Shielded Virtual Machines (Shielded VMs) คืออะไร?
ก่อนอื่นเลยผมต้องขออนุญาตอธิบายถึงที่มาที่ไปกันก่อนนะครับ จากนั้นผมจะพาท่านผู้อ่านไปทำความรู้จักกับ Shielded VMs, โดยผมขอเริ่มจากดาต้าเซ็นเตอร์ขององค์กรต่างๆ ที่มีอยู่ทุกวันนี้ ส่วนใหญ่ได้มีการนำเอา Virtualization เทคโนโลยีเข้ามาใช้งาน เช่น VMware, Microsoft, Citrix, หรือยี่ห้ออื่นๆ โดยประโยชน์ที่ได้รับจากการนำเอาเทคโนโลยีดังกล่าวมาใช้งานมีมากมายครับ เช่น
- ทำให้ใช้งานทรัพยากรเครื่อง (System Resources) ได้อย่างเต็มประสิทธิภาพ
- ระบบต่างๆ ที่รันอยู่ใน Virtual Machines ไม่ขึ้นหรือไม่ผูกกับ Hardware นั่นหมายความว่า สามารถนำเอา
Virtual Machines ไปรันและทำงานที่ Hardware ใดก้อได้
- จากข้อที่แล้วส่งผลให้การดูแลและบำรุงรักษาทำได้สะดวกและง่ายมากขึ้น
- ประหยัดค่าใช้จ่ายในการดูแลรักษา
สิ่งเหล่านี้คือตัวอย่างของประโยชน์ที่จะได้รับจาก Virtualization เทคโนโลยีครับ แต่มีสิ่งหนึ่งที่ไม่อาจมองข้ามไปได้และถือว่าเป็นเรื่องที่สำคัญมากที่สุดเรื่องหนึ่งคือ เรื่องของความปลอดภัยสำหรับ Virtualization (Virtualization Security) จากจุดนี้เองทาง Microsoft ได้มีการลงทุนและพัฒนา ตลอดจนหาแนวทางที่จะทำการปกป้อง Virtual Machines รวมถึง Hyper-V Hosts ที่ Virtual Machines เหล่านั้นรันและทำงานอยู่ ให้รอดพ้นจากภัยคุกคามต่างๆ เช่น Malicious Software ที่ทำถูกรันขึ้นมาเพื่อทำการ Compromise Hyper-Hosts, การเข้าถึง Virtual Machines แล้วทำการ Copy ไฟล์ของ Virtual Machines (VHDX) และอื่นๆ เป็นต้นครับ เพราะภัยคุกคามเหล่านี้ต้องการที่จะเข้าถึงตัวของ Hyper-V Hosts จากนั้นก็จะเข้าถึง Virtual Machines ต่างๆ ที่รันอยู่ใน Hyper-V Hosts นั้นๆ นั่นหมายความว่า ระะบบต่างๆ ที่รันอยู่ใน Virtual Machines เช่น Domain Controllers, File Servers, HR Servers, Database Servers, และอื่นๆ เป็นต้น ก็จะตกอยู่ในอันตราย และสำคัญที่สุดคือ ข้อมูลขององค์กรก็จะไปตกอยู่ในมือของผู้ไม่หวังดีครับ
จากเมื่อซักครู่ที่ผมอธิบายไปนั้น สิ่งหนึ่งที่ผมจะพยายามชี้ให้ท่านผู้อ่านได้เห็นคือ ตัวของ Virtual Machines นั้นเป็นเป้าหมายหลักของภัยคุกคามเหล่านี้ครับ เพราะสามารถเข้าถึงได้ง่ายครับ เพราะ Virtual Machines ที่รันและทำงานอยู่ใน Hyper-V นั้น ถ้ามองอีกมุมหนึ่ง Virtual Machines เหล่านี้ก็เป็นเพียงแค่ไฟล์ธรรมดาไฟล์หนึ่งที่เก็บอยู่ใน Server ครับ ผมกำลังพูดถึง ไฟล์นามสกุล VHD และ VHDX ของ Hyper-V ครับ ซึ่งผมสามารถทำการ Copy ไฟล์ดังกล่าวใส่ใน External Hard Disks ของผมแล้วนำไปรันและทำงานที่อื่นๆ ได้ครับ
ซึ่งนั่นก็หมายความว่าข้อมูลขององค์กรเกิดรั่วไหลแล้วครับ ดังนั้นสิ่งที่ผู้ดูแลระบบหรือผู้ที่เกี่ยวข้องขององค์กรนั้นจะต้องคิดและวางแผนเพื่อหาทางป้องกัน Virtual Machines รวมถึง Hyper-V Hosts ได้อย่างไรครับ จากปัญหาดังกล่าวทาง Microsoft ได้เตรียมีฟีเจอร์ที่จะมาจัดการปัญหาดังกล่าวนี้ให้แล้วครับ โดยฟีเจอร์นี้จะอยู่ใน Windows Server 2016 และ Windows Server 2019 ด้วยครับ ฟีเจอร์ที่ว่านี้ก็คือ "Shielded Virtual Machines" ครับผม โดย Shielded VMs จะทำหน้าที่ในการปกป้อง Virtual Machines และ Hyper-V Hosts จากปัญหาที่ผมได้อธิบายไปก่อนหน้านี้ครับ
รู้จักกับ Guarded Fabric
Shielded VMs เป็นฟีเจอร์ที่ทำการปกป้อง Virtual Machines ที่เป็น Generation 2 หรือ Gen 2 ครับ ซึ่งมี Virtual TPM แล้วทำการเข้ารหัสหรือ Encryption โดยใช้ BitLocker ครับ โดย Virtual Machines ที่ถูกเข้ารหัสนั้น จะสามารถรันและทำงานอยู่ใน Hyper-V Hosts ที่ได้มีการ Approved แล้วเท่านั้นครับ โดยตัวที่จะมาจัดการปกป้องและทำให้ Hyper-V Hosts ปลอดภัย คือ "Host Guardian Service" หรือเรียกสั้นๆ ว่า HGS ซึ่งเป็น Role หนึ่งที่อยู่ใน Windows Server 2016 และ 2019 ครับ โดย HGS จะทำหน้าที่จัดการควบคุมและดูแล Hyper-V Hosts ที่ HGS ดูแลและควบคุมเท่านั้นที่จะสามารถรัน Shield VMs ได้ครับ
นั่นหมายความว่า HGS จะทำงานร่วมกับ Shielded VMs เพื่อทำการปกป้อง Virtual Machines และ Hyper-V Hosts ครับ โดยทั้ง Shielded VMs และ HGS จะเป็นส่วนประกอบอยู่ภายใต้สิ่งที่เรียกว่า "Guarded Fabric" ครับ โดย Guarded Fabric จะประกอบไปด้วยส่วนประกอบต่างๆ ดังรูปด้านล่างครับ
- 1 Host Guard Service (HGS) ซึ่งควรจะเป็น 3 Physical Servers และอยู่ภายใน Cluster
- 1 หรือมากกว่าสำหรับ Guarded Hosts ซึงก็คือ Hyper-V Servers ที่จะรัน Virtual Machines ต่างๆ แต่อยู่
ภายใต้การดูแลควบคุมของ HGS
- Shielded Virtua Machines ซึ่งก็คือ Virtual Machines ต่างๆ ที่ได้มีการเข้ารหัสและรันอยู่ใน Guarded Hosts
ดังนั้นเมื่อถึงเวลาใช้งาน, ผู้ใช้งานต้องการสร้าง Virtual Machines ใน Guarded Fabric, นั่นหมายความทั้ง Virtual Machines ที่กำลังจะถูกสร้างขึ้นภายใน Hyper-V Hosts ทั้งหมดจะอยู่ภายใต้การดูแลและปกป้องจาก HGS ครับ สำหรับ HGS นั้นจะจัดเตรียม 2 Services สำหรับการปกป้อง Hyper-V Hosts คือ
- Trusted Attestation Service (ใช้ TPM)
- Key Attestation Service (ใช้ Asymmetric Key Pairs)
ทาง Microsoft แนะนำว่าให้ใช้ Trusted Attestation Service ครับ เพราะมีความปลอดภัยและแข็งแรงกว่าครับ แต่ตัวของ Hyper-V Hosts จะต้องมี TPM 2.0 นะครับ
และสุดท้าย ผมมีวิดีโอเกี่ยวกับเรื่องราวของ Shield VMs มาให้ท่านผู้อ่านได้เข้าไปชมกันด้วยครับ โดยวิดีโอนี้เป็นวิดีโอที่ทาง Microsoft ได้จัดทำขึ้นมาครับผม
และทั้งหมดนี้คือเรื่องราวของฟีเจอร์ Shielded Virtual Machines ครับ แต่ต้องบอกว่าเรื่องราวของ Shielded Virtual Machines ยังมีรายละเอียดอีกเยอะเลยครับ บทความของผมตอนนี้เป็นเพียงแค่นำมาให้ท่านผู้อ่านได้รู้จักเท่านั้นครับผม…..
ไม่มีความคิดเห็น:
แสดงความคิดเห็น