Recursos para profesionales y entusiastas de IT

[Articulo] Windows Server | Ambientes virtuales seguros con Shielded VMs en Windows Server 2016

4 minutos de lectura

Shielded VM es un equipo virtual basado en una definición cifrada que un propietario de una VM crea para proteger información importante de configuración de VM, como la contraseña de administrador, RDP y otros certificados relacionados con la identidad, credenciales, etc.

En esta publicación vamos a presentar conceptualmente qué es Shielded VMs en Windows Server 2016 y por qué lo necesitarías en tu infraestructura.

¡Esperamos que lo disfruten y estamos en contacto!

 

Introducción

Objetivo y Alcance

Esta publicación tiene como objetivo que las organizaciones y Administradores de IT conozcan conceptualmente cuáles son los componentes de Virtualización, Redes, Almacenamiento, Seguridad y Administración de la “oferta Microsoft” para un datacenter definido por software (Software-Defined Datacenter).

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

Desarrollo

¿Qué es una Shielded VM?

Una Shielded VM es un equipo virtual basado en una definición cifrada que un propietario de una VM crea para proteger información importante de configuración de VM, como la contraseña de administrador, RDP y otros certificados relacionados con la identidad, credenciales, etc.

Básicamente, el archivo de datos de protección (archivo PDK) proporciona garantías de que la máquina virtual se creará de la manera prevista por el inquilino. Por ejemplo, cuando el inquilino coloca un archivo de respuesta (unattend.xml) en el archivo de datos de protección y lo entrega al proveedor de alojamiento, el proveedor de alojamiento no puede ver ni realizar cambios en ese archivo de respuesta. Del mismo modo, el proveedor de alojamiento no puede sustituir un VHDX diferente al crear la máquina virtual blindada, ya que el archivo de datos de protección contiene las firmas de los discos de confianza a partir de los cuales se pueden crear máquinas virtuales blindadas.

¿Qué se protege en una Shielded VM?

Entre otros, los archivos de datos de protección contienen secretos tales como:

  • Credenciales de administrador
  • Un archivo de respuesta (unattend.xml)
  • Una política de seguridad que determina si las máquinas virtuales creadas con estos datos de protección están configuradas como blindadas o con encriptación.
  • Un certificado RDP para asegurar la comunicación de escritorio remoto con la máquina virtual
  • Un catálogo de firma de volumen que contiene una lista de firmas de disco de plantilla firmadas y de confianza que permiten crear una nueva máquina virtual desde
  • Un Key Protector (o KP) que define las telas protegidas en las que está autorizada una máquina virtual blindada para ejecutarse.

Elementos de Configuración relacionados

La siguiente figura muestra el archivo de datos de protección y los elementos de configuración relacionados:

Shielded VMs | Elementos de Configuración involucrados

Shielded VMs | Elementos de Configuración involucrados

Conclusiones

Shielded VM es un equipo virtual basado en una definición cifrada que un propietario de una VM crea para proteger información importante de configuración de VM, como la contraseña de administrador, RDP y otros certificados relacionados con la identidad, credenciales, etc.

En esta publicación recorrimos esta característica conceptualmente, y además especificamos que tipo de elementos resguarda y algunos elementos de configuración relacionados.

 

Acerca del Autor

Pablo Ariel Di Loreto

Director at TecTimes
Mi nombre es Pablo Ariel Di Loreto, nací en Mayo de 1981 y soy oriundo de la Ciudad de Berazategui, Buenos Aires, Argentina.

Mis lazos con la informática comenzaron en el año 1998, cuando tenía 16 años, y comencé a aprender como administrar servidores bajo la plataforma Microsoft (Windows Server, Exchange Server, IIS, y otros) y a realizar desarrollos de software con tecnologías ASP y PHP. Un tiempo más tarde comencé a trabajar ya en forma productiva en la administración de plataformas y desarrollo de software.

Desde hace varios años he tenido una intensa actividad en las comunidades profesionales, a través de eventos, webcasts, foros y publicaciones diversas. En Abril de 2014 fui reconocido como Most Valuable Professional (MVP) por parte de Microsoft, estando hoy reconocido en las especialidades "Windows and Devices for IT" y "Microsoft Azure".

En la actualidad me desarrollo como Service Delivery Manager en Algeiba (http://www.algeiba.com), una compañía que brinda soluciones y servicios tecnológicos, dirigiendo un Equipo de Trabajo de más de 20 personas. También soy el Director de TecTimes, un Portal de Tecnología que nació en el año 2012 como parte de un proyecto personal de contribución a la comunidad tecnológica en español.

Deja una respuesta

avatar