Одна з можливостей vSphere у плані безпеки - підтримка технології Virtualization Based Security (VBS) операційних систем Microsoft. Механізм VBS дозволяє перетворити сервер або робочу станцію на базі ОС Windows Server 2016 або Windows 10 на захищені системи, що виконуються в рамках гіпервізора Windows, деякі компоненти виносяться за межі гостьової системи. Наприклад, за рамки ОС виноситься система управління хешованими парами логін/пароль (креденшени), що називається Credential Guard.

Гіпервізор забезпечує віртуалізацію гостьової системи на сервері або ноутбуці, а також канал обміну між зовнішніми компонентами (Credential Guard, Device Guard) та ОС. Така архітектура забезпечує великі труднощі при доступі зловмисників до областей пам'яті, де зберігаються хеші паролів різних користувачів - адже ця область винесена за межі операційної. системи.

Також апаратне забезпечення комп'ютера повинно мати у своєму складі модуль TPM 2.0 (Trusted Platform Module), який забезпечує механіку безпечного завантаження (Secure Boot). Адже якщо не використовувати механізм безпечного завантаження, то атаку можна провести на сам гіпервізор, підмінивши його компоненти, а далі вже мати доступ до основної віртуальної машини та інших компонентів гіпервізора, зокрема сховища паролів. Таким чином, для повного захисту потрібно використовувати зв'язок VBS+TPM 2.0 (друга версія TPM постачається вже з усім сучасним обладнанням).

Щоб така схема працювала, потрібно забезпечити виконання таких вимог:

• UEFI firmware (не BIOS).
• Опція безпечного завантаження Secure Boot з підтримкою TPM.
• Підтримка технології Hardware virtualization (опція процесорів Intel VT/AMD-V) та функцій IOMMU.

І найголовніше - ОС Windows має бути встановлена ​​з усіма цими включеними опціями, інакше потім налаштовувати VBS буде проблематично.

У разі гіпервізору ESXi для незахищеної віртуальної машини Windows, щоб захистити машину за допомогою VBS, потрібно використовувати вкладену (nested) віртуалізацію - адже гіпервізор Windows Hypervisor треба запустити на платформі VMware ESXi. Для цього в налаштуваннях віртуальної машини треба виставити опцію Enable для Virtualization Based Security

Це дозволить відкрити всі необхідні опції процесора для гостьової ОС віртуальної машини, в якій також працюватиме гіпервізор.

Щоб ця схема працювала, потрібно виконати дві умови:

• Віртуальна машина повинна мати віртуальне залізо Virtual Hardware версії 14, яке з'явилося у vSphere 6.7.
• Гостьову ОС віртуальної машини потрібно розгортати на базі UEFI і з вже включеною опцією Secure Boot (зверніть увагу на цю опцію на панелі Boot Options у розділі VM Options (див. скріншот налаштувань вище).

Ну та остання деталь - це модуль TPM. Для фізичних систем цей модуль робиться з розрахунком на одну систему, має невеликий об'єм пам'яті захищеного сховища (вимірюється в кілобайтах) і працює дуже повільно, тому що це є serial device.

Тому VMware зробила віртуальний пристрій - vTPM 2.0, який як сховище використовує звичайний файл .nvram. Фізичний TPM не розрахований на те, щоб підтримувати сотні віртуальних машин на одному сервері (просто не вистачить обсягу сховища та швидкодії), а віртуальний vTPM чудово справляється із цим завданням. До того ж, віртуальну машину з віртуальним vTPM можна переносити між серверами за допомогою vMotion та робити її резервні копії.

Але, звісно, ​​файл nvram треба добре зашифрувати, тому для віртуальної машини потрібно включити VM Encryption. Це забезпечить працездатність машини у захищеному середовищі разом із опцією VBS. При цьому диски ВМ шифрованими не будуть, що дозволить отримати доступ до даних на рівні дисків VMDK у разі втрати ключів.

Найцікавіше, що vTPM 2.0 не потрібно якось окремо встановлювати та налаштовувати - він автоматично виявляється засобами Windows зі стандартними драйверами

Утиліта Device Guard and Credential Guard hardware readiness tool від компанії Microsoft визначає цей vTPM як сумісний, тому можете використовувати його для віртуальних машин, до яких висуваються підвищені вимоги до безпеки.

Інші новини