Windows Server 2016 : l’essentiel sur Host Guardian, l’outil qui sécurise les VM Hyper-V
Avec son nouvel OS, Microsoft a développé un système de protection des machines virtuelles Hyper-V contre les utilisateurs non autorisés. Un mécanisme au cœur de ses « Shielded VM ».
La protection des données est une question épineuse. Comment une organisation peut-elle assurer la confidentialité des données sensibles si le service IT accède aux données ? Au fil du temps, l'informatique a trouvé plusieurs parades, dont l'accès compartimenté et les contrôles fondés sur les rôles.
Mais avec l'avènement du cloud, les questions de confidentialité redoublent : en effet, comment garantir la sécurité des données hébergées dans un cloud public ?
Pour répondre à cette question, Microsoft a développé Host Guardian, fonctionnalité de Windows Server 2016 Hyper-V. Host Guardian est conçu pour assurer la sécurité des données des machines virtuelles (VM) au niveau de l'hyperviseur. Host Guardian utilise, à cette fin, trois fonctions.
Host Guardian utilise plusieurs couches pour la sécurité Hyper-V
La première est le chiffrement du disque dur virtuel.
Depuis longtemps, Microsoft fournit la possibilité de chiffrer les disques durs physiques via BitLocker. Host Guardian chiffre les disques durs virtuels associés aux machines virtuelles Hyper-V en activant BitLocker sur le système d'exploitation invité.
Comme BitLocker qui utilise une puce de module de plateforme sécurisée (TPM, Trusted Platform Module) de serveur physique, une VM BitLocker chiffrée peut utiliser une puce TPM virtuelle.
La deuxième fonction de Host Guardian est appelée par Microsoft chiffrement à la volée. Les machines virtuelles ne sont pas statiques. Une VM Hyper-V peut être migrée dynamiquement d'un serveur hôte vers un autre. Le service Host Guardian permet de chiffrer la VM pendant la migration.
La troisième fonction de Host Guardian consiste à bloquer l'accès à la mémoire d'une VM. Cette action est censée empêcher les attaques qui utilisent des fuites de mémoire au niveau de l'hôte pour accéder aux données de la VM.
Microsoft compte sur Host Guardian pour favoriser l'utilisation des VM dans le cloud
Bien que ces mécanismes permettent d'empêcher l'accès des administrateurs aux données d'une VM Hyper-V, ils ne doivent pas réduire Host Guardian à un mécanisme de sécurité de niveau hyperviseur. Microsoft a expliqué avoir conçu Windows Server 2016 en tant que système d'exploitation dédié au cloud. Host Guardian assure la confidentialité des VM qui s'exécutent dans le datacenter d'une organisation, de même que celle des VM qui s'exécutent dans les clouds publics.
C'est dans la volonté de Microsoft d'assurer la sécurité des VM du cloud qu'il faut chercher les raisons qui l'ont poussé à créer Host Guardian pour englober toutes ces fonctions de sécurité.
Microsoft cherchait à garantir la sécurité au niveau des VM sans interférer avec les opérations aux niveaux du cloud ou du datacenter. Quel que soit l'environnement d'exécution physique d'une VM, un administrateur doit s'acquitter d'un certain nombre de tâches pour maintenir l'intégrité de cet environnement. Ainsi, il doit pouvoir migrer la VM en mode dynamique à chaque fois que nécessaire. Il doit également être en mesure de créer des sauvegardes de la VM.
Microsoft a bien intégré ces tâches lors de la conception de Host Guardian pour assurer la sécurité des VM sans être intrusif.
La protection a un coût
Host Guardian s'utilise de deux façons. L'administrateur qui configure Host Guardian doit choisir un mode de certification. Celle-ci peut reposer sur le matériel ou sur l'administrateur, mais pas sur les deux.
La première méthode est particulièrement complexe à configurer, mais elle assure un excellent niveau de sécurité, car il est directement dépendant du matériel. Pour ce type d'attestation, le matériel doit être équipé de puces TPM 2.0 et de l'interface Unified Extensible Firmware Interface, version 2.3.1 ou supérieure.
La deuxième méthode est moins complexe à configurer que l'attestation fondée sur le matériel, mais elle dépend d'un environnement Active Directory approuvé.
Le rôle Host Guardian permet d'assurer la confidentialité pour le propriétaire de VM. Toutefois, cette protection a un coût. Le processus de chiffrement fait indéniablement grimper le coût des hôtes Hyper-V.
Par ailleurs, des VMs ainsi « blindées » (traduction littérale de Shielded VM) rendent délicates certaines opérations de mise à niveau ou de reprise après désastre. Sans oublier que toutes les VM ne peuvent pas être « blindées » par Host Guardian (elles doivent s'exécuter sous Windows Server 2012 ou Windows 8, ou une version supérieure). De même, la documentation Microsoft stipule que seules les VM de deuxième génération sont prises en charge.