Как стать автором
Обновить

Комментарии 22

Что произойдет, если недоступен HGS сервер?
Если это происходит при попытке запуска экранированной ВМ, она не запуститься, так как не кому будет выдать ключи.
А с кластерами работает? будет ли проходить миграция виртуалок между хостами?
Работает, все хосты кластера должны быть аттестованы HGS сервером. Миграция работать будет, при этом трафик будет шифроваться.
НЛО прилетело и опубликовало эту надпись здесь
VSM не позволит это сделать, так как хостовая ОС сама запускается в виртуальном окружении.
Что мешает сделать снапшот виртуальной хостовой ОС и ковыряться во всем что под ней запущено?
пару дней назад на хабре было большое обсуждение как быстро уничтожить SSD может правильный метод чем шифрование т.к. при физическом доступе к компьютеру шифрованный диск подвержен атаке Cold boot attack https://ru.wikipedia.org/wiki/Cold_boot_attack

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Не получится эксплуатировать этe уязвимость так как потребуется перезагрузка хоста или запуск приложения, чему будет препятствовать политика HGS. В случае ее нарушения ВМ не запуститься, так как не получит сеансовый ключ, который выдает HGS
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
а если сервер core режиме без установленного .Net и JVM?
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Все это слишком сложно. Надо:
1. Найти хостинг, где стоят машины.
2. Подкупить сотрудника хостера или внедрить туда своего.
3. Взломать хостовую операционку (не сложно).
4. Попытаться поставить на работающий гипервизор программы для сбора дампов, так что бы клиент этого не заметил.
5. В случае, если эти уязвимости работают и не пропаченны 2 дня назад, скопировать дамп памяти.
6. Расшифровать дамп памяти, получить ключ.
7. Еще раз зайти на хост остановит гипервизор и взять VHD.
на выделенном сервере (например хетцнер) такое можно реализовать?
ДА, если сервер поддерживает TPM. Проверьте:
PS C:\> Get-Tpm
TpmPresent : True

И разместите HGS на другом хосте, лучше в альтернативном датацентре, например, в небольшая ВМ в Azure
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории