Shielded Virtual Machines datacenter security

تکنولوژی Shielded Virtual Machines datacenter security چیست؟

مقالات/ شبکه سه شنبه, 04 آذر 1399 ریحانه غفوریان

Shielded Virtual Machines datacenter security همانطور که از نامش پیداست یکی از تکنولوژی های امنیتی شرکت مایکروسافت برای زیرساخت مجازی خود موسوم به Hyper-V است.

ایده پشت این تکنولوژی محافظت از Workloadها در یک دیتاسنتر خصوصی یا عمومی در مقابل Malicious Administrator هاست. به عنوان مثال یک Rouge Administrator می تواند یک VM را در زیرساخت مجازی شما بر روی یک حافظه کپی کرده و از سازمان شما خارج نماید، سپس توسط استفاده از ابزارهای هک یا Hacking Tools قادر به بازیابی اطلاعات از VM مورد نظر خواهد بود.

جهت جلوگیری از چنین مشکلاتی و دسترسی ادمین های واقعی از جمله Virtualization adminها، Storage adminها، Backup adminها، Cloud adminها و.. این راهکار پیشنهاد می شود.

ماشین های مجازی که به این روش محافظت می شوند اصطلاحاً Shielded VM نامیده می شوند و شما می توانید از راهکار مزبور در ویندوز سرورهای 2012 و 2016 و همینطور در ویندوز سرور جدید 2019 استفاده نموده و Gen-2 VMها را به Shielded VMها تبدیل نمایید.

Shielded VM

Microsoft Shielded Vها از تکنولوژی BitLocker Encryption جهت قفل کردن دسترسی سایر administratorها به VM fileها استفاده می کند( vDiskها را رمزنگاری می کند).

به این طریق سایر administratorها در tenantهای دیگر قادر به دسترسی به VMهای دیگر نیستند. بنابراین راهکار Shielded Virtual Machines datacenter security یکی از بهترین راهکارهای امنیتی جهت دسترسی به VMها در محیط های Multi-Tenancy مایکروسافت به شمار می رود.

در معماری Multi-Tenancy، چندین کاربر می‌توانند از یک نمونه (Single Instance) از اپلیکیشن نرم‌افزاری استفاده کنند. یعنی این نمونه روی سرور اجرا می‌شود و به چندین کاربر سرویس می‌دهد. هر کاربر را یک Tenant می‌نامیم. می‌توان به Tenantها امکان تغییر و شخصی‌سازی بخشی از اپلیکیشن را داد مثلا رنگ رابط کاربری یا قوانین کسب‌وکار، اما آنها نمی‌توانند کدهای اپلیکیشن را شخصی‌سازی کنند.

در محیط های Microsoft Cloud از جمله Windows Azure نیز می توانید از این راهکار امنیتی استفاده نمایید و در رابط کاربری Azure گزینه ای برای ایجاد Shielded VMها تعبیه شده است.

در واقع Shielded VMها مبتنی بر تکنولوژی ای به نام Microsoft Guarded Fabric Technology ایجاد می شوند، که یک مرز ایزوله شده قوی بین میزبان و VMشما ایجاد کرده تا جاییکه میزبان نمی تواند به VM Dataی شما دسترسی داشته باشد.

آشنایی با مدل OSI و لایه های آن

معماری Guarded Fabric بطور کلی دارای 4 کامپوننت است:

  1. Code Integrity Component
  2. Virtual Security Mode
  3. Trusted Platform Module V2
  4. Host Guardian Service

شبکه

سرویس Host Guardian Service یا به اختصار HGS که بر روی یک cluster اجرا شده و Security-keyها و Attestation Serviceها را اضافه و از آنها محافظت می کند که معمولاً شامل یک cluster با سه node می باشد.

Shielding Data چیست و چرا محافظت از آن ضروری است؟

یک پرونده داده محافظ یا Shielding Data File که اصطلاحاً Provisioning Data File یا به اختصار PDK file نیز نامیده می شود ، فایل رمزنگاری شده یک Tenant یا VM است که شامل اطلاعات پیکربندی مهم VM مورد نظر می باشد که شامل موارد زیر است:

  1. Administrator Password
  2. RDP Certificates and other identity-related certificates
  3. Domain join credentials
  4.  ….


ذخیره مقاله:

اشتراک گذاری:




...

ریحانه غفوریان

دانشجوی مهندسی نرم افزار - علاقمند به شبکه و امنیت!


مطالب پیشنهادی



              
                 امنیت شبکه لایه بندی شده
امنیت شبکه لایه بندی شده (قسمت دوم)

پیش از این در مورد امنیت شبکه لایه بندی صحبت کردیم. در این مطلب موارد باقی مانده را ذکر میکنیم و با تکنولوژی‌های IDS و IPS آشنا خواهیم شد. اگر به شبکه علاقه مند هستید این مطلب را پیشنهاد می‌کنیم.


              
                 نرم افزار ادیت عکس
پنج اپلیکیشن کاربردی ادیت و طراحی عکس ساده برای کاربران آماتور

در این مطلب از جامعه گیک‌های کامپیوتر 5 مورد از بهترین اپلیکیشن‌ها و نرم افزارها که برای ادیت تصاویر استفاده می‌شوند را معرفی می‌کنیم.


              
                 ui ux designer
7 مرحله برای تبدیل شدن به یک طراح UI/UX

در این مطلب از جامعه‌ی گیک‌های کامپیوتر به شما راهنمایی‌های لازم را جهت ورود به دنیای طراحی رابط و تجربه کاربری می‌دهیم و به بررسی 7 مرحله برای تبدیل شدن به یک طراح UI/UX می‌پردازیم.


نظری برای نمایش وجود ندارد. شما اولین نظر باشید.


ارسال دیدگاه

برای ثبت دیدگاه باید ابتدا وارد شوید