Guida alla pianificazione delle macchine virtuali schermate e dell'infrastruttura sorvegliata per i tenant

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo argomento è incentrato sui proprietari di macchine virtuali che vogliono proteggerle per scopi di conformità e sicurezza. Indipendentemente dal fatto che le macchine virtuali vengano eseguite in un'infrastruttura sorvegliata di un provider di hosting o privata, i proprietari devono controllare il livello di sicurezza delle macchine virtuali schermate, che include la possibilità di decrittografarle, se necessario.

Esistono tre aree da considerare quando si usano macchine virtuali schermate:

• Livello di sicurezza per le macchine virtuali
• Le chiavi crittografiche usate per proteggerle
• Schermatura dei dati: informazioni riservate usate per creare macchine virtuali schermate

Livello di sicurezza per le macchine virtuali

Quando si distribuiscono macchine virtuali schermate, è necessario selezionare uno dei due livelli di sicurezza seguenti:

• Schermato
• Crittografia supportata

Sia le macchine virtuali schermate che quelle che supportano la crittografia hanno un TPM virtuale collegato e quelle che eseguono Windows sono protette da BitLocker. La differenza principale consiste nel fatto che le macchine virtuali schermate bloccano l'accesso degli amministratori dell’infrastruttura, mentre quelle supportate dalla crittografia consentono agli amministratori dell’infrastruttura lo stesso livello di accesso riservato a una normale macchina virtuale. Per altre informazioni su queste differenze, vedere Panoramica dell'infrastruttura sorvegliata e delle macchine virtuali schermate.

Scegliere Macchine virtuali schermate se si vuole proteggere la macchina virtuale da un'infrastruttura compromessa (inclusi gli amministratori compromessi). Devono essere usate in ambienti in cui gli amministratori dell'infrastruttura e l'infrastruttura stessa non sono attendibili. Scegliere Macchine virtuali supportate dalla crittografia se si vuole soddisfare un requisito di conformità che potrebbe richiedere sia la crittografia dei dati inattivi che la crittografia della macchina virtuale in transito (ad esempio, durante la migrazione in tempo reale).

Le macchine virtuali supportate dalla crittografia sono ideali in ambienti in cui gli amministratori dell’infrastruttura sono pienamente affidabili, nonostante la crittografia rimanga un requisito.

È possibile eseguire una combinazione di macchine virtuali normali, macchine virtuali schermate e macchine virtuali supportate dalla crittografia in un'infrastruttura sorvegliata e anche nello stesso host Hyper-V.

La schermatura o il supporto della crittografia di una macchina virtuale dipende dai dati di schermatura selezionati al momento della creazione della macchina virtuale. I proprietari delle macchine virtuali configurano il livello di sicurezza durante la creazione dei dati di schermatura (vedere la sezione Dati di schermatura). Si noti che una volta effettuata questa scelta, non è possibile modificarla finché la macchina virtuale rimane nell'infrastruttura di virtualizzazione.

Chiavi crittografiche usate per le macchine virtuali schermate

Le macchine virtuali schermate sono protette dai vettori di attacco dell’infrastruttura di virtualizzazione tramite dischi crittografati e diversi altri elementi crittografati che possono essere decifrati solo da:

• Chiave del proprietario: si tratta di una chiave crittografica gestita dal proprietario della macchina virtuale, usata in genere per il ripristino di ultima istanza o per la risoluzione dei problemi. I proprietari delle macchine virtuali sono tenuti a conservare le chiavi del proprietario in una posizione sicura.
• Uno o più guardiani (chiavi sorveglianza host): ogni guardiano rappresenta un'infrastruttura di virtualizzazione in cui un proprietario autorizza l'esecuzione delle macchine virtuali schermate. Le aziende dispongono spesso di un'infrastruttura di virtualizzazione primaria e di un'infrastruttura di virtualizzazione di ripristino di emergenza e, in genere, autorizzano l'esecuzione delle macchine virtuali schermate in entrambi i casi. In alcuni casi, l'infrastruttura secondaria (DR) potrebbe essere ospitata da un provider di cloud pubblico. Le chiavi private di una qualsiasi infrastruttura sorvegliata vengono mantenute solo nell'infrastruttura di virtualizzazione, mentre le chiavi pubbliche possono essere scaricate e sono contenute all'interno del relativo Guardian.

Come si crea una chiave proprietario? Una chiave proprietario è rappresentata da due certificati. Un certificato per la crittografia e un certificato per la firma. È possibile creare questi due certificati usando la propria infrastruttura PKI o ottenere certificati SSL da un'autorità di certificazione pubblica (CA). A scopo di test, è anche possibile creare un certificato autofirmato in qualsiasi computer a partire da Windows 10 o Windows Server 2016.

Quante chiavi proprietario devono essere presenti? È possibile usare una singola chiave proprietario o più chiavi proprietario. Le procedure consigliate prevedono un'unica chiave proprietario per un gruppo di macchine virtuali che condividono lo stesso livello di sicurezza, attendibilità o rischio, e per il controllo amministrativo. È possibile condividere una singola chiave proprietario per tutte le macchine virtuali schermate aggiunte al dominio e depositare tale chiave affinché venga gestita dagli amministratori del dominio.

Posso usare le mie chiavi per l'Host Guardian? Sì, è possibile "portare la propria chiave" al provider di hosting e usarla per le macchine virtuali schermate. In questo modo è possibile usare chiavi specifiche (anziché usare la chiave del provider di hosting) che possono essere usate quando si devono rispettare norme di sicurezza o regolamenti specifici. Per motivi di igiene delle chiavi, le chiavi del Guardiano dell'host devono essere diverse da quelle del Proprietario.

Dati di schermatura

I dati di schermatura contengono i segreti necessari per distribuire macchine virtuali schermate o supportate dalla crittografia. Vengono usati anche per convertire le normali macchine virtuali in macchine virtuali schermate.

I dati di schermatura vengono creati usando la procedura guidata per i file di dati di schermatura e archiviati in file PDK che i proprietari delle macchine virtuali caricano nell'infrastruttura sorvegliata.

Le macchine virtuali schermate consentono di proteggersi dagli attacchi provenienti da un’infrastruttura di virtualizzazione compromessa, pertanto è necessario un meccanismo sicuro per trasmettere dati di inizializzazione sensibili, ad esempio la password dell'amministratore, le credenziali di accesso al dominio o i certificati RDP, senza rivelarli all’infrastruttura di virtualizzazione stessa o ai suoi amministratori. Inoltre, i dati di schermatura contengono quanto segue:

1. Livello di sicurezza: schermata o supportata dalla crittografia
2. Proprietario ed elenco di guardiani host attendibili in cui è possibile eseguire la macchina virtuale
3. Dati di inizializzazione della macchina virtuale (unttend.xml, certificato RDP)
4. Elenco di dischi modello firmati attendibili per la creazione della macchina virtuale nell'ambiente di virtualizzazione

Quando si crea una macchina virtuale schermata o supportata dalla crittografia o si converte una macchina virtuale esistente, verrà chiesto di selezionare i dati di schermatura anziché richiedere le informazioni riservate.

Quanti file di dati di schermatura sono necessari? È possibile usare un singolo file di dati di schermatura per creare ogni macchina virtuale schermata. Se, tuttavia, una determinata macchina virtuale schermata richiede che uno dei quattro elementi sia diverso, è necessario un file di dati di schermatura aggiuntivo. Ad esempio, potrebbe essere presente un file di dati di schermatura per il reparto IT e un file di dati di schermatura diverso per il reparto risorse umane perché la password di amministratore iniziale e i certificati RDP sono diversi.

Anche se l'uso di file di dati di schermatura separati per ogni macchina virtuale schermata è possibile, non è necessariamente la scelta ottimale e deve essere eseguita per i motivi giusti. Ad esempio, se ogni macchina virtuale schermata deve disporre di una password amministratore diversa, prendere in considerazione l'uso di un servizio di gestione delle password o di uno strumento come Soluzione password dell'amministratore locale (LAPS) di Microsoft.

Creazione di una macchina virtuale schermata in un'infrastruttura di virtualizzazione

Sono disponibili diverse opzioni per la creazione di una macchina virtuale schermata in un'infrastruttura di virtualizzazione (quanto segue è rilevante sia per le macchine virtuali schermate che per quelle supportate dalla crittografia):

1. Creare una macchina virtuale schermata nell'ambiente e caricarla nell'infrastruttura di virtualizzazione
2. Creare una nuova macchina virtuale schermata da un modello firmato nell'infrastruttura di virtualizzazione
3. Schermare una macchina virtuale esistente (la macchina virtuale esistente deve essere di seconda generazione e deve eseguire Windows Server 2012 o versioni successive)

La creazione di nuove macchine virtuali da un modello è una procedura normale. Tuttavia, poiché il disco modello usato per creare una nuova macchina virtuale schermata risiede nell'infrastruttura di virtualizzazione, sono necessarie misure aggiuntive per assicurarsi che non sia stato manomesso da un amministratore dell'infrastruttura malintenzionato o da malware in esecuzione nell'infrastruttura. Questo problema viene risolto usando dischi modello firmati: i dischi modello firmati e le relative firme disco vengono create da amministratori attendibili o dal proprietario della macchina virtuale. Quando viene creata una macchina virtuale schermata, la firma del disco modello viene confrontata con le firme contenute nel file di dati di schermatura specificato. Se una delle firme del file di dati di schermatura corrisponde alla firma del disco modello, il processo di distribuzione continua. Se non viene trovata alcuna corrispondenza, il processo di distribuzione viene interrotto, assicurandosi che i segreti della macchina virtuale non vengano compromessi a causa di un disco modello non attendibile.

Quando si usano dischi modello firmati per creare macchine virtuali schermate, sono disponibili due opzioni:

1. Usare un disco modello firmato esistente fornito dal provider di virtualizzazione. In questo caso, il provider di virtualizzazione gestisce dischi modello firmati.
2. Caricare un disco modello firmato nell'infrastruttura di virtualizzazione. Il proprietario della macchina virtuale è responsabile della gestione dei dischi modello firmati.