Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las máquinas virtuales de Hyper-V de generación 2 cuentan con características de seguridad sólidas diseñadas para proteger los datos confidenciales y evitar el acceso no autorizado o la manipulación. En este artículo se exploran las opciones de seguridad disponibles en el Administrador de Hyper-V para máquinas virtuales de generación 2 y se explica cómo configurarlas. Obtenga información sobre cómo pueden ayudar estas características a proteger las máquinas virtuales frente a las amenazas y a garantizar el cumplimiento de los procedimientos de seguridad recomendados.
Entre las características de seguridad disponibles en Hyper-V para las máquinas virtuales de generación 2, se incluyen las siguientes:
- Arranque seguro.
- Compatibilidad de cifrado con el módulo de plataforma segura (TPM), la migración en vivo y el estado guardado.
- Máquinas virtuales blindadas.
- Servicio de protección de host (HGS).
Estas características de seguridad se han diseñado para ayudar a proteger los datos y el estado de una máquina virtual. Puede proteger las máquinas virtuales frente a la inspección, el robo y la manipulación tanto del malware que se puede ejecutar en el host como de los administradores del centro de datos. El nivel de seguridad que obtiene depende del hardware del host que ejecute, de la generación de máquinas virtuales y de si configuró el servicio de protección de host complementario (HGS), que autoriza a los hosts a iniciar máquinas virtuales blindadas.
El servicio de protección de host se introdujo por primera vez en Windows Server 2016. Identifica los hosts Hyper-V legítimos y les permite ejecutar un conjunto de máquinas virtuales blindadas. Normalmente, habilitaría el servicio de protección de host para un centro de datos, pero también puede crear una máquina virtual blindada para ejecutarla localmente sin configurar el servicio de protección de host. Posteriormente, puede distribuir la máquina virtual blindada al servicio de protección de host.
Para obtener información sobre cómo puede proteger las máquinas virtuales con el servicio de protección de host, consulte Máquinas virtuales blindadas y tejido protegido y Protección del tejido: protección de los secretos de inquilino en Hyper-V (vídeo de Ignite).
Arranque seguro
Arranque seguro es una característica disponible en las máquinas virtuales de generación 2 que ayuda a evitar la ejecución durante el arranque de firmware, sistemas operativos o controladores Unified Extensible Firmware Interface (UEFI; también conocidos como ROM opcionales) no autorizados. La característica Arranque seguro está habilitada de forma predeterminada. Puede usar el arranque seguro con las máquinas virtuales de generación 2 que ejecutan sistemas operativos de distribución Windows o Linux.
Hay tres plantillas diferentes disponibles, en función del sistema operativo y la configuración de la máquina virtual. En la tabla siguiente se muestran estas plantillas y se hace referencia a los certificados necesarios para comprobar la integridad del proceso de arranque:
| Nombre de plantilla | Compatibility |
|---|---|
| Microsoft Windows | Sistemas operativos Windows. |
| Entidad de certificación UEFI de Microsoft | Sistemas operativos de distribución de Linux |
| VM blindada de código abierto | Máquinas virtuales blindadas basadas en Linux. |
Compatibilidad con cifrado
Las máquinas virtuales de generación 2 de Hyper-V ofrecen funcionalidades de cifrado sólidas que proporcionan varias capas de protección para la infraestructura virtualizada. La compatibilidad con el cifrado abarca tres áreas críticas: funcionalidad de TPM (módulo de plataforma segura), tráfico de red de migración en vivo y datos de estado guardados. Estas características de seguridad funcionan conjuntamente para crear una defensa completa frente a infracciones de datos y accesos no autorizados, lo que garantiza que la información confidencial permanezca protegida tanto en reposo como en tránsito.
La característica de TPM virtualizado (vTPM) representa un avance importante en la arquitectura de seguridad de máquinas virtuales. Al agregar un vTPM a la máquina virtual de generación 2, se permite al sistema operativo invitado usar funciones de seguridad basadas en hardware similares a las funciones disponibles en las máquinas físicas. Este chip de seguridad virtualizado permite al SO invitado cifrar todo el disco de la máquina virtual mediante el cifrado de la unidad BitLocker, lo que crea una capa adicional de protección contra el acceso no autorizado. El vTPM también puede admitir otras tecnologías de seguridad que necesitan un TPM, lo que lo convierte en un componente esencial para los entornos empresariales que requieren un cumplimiento estricto de los estándares de seguridad y las regulaciones.
Puede migrar una máquina virtual con TPM virtual habilitado a cualquier host que ejecute una versión compatible de Windows Server o Windows. No obstante, si se migra a otro host, es posible que no pueda iniciarla. Debes actualizar el protector de clave de esa máquina virtual para permitir que el nuevo host ejecute la máquina virtual. Para obtener más información, consulta VM blindadas y tejido protegido y Requisitos del sistema para Hyper-V en Windows Server.
Directiva de seguridad del Administrador de Hyper-V
Las máquinas virtuales blindadas representan el mayor nivel de seguridad disponible para las máquinas virtuales de Hyper-V de generación 2 y proporcionan protección completa contra amenazas externas y ataques de acceso con privilegios. Al habilitar el blindaje en una máquina virtual, se crea un entorno protegido que cifra el estado y el tráfico de migración de la máquina virtual restringiendo a la vez el acceso administrativo a las funciones críticas de máquina virtual. Esta protección se extiende más allá de las medidas de seguridad tradicionales, ya que impide que incluso los administradores del centro de datos y el malware de nivel de host accedan a la memoria de la máquina virtual, el estado guardado o el tráfico de red durante las operaciones de migración en vivo.
La característica de blindaje aplica automáticamente varios requisitos de seguridad, como arranque seguro, habilitación de TPM y cifrado del estado guardado y el tráfico de migración. Además, las máquinas virtuales blindadas deshabilitan determinadas funcionalidades de administración, como las conexiones de consola, PowerShell Direct y componentes de integración específicos que los atacantes podrían aprovechar. Este enfoque crea un modelo de seguridad de defensa en profundidad en el que la máquina virtual se opaca eficazmente en el sistema host, lo que garantiza que las cargas de trabajo confidenciales permanezcan protegidas incluso en entornos de hospedaje en peligro. Las organizaciones pueden implementar máquinas virtuales blindadas con el servicio de protección de host para implementaciones a escala empresarial o ejecutarlas localmente para mejorar la seguridad en implementaciones más pequeñas.
Puedes ejecutar la máquina virtual blindada localmente sin configurar un Servicio de protección de host. No obstante, si se migra a otro host, es posible que no pueda iniciarla. Debes actualizar el protector de clave de esa máquina virtual para permitir que el nuevo host ejecute la máquina virtual. Para obtener más información, consulta VM blindadas y tejido protegido.
Contenido relacionado
Para obtener más información, consulte los artículos siguientes: