Hola

La semana pasada se publicó la Hyper-V Security Guide, que complementa la información ya publicada en la sección Planning for Hyper-V Security de TechNet. Está disponible en la página de descarga de la Guía de Seguridad de Hyper-V, y en ella se cubren tres aspectos relativos a la seguridad de entornos virtualizados con Hyper-V:

1.- El bastionado del host

Basado en la instalación de Server Core, en el que se incluyen recomendaciones a la hora de configurar la red y los permisos del almacenamiento donde vivirán los VHDs de las máquinas virtuales. En esta sección se esconden tres recursos muy útiles:

  • Un enlace al Windows Server 2008 Security Compliance Management Toolkit, otro Solution Accelerator, que engloba:
    • La Windows Server 2008 Security guide.
    • El Windows Server 2008 Attack Surface Reference workbook .
    • El Security Baseline Settings workbook, con los datos ya precargados en el Security Baseline XML.
    • La GPOAccelerator tool, para crear fácilmente las GPOs que incluirán las políticas de seguridad elegidas
    • Ficheros INF para Windows Server 2008.
    • La Baseline Compliance Management Overview, que incluye buenas prácticas sobre cómo monitorizar líneas base de seguridad para equipos que corran Windows Server 2008.
    • Configuration Packs para System Center Configuration Manager.
  • La tabla con los permisos necesarios en los carpetas donde se almacenarán los ficheros que conforman las máquinas virtuales.
  • El Hyper-V Attack Surface Reference Workbook, un fichero Excel que incluye todos los ficheros que se incluyen al habilitar el role de Hyper-V y su papel, así como los puertos de red utilizados.

2.- Delegación de la administración

En este apartado se trata como delegar el entorno virtualizado usando dos técnicas diferentes. La primera, utilizando el Authorization Manager (AZMan.msc) para abrir el Authorization Store (InitialStore.xml) y configurar los grupos de usuarios que pertenecerán a los roles que podemos definir en base a las 33 diferentes operaciones contempladas. Una segunda parte cuenta como hacer algo similar usando System Center Virtual Machine Manager 2008, con sus roles de Administrador Delegado y Usuario de autoservicio.

Bajo mi punto de vista esta parte se queda un poco coja en dos aspectos. Primeramente, no explica cómo crear, almacenar el Authorization Store en el Directorio Activo (aquí está perfectamente explicado en ruso :-), aunque lo realmente importante alta a la vista porque está en perfecto inglés), y por otro lado no aclara que VMM crea su propia copia del almacén, al que llama HyperVAuthStore.xml. En la versión actual de SCVMM es imposible compatibilizar ambos stores. Es decir, debemos elegir entre usar uno (el local o en el AD, creado por Azman) u otro (el de VMM). Cualquier intento en modificar con AZman el correspondiente a VMM es inútil, ya que la configuración se sobrescribirá en el siguiente refresco del host.

En SCVMM2008 R2 se planea cambiar algo este comportamiento, tal y como explica aquí mi compañero Michael: Azman permissions for VMM-managed Hyper-V hosts.

3.- Securización de las Máquinas Virtuales

En esta sección se incluyen enlaces a guías de securización de los sistemas operativos que corren dentro de la VM, utilización de Bitlocker para protección adicional de los ficheros que conforman las VMs, y cómo auditar el acceso que se lleva a  cabo a las propias máquinas virtuales. Por último se recomienda otro “Solution Accelerator” para mantener al ultimo nivel de actualizaciones las maquinas virtuales que pudieran estar almacenadas en la biblioteca, y del que hablaré un poco pronto por aquí:

Espero que os resulte de utilidad

Saludos

David Cervigón