CloudLink a šifrování disků ve Windows Azure

Jakub Heinz
14 minuty, 23 sekundy
4

CloudLink® SecureVM od firmy EMC (Dell) odemyká nativní podporu šifrování pro Windows BitLocker, nebo Linux OS a to emulováním TPM (Trusted Platform Module) funkcionality ve svém software. Poskytuje pre-boot autorizaci pro úspěšné šifrování bootovacích a data disků ve virtuálním prostředí (např. Hyper-V, VMWARE) a cloudu. Pomocí SecureVM můžete definovat bezpečnostní politiku pro možnost spuštění virtuální stroje, včetně ověřování jeho integrity a chrání proti neoprávněným úpravám. SecureVM zajišťuje, že pouze důvěryhodné a ověřené virtuální stroje mají možnost běžet a mohou mít přístup k citlivým datům umístěných v cloudu Výhody:

  • Používá nativní šifrovací nástroje v rámci operačního systému a to pro optimální výkon a možnost se vyhnout rizikům spojených s proprietárním šifrováním.

    • Ochránit celý virtuální stroj, včetně boot disku a data disků a to bez nutnosti přetvořit architekturu jakým způsobem vaše aplikace ukládají data
    • Podpora pro: nové, exitující a modifikované virtuální stroje. Existující disky je možné šifrovat a další disky mohou být šifrovány ve chvíli kdy je přidáte.
    • Správa šifrovacích klíčů zůstává pod vaši kontrolou, včetně možnosti ukládat šifrovací klíče v rámci Enterprise datového centra
    • Flexibilní uložiště šifrovacích klíčů včetně integrace s Active Directory
    • Umožňuje spravovat a sledovat bezpečnost napříč hybridním cloudem

    Firma Microsoft sama plánuje nabídnout šifrování VHD disků v rámci Windows Azure, nicméně tato možnost není aktuálně dostupná. Více informací naleznete zde: http://blogs.msdn.com/b/azuresecurity/archive/2015/05/11/azure-disk-encryption-management-for-windows-and-linux-virtual-machines.aspx     Postup vytvoření CloudLink virtuálního stroje, který slouží pro management: Nejprve se přihlaste do portálu Windows Azure: https://portal.azure.com Pomocí tlačítka „+”, vyberte „Compute“ a dále „Marketplace

    Zde pak vyhledejte slovo cloudlink a vyberte nalezenou možnost „CloudLink SecureVM BYOL

    Dále vyberte typ „Deploymentu“ a vytvořte vnový virtuální stroj pomocí tlačítka „Create

    V této fázi vytváření virtuálního stroje CloudLinku je nutné zadat název virtuálního stroje „Host Name“ a dále vyplnit přihlašovací jméno „User Name“ a také vybrat typ autentizace. A to buď pomocí SSH veřejného klíče, nebo v tomto případě pomocí hesla. Tento účet a heslo pak slouží pro přístup k samotnému virtuálnímu stroji přes SSH, a to např. pro údržbu, nebo instalací updates. Ne však pro management samotného CloudLinku jako služby. Tato možnost bude popsáno dále v textu. ¨ Jinak jak je dále vidět, virtuální stroj je vytvořen  v„defaultu“. Tj. je automaticky vytvořená separátní Azure interní síť a separátní Azure Storage Account. Důvodem je ukázat to, že šifrováni lze spravovat i skrze VIP adresu a není tedy nutné instalovat CloudLink do konkrétní azure virtuální sítě, kde se nacházejí konkrétní virtuální stroje, jejichž disky chceme šifrovat. Resp. management CloudLinku komunikuje skrze správné „Endpointy“ s virtuálními stoji za pomocí své VIP adresy, nebo veřejného jména. Ve výsledku klikněte na tlačítko „Create“. Poznámka: Parametry/konfiguraci sítě a Storage Accountu upravte případně dle vlastních potřeb.

    Dokončete proces kliknutím na tlačítko „Create“.

    Ve chvíli kdy bude úspěšně virtuální stroj vytvořen, je možné se po určité chvíli přihlásit k managementu CloudLinku.

    Ten je dostupný na adrese: :8443">:8443">https://<cloudlink_IP-nebo-dns_name>:8443 například: https://cloudlink01.cloudapp.net:8443 V rámci přihlášeni akceptujte to, že certifikát není plně důvěryhodný.

    Zobrazí se přihlašovací okno CloudLink Center. Výchozí administrátorský účet je: secadmin Prvotní heslo, které je nutné zadat, před jeho změnou odpovídá parametru „DEPLOYMENT ID“ virtuálního stroje!

    Na obrázku vidíte postup jak získat samotné „DEPLOYMENT ID“.

    Po zadání přihlašovacího jména: secadmin a vyplnění „DEPLOYMENT ID“ jste vyzváni ke změně hesla.

    Následně dojde k zobrazení management stránky CloudLink Center, kde je nutné ještě akceptovat licenční podmínky. Tento článek/dokument neslouží k popisu všech voleb a možností vyplívajících z používání Cloud Link Center. V článku budou popsány jen základní parametry a nastavení. Pro bližší informace si stáhněte manuály. Deployment guide: http://www.cloudlinktech.com/Azure/CL_SecureVM_4_0_DG_EMC_Azure_R2.pdf Administration guide: http://www.cloudlinktech.com/Azure/CL_SecureVM_4_0_AG_EMC_R2.pdf     Vytvořeni nového Virtuálního stroje, na kterém si vyzkoušíme šifrování disků: Opět pomocí tlačítka „+“ , „Compute“ a vyberte například vytvoření virtuálního stroje s operačním systémem Windows Server 2012 R2 Datacenter.

    Při vytváření virtuálního stroje je nutné opět vyplnit minimálně název virtuálního stroje „Host Name“, přihlašovacího jména „User name” a hesla. Jak jde dále vidět, opět je zbytek konfigurace „defaultní“. A tedy dojde k vytvoření virtuálního stroje v separátní síti a v rámci separátního Azure Storage Accountu.

    Ve chvíli, kdy je virtuální stroj vytvořen je možné přidat agenta CloudLinku, kterého je nutné nainstalovat proto, aby bylo vůbec možné provést šifrování disků. Tedy v rámci nastavení virtuálního stroje, vybrat „All settings“, a dále „Extensions“.

    V rámci „Extensions“ klikněte na tlačítko „Add“ a vyberte „CloudLink SecureVM Agent“ a následně na tlačítko „Create

    Zadejte veřejný název, nebo VIP adresu CloudLinku. A potvrďte tlačítkem „OK

    Může se ale stát, že se přidání agenta nepodaří. Důvodů může být vícero. Jedním z hlavních důvodů, je fakt že je nutné mít nejprve nainstalovánu licenci pro CloudLink v rámci mamagement rozhraní.

    Je zde samozřejmě možnost nainstalovat agent ručně. V rámci CloudLink Center management stránky, na kartě „SecureVM“ v sekci „Setup“ je možné stáhnout klienta/agenta jak pro Linux (různé distribuce), tak pro Microsoft Windows.

    Nakopírujte např. přes RDP na virtuální server v Azure instalační soubor CloudLink agenta a nainstalujte.

    Po jeho instalaci je obvykle nutný restart virtuálního serveru. Po restartu můžete provést nastavení CloudLink klienta, tak aby se připojil ke CloudLink serveru. Tedy v oznamovací oblasti vedle systémových hodin klikněte na šipku a následně pravým tlačítkem myši na ikoně CloudLinku a z menu pak vyberte volbu „Configuration

    Zadejte název vašeho CloudLink serveru, nebo jeho VIP IP adresu a potvrďte tlačítkem „OK

      Platí, že v případě že nemáte nainstalovánu licenci, registrace agenta se nezdaří.

    V rámci management rozhraní je pak možné vidět i seznam chyb. Zde je patrné, že registrace se nezdařilo z důvodu absence licencí.

      I ostatní metody instalace agenta vygenerují podobné chyby a v případě že nejsou instalovány licence. Postup získání licence je pak uveden v příloze na konci dokumentu. Zde metoda instalace extensions cloudlink agenta pomocí PowerShellu: $vm | Update-AzureVM Update-AzureVM : BadRequest: Could not find the extension with provider name space CloudLink.SecureVM and type CloudLin kSecureVMWindowsAgent. At line:1 char:7

    • $vm | Update-AzureVM +       ~~~~~~     + CategoryInfo          : CloseError: (:) [Update-AzureVM], CloudException     + FullyQualifiedErrorId : Microsoft.WindowsAzure.Commands.ServiceManagement.IaaS.UpdateAzureVMCommand V případě instalace agent v rámci operačního systému Linux je rovněž vygenerováno chybové hlášení. [noroot@CentOSKPCS1 ~]$ sudo ./securevm.sh -S cloudlink01.cloudapp.net CentOSKPCS1: Platform hyper-v Distro CentOS Linux release 7.1.1503 (Core) [1438435729.404] Connecting to cloudlink01.cloudapp.net... SSL handshake... ok Error: SVM failed to register! Check Security Events on the CloudLink Center for more details.     V rámci management rozhraní na kartě „System“ a volbě „SecureVM License“ je možné přidat licenci. Licenci je možné objednat u EMC (Dell)  a to podle počtu virtuálních strojů, které chcete „chránit“.

    Zde pak vidíte již přidanou licenci. Kde je patrné, že licence má platnost jeden rok a je možné pomocí ní zašifrovat disky až 25 virtuálních strojů.

    V rámci statusu, dole v oznamovací oblasti je pak rovněž vidět informace o přidání licence.

    Dále je nutné licenci přiřadit! Tedy na kartě „SecureVM“, vyberte volbu „License“ a zde v rámci „Available Licenses“ vyberte příslušnou licenci a pomocí tlačítka „Assign“ tuto licenci aktivujte. Od této doby/aktivace vám běží čas platnosti licence!

    Zde pak vidíte graf průběhu platnosti licence.

    Teprve po přidání licence je možné úspěšně zaregistrovat agenta v managementu CloudLinku.

    Což je pak i následně potvrzeno v oznamovací oblasti.

    Na kartě „SecureVM“ a volbě „VMs“ je možné pak vidět informace o registrovaném agentovy.

    Pokud kliknete pravým tlačítkem myši nad tímto registrovaným agentem, pak z nemu je možné vybrat několik možností.

    Pokud vyberete možnost „Encryption Policy“, můžete definovat pro tento virtuální stroj, jaké typy disků a zda vůbec budou automaticky šifrovány.

    Zde pro příklad vybrána politika šifrování všech disků.

    Následně provedeme šifrování disků výběrem volby „Encrypt“.

    Je možné vybrat, které disky budou šifrovány. Upozonění! Disk D: pro šifrování nevybírejte. Je to zbytečné. Jedná se o výchozí dočasný disk, který je „vyresetován“ po každém restartu virtuálního stroje. Samozřejmě je pak možné vybrat další datové disky, pokud jsou k virtuálnímu stroji připojeny.

    V oznamovací oblasti pak, potvrzení zahájení šifrování disku(ů).

    Ve statusu agenta v samotném operačním systému virtuálního stroje s Microsoft Windows je možné si ověřit stav šifrování.

    Ve Windows operačním systému se disky zobrazují jako šifrované pomocí BitLockeru.

    Navíc v rámci nastavení v samotném operačním systému je možné provést např. „suspend“ šifrování.

    Během restartu VM, nebo pokud je VM vypnuté, nemá CloudLink agent kontakt s CloudLink serverem a status se v managementu změní.

    Po restartu virtuálního stroje v managentu CloudLinku je pak následně vidět, že status agenta je ve stavu „Pending“ a navíc je zde informace, že je zde nějaký nevyřešený stav. V tomto případě není „interní !!!“ IP adresa virtuálního stroje povolena v rámci volby „Configuration“.

    Dokud není tento stav vyřešen, není možné se přihlásit!

    Nyní v portálu Windows Azure je třeba nejprve nastavit statickou interní IP adresu pro virtuální stroj, jehož disky chceme šifrovat. Proto nastavíme statickou interní IP adresu. Tuto IP adresu si zkopírujte. Bude povolena v managementu CloudLinku.

    V samotném managementu CloudLinku na záložce „SecureVM“ a volbě „Configuration“ přidejte interní IP adresu virtuálního stroje pomocí tlačítka „Add“.

    V oznamovací oblasti pak je vidět potvrzení přidání IP adresy.

    Z informací o virtuálním stroji, je pak vidět že status agenta je „On-line“ a disk C: je šifrován. A rovněž je možné se v tuto chvíli přihlásit k virtuálnímu stroji.

        Šifrování disku Linuxového virtuálního stroje: V portálu Windows Azure vytvoříme virtuální stroj s CentOS 7.1 POZOR! Aktuálně šifrování funguje pouze pro CentOS do verze 6.5

    Po jeho vytvoření přidáme CloudLink agenta, skrze volbu „Extensions“.

    Potvrdíme přidání agenta pomocí tlačítka „Create“.

    Bohužel, ne vždy se podaří agenta nainstalovat tímto způsobem.

        Proto je možné nainstalovat agenta ručně: POZOR! Aby to bylo možné, je nutné mít definované správné „Endpointy“ v rámci konfigurace virtuálního stroje na kterém běží CloudLink. Zde je ukázka definovaných Endpointů. Více informací o portech naleznete pak v dokumentaci.

    V příkazové řádce Linux stoje proveďte následující příkazy: sudo yum install wget rsync wget http://cloudlink01.cloudapp.net:8080/cloudlink/securevm

    # nastavení práv, pro možnost spustit stažený bash skript sudo chmod 770 securevm   # registrace agenta vůči CloudLink serveru sudo sh securevm -S cloudlink01.cloudapp.net Dojde k instalaci agenta a jeho spuštění…

    Jak je pak vidět v managementu CloudLinku, přibil zde tento Linux server do seznamu virtuálních strojů.

    Opět proveďte nastavení statické lokální IP adresy u Linuxového virtuálního stroje.

  A v managementu CloudLinku opět proveďte povolení interní IP adresy virtuálního stroje.

A provedeme šifrování disků výběrem volby „Encrypt“.

Vyberte disk, který chcete šifrovat. V tomto případě se jedná o root

Aktuální verze CloudLinku není nejspíše plně kompatibilní s verzí Linux CentOS 7.1. Po přihlášení přes SSH se objeví dialogové okno, kde je možné zobrazit informace o připojení agenta.

A dále debug informace. A není možné se standardně přihlásit. Je možné pouze vybrat volbu „logoff

Až po několika restartech se popařilo nakonec přihlásit přes SSH a normálně se systémem pracovat.     Dešifrování disků: Oproti systému Windows nenabízí CloudLink pro Linux možnost rovnou disky dešifrovat.

Pro dešifrování bootovací partice na Linux stroji proveďte následující: 1. Proveďte zálohu všech dat!

  1. Připojte další disk v rámci konfigurace virtuálního stroje ve Windows Azure. Tento disk nesmí obsahovat žádná data, protože bude přepsána obsahem z původního šifrovaného disku. Neprovádějte „mount“ tohoto disku! V rámci Microsoft Azure, je nový disk detekován automaticky. Příklad: Ve Windows Azure v konfiguraci přidání nového disku….

    Disk musí mít stejnou, nebo lépe větší velikost, než původní boot disk. A potvrďte tlačítkem „OK“.

    V příkazové řádce Linuxu pak dle výpisu fyzických disků pomocí příkazu „lsblk“ je možné zjistit, jaké označení má nový datový disk.

  2. Dále v příkazové řádce Linuxu pusťte následující příkaz: svm decrypt target_disk [–v ] [–s ] Kde cíl je disk připojený v kroku 2. Pro konkrétní příklad: sudo svm decrypt /dev/sdc

  3. Ve chvíli, kdy jste vyzváni k restartu virtuálního stroje, vyberte „yes
  4. Čekejte, dokud v rámci CloudLink management portálu se u Linux stroje neobjeví status „On-line“. Varování: čas nutný pro dokončení operace dešifrování může trvat i poměrně dlouho a to v závislosti na velikosti disku a množství dat. Po dobu dešifrování se nepůjde k virtuálnímu stroji přihlásit!
  5. Dojde opět k automatickému restartu Linux virtuálního stroje. Ve chvíli, kdy je v rámci management rozhraní CloudLink u Linux serveru zobrazen status „On-line“ a „decrypted“, je možné druhý disk bezpečně odpojit.

    V případě Windows systému stačí v rámci management konzole CloudLinku zvolit z menu možnost „Decrypt“ pro dešifrování bootovacího, či jiného oddílu.

    A vyberete, jaký disk chcete dešifrovat.

    Je možné pak vidět v managenetu CloudLinku průběh dešifrování

        Jak agenta odstranit? Linux: sudo yum remove securevm A pak je možné agenta odstranit i z mgmt. rozhraní CloudLInk a tím uvolnit i licenci pro jiný virtuální stroj.

    Windows: V rámci „Control Panel“ vyberte „Program and Features“ a proveďte odinstalaci agenta.

    A pak je možné agenta odstranit i z mgmt. rozhraní CloudLInk a tím uvolnit i licenci pro jiný virtuální stroj.

          Příloha: Získaní licence od EMC resp. dnes už DELLu:   Prostřednictvím obchodního zastoupení EMC http://www.emc.com Nebo se můžete obrátit na obchodní oddělení firmy KPCS CZ s.r.o. Následně se musíte zaregistrovat. A dále na licenčním webu si vygenerovat licenci pro vámi instalovaný CloudLink. https://support.emc.com/servicecenter/license/# https://licensing.emc.com/

    CloudLink Thank you for your license request. Your request will be processed within one (1) to two (2) business days. If you do not receive your key within two business days please contact License Support.

Autor: Jakub Heinz

Následující článek Předchozí článek