đáng tin cậy
- Mật khẩu và các thông tin bí mật được bảo vệ trong quá trình triển khai
- Chỉ những Hyper-V Host được ủy quyền mới có thể chạy VM
- Ngăn chặn việc sao chép VHDX rồi mở trên một Hyper-V Host khác
Trong môi trường Guarded Fabric có thể tồn tại ba loại VM:
Normal VM
Đây là VM Hyper-V thông thường. Chúng ta có thể:
- Truy cập console
- Gắn debugger
- Sử dụng COM/Serial Port
- Truy cập file VHDX
Encryption-Supported VM
Đây là mức bảo vệ trung gian. VM được hỗ trợ các tính năng như Secure Boot, Virtual TPM, Mã hóa trạng thái VM, Mã hóa lưu lượng.
Live Migration. Tuy nhiên nhiều tính năng vẫn có thể được cấu hình hoặc thay đổi bởi administrator.
Shielded VM
Đây là mức bảo vệ cao nhất. Các tính năng như Secure Boot, Virtual TPM, VM State Encryption, Live Migration Encryption... được bắt buộc và thực thi hoàn toàn. Ngoài ra các cổng COM Port bị vô hiệu hóa, Serial Port bị vô hiệu hóa, Debugging bị chặn, một số Integration Services bị hạn chế, PowerShell Direct bị giới hạn trong các phiên bản nhất định. Mục tiêu là ngăn cả quản trị viên Hyper-V truy cập dữ liệu bên trong VM.
Quy trình khởi động Shielded VM
Quá trình hoạt động của HGS có thể tóm tắt như sau:
Bước 1: Người dùng yêu cầu khởi động Shielded VM.
Bước 2: Hyper-V Host gửi yêu cầu Attestation tới HGS.
Bước 3: Attestation Service kiểm tra tính hợp lệ của host.
Bước 4: HGS xác nhận host đạt yêu cầu và gửi chứng thực.
Bước 5: Host gửi yêu cầu lấy khóa giải mã VM.
Bước 6: Key Protection Service đánh giá yêu cầu.
Bước 7: Khóa giải mã được gửi tới host.
Bước 8: Host mở khóa VM và khởi động máy ảo.
Nếu bất kỳ bước xác thực nào thất bại, VM sẽ không nhận được khóa và không thể khởi động.
Các lưu ý khi triển khai HGS
HGS là thành phần cực kỳ quan trọng vì nếu HGS không hoạt động, các Shielded VM sẽ không thể được mở khóa. Vì vậy Microsoft khuyến nghị triển khai HGS theo mô hình có tính sẵn sàng cao (High Availability), thường là một cụm nhiều node.
Trong môi trường sản xuất, nên sử dụng TPM-based Attestation vì đây là phương pháp xác thực mạnh nhất. Host phải hỗ trợ TPM 2.0, Secure Boot và UEFI để tận dụng đầy đủ các khả năng bảo mật.
Do HGS lưu giữ các khóa bảo mật quan trọng nhất của hệ thống, hạ tầng HGS nên được tách biệt với Hyper-V Fabric và được bảo vệ bằng các chính sách bảo mật nghiêm ngặt. Thông thường HGS được triển khai trên các máy chủ riêng biệt thay vì đặt chung với Hyper-V Host.
Ngoài ra, doanh nghiệp cần có quy trình sao lưu và phục hồi HGS đầy đủ. Mất dữ liệu HGS có thể dẫn tới việc không thể giải mã hoặc khởi động các Shielded VM trong môi trường sản xuất.
Tóm tắt bài Host Guardian.
Host Guardian Service là trái tim của kiến trúc Guarded Fabric. HGS đảm nhiệm hai chức năng quan trọng: xác thực Hyper-V Host thông qua Attestation Service và quản lý khóa giải mã thông qua Key Protection Service. Nhờ cơ chế này, Shielded VM chỉ có thể hoạt động trên các Hyper-V Host đã được xác thực, giúp bảo vệ dữ liệu trước các cuộc tấn công, truy cập trái phép hoặc các rủi ro từ chính tài khoản quản trị hạ tầng. Đây là một trong những công nghệ bảo mật quan trọng nhất của Hyper-V dành cho các môi trường Data Center và Private Cloud hiện đại. Cám ơn các bạn đã đọc.
Attached Files