Segurança granular reforçada com o Windows Server 2016 - Shielded and encryption-supported VM e Guarded Fabric solution (Escovando bit)
Imagine um engenheiro de segurança ou arquiteto de soluções com plenos poderes administrativos. Isso é algo comum não importa o lugar em que você esteja trabalhando, não importando o país. Isso acontece com grande frequência. Pois bem, agora imagine que esse empregado esta descontente e que pretende deixar a empresa nas próximas semanas (lembre-se da palavra descontente). Nosso engenheiro descontente, que chamaremos a partir de agora de Senhor X, efetua o logon em um host Hyper-V que possui diversas máquinas virtuais diferentes. Tais máquinas pertencem a um cliente da área da saúde e contém dados sensíveis e sigilosos.
Nosso senhor X tem um alvo em especial, um controlador de domínio da empresa de saúde. Ele então pluga sua pendrive no servidor diretamente (afinal possui acesso físico ao servidor), para copiar o VHD dessa máquina virtual. Por curiosidade essa empresa de saúde possui diversos controladores de domínio e não notará a falta de um deles por um curto período de tempo, porém suficiente para a cópia dos dados (lembre-se deste ponto, onde está a monitoração).
Senhor X, já de posse do VHD em seu notebook pessoal, utiliza ferramentas em uma distribuição Linux popular (Kali), e lança um ataque off-line ao banco de dados do Active Directory desse controlador para obter dados sensíveis. Com a posse dos dados, nosso senhor X (mais ousado), volta novamente seus olhos às maquinas virtuais, porém agora ao servidor de arquivos. Ele acessa e injeta um malware que verifica todo o sistema de arquivos em busca de dados confidenciais que serão transmitidos para seu servidor FTP, que serão (obviamente), comercializados pela Deep Web, ou ainda pior, servir de poderosas armas de ataques de negação de serviço. Nosso senhor X fez uso de seus privilégios para se tornar o pior pesadelo dessa empresa provedora de serviços. Mas não contente, o Senhor X deixou um trojan bem elaborado que permite seu acesso ainda por mais tempo (até que outro especialista o descubra).
Não é nada incomum receber um cenário assim em empresas mundo a fora (sim isso não acontece apenas no Brasil), e a tratativa exige além do fator humano, alguns pontos de melhoria dentro da infraestrutura, dos processos e das políticas internas. A grande maioria das empresas não se preocupa com a segurança, até que o prejuízo se apresente. Mas você pode se perguntar, por que estamos falando de um cenário assim se o assunto é exatamente a segurança com o Windows Server 2016, em especial com questões relacionadas a virtualização.
Grandes melhorias relacionadas ao formato de acesso ao hardware pelas máquinas virtuais (e vice versa), foram implementadas no Windows Server 2016. Tais melhorias não garantem 100% de segurança, mas ajudam muito a dificultar o acesso aos dados mais sensíveis, lembrando que o mais complexo em um cenário como estes é exatamente o refinamento dos processos, políticas e pessoas. Tecnologias e melhorias sistêmicas são fáceis perto dos outros itens. Podemos dizer que a Microsoft pretende contar os dias (contagem regressiva), para host de hardware ter pleno acesso a todas as máquinas guest (VMS). O termo de acesso completo é curiosamente conhecido como "keys to the kingdom", ou "chaves para o reino".
O Windows Server 2016 possui duas ferramentas muito úteis para uma proteção refinada, como por exemplo a Guarded Fabric solution e a Shielded and encryption-supported VMs, tratado de forma mais direcionada pela prova 70-744 (MCSE).
Levando em consideração a literatura oficial Microsoft, o Guarded Fabric é uma infraestrutura de virtualização baseada em Hyper-V que fornece acesso delegado e granular a todas as máquinas virtuais convidadas (VMs), permitindo um aumento considerável de segurança (se o Senhor X não for o único responsável pelo ambiente). Para entender melhor a forma de ver o ambiente virtual é exatamente entender a separação de preocupações entre os administradores. Veja, neste ponto estamos separando o joio do trigo, seprando questões lógicas do hardware que funciona em conjunto para atingir um objetivo comercial, que é exatamente o suporte ao ambiente virtual (virtualização + hardware de qualidade = comércio)
Por exemplo, uma pilha de hosts Hyper-V montados em um rack de servidor de datacenter é um bom exemplo do uso de um fabric. Mas a esse ponto, um administrador de fabric é também um administrador de sistemas encarregado da manutenção do material constitutivo do fabric e do software do sistema. Em um contexto Hyper-V, isso normalmente permite que o administrador do fabric execute ações como:
** 1. **Iniciar, reiniciar e reparar o hardware do host
** 2.** Iniciar e parar máquinas virtuais do host (VMs)
Observe que um administrador de fabric pode muito bem não ter o direito de fazer logon naquelas VMs hospedadas. Essa função de trabalho normalmente é reservada para o administrador da carga de trabalho. Em TI, uma carga de trabalho refere-se ao tipo de trabalho que um computador é dado para fazer. Por exemplo, um servidor Hyper-V é chamado de host de virtualização. Você tem outros servidores físicos ou virtuais que executam o Active Directory, SQL Server, SharePoint Server e assim por diante.
É verdade que em algumas (para não dizer muitas) empresas os administradores de material e os administradores de carga de trabalho são as mesmas pessoas. Precisamos examinar (e avaliar seriamente) como criar uma linha de limite de segurança rígida entre funções administrativas distintas, ajudando a empresa a permanecer em conformidade com quaisquer regulamentos e SLAs governamentais e/ou de industriais aos quais possa estar sujeita. Precisamos garantir que os dados não sejam levados por funcionários descontentes. Aprendi ao longo da vida que os ataques mais pesados são sempre os que vem de dentro de casa, pois são os que estamos menos preparados. São ataques que realmente colocam a prova nossa moral e resiliência.
Para tornar um ambiente mais seguro, existem algumas boas técnicas aderentes ao ambiente com o Windows Server 2016, das quais destaco:
1. Instalar e configurar o Host Guardian Service
2. Configurar o admin e o TPM-trusted attestation
3. Configurar o Key Protection Service utilizando o HGS (Host Guardian Service)
4. Migrar as shielded VMs para outro guarded hosts
5. Efetuar um troubleshoot rigoroso nos guarded hosts
6. Validar rigorosamente a aplicação do hardening dentro do ambiente
Cabe ao arquiteto de soluções pensar em formas criativas para proteger seu ambiente de ataques, não importando a área de atuação da empresa. Entenda que seu ambiente é a essência de sua existência e que as pessoas ali presentes dependem de seu empenho e proteção.