Shielded VM er en unik sikkerhedsfunktion, der blev introduceret af Microsoft i Windows Server 2016 og har gennemgået en masse forbedringer i Windows Server 2019-udgaven. Denne blog har primært til formål at fremhæve forbedringerne i funktionen.
For grundlæggende introduktion til funktionen og detaljerede trin til implementering henvises til følgende links:
Attesteringstilstande
Funktionen understøttede oprindeligt to attesteringstilstande – Active Directory-baseret attestation og TPM-baseret attestation. TPM-baseret attestering giver forbedret sikkerhedsbeskyttelse, når den bruger TPM som hardware-rodnøgle og understøtter målt start- og kodeintegritet.
Attestering af nøgletilstand er den nye tilføjelse, der supplanting AD-baseret attestation (som stadig er til stede, men nedtonet fra Windows Server 2019 og frem). Følgende link indeholder oplysninger om konfiguration af HGS-noden (Host Guardian Service) ved hjælp af Attestation for nøgletilstand.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering af nøgletilstand foretrækkes eller anvendes i scenarier, hvor TPM-hardware ikke er tilgængelig for brug. Det er nemmere at konfigurere, men leveres igen med et sæt sikkerhedsrisici, da det ikke involverer tillidsroden for hardware.
HGS-sikkerhedskopieringsfunktion
Da HGS-klyngen er et kritisk stykke i den afskærmede VM-løsning, har Microsoft leveret en forbedring til nemt at inkorporere en sikkerhedskopi af HGS URL-adresserne, så selv hvis den primære HGS-server ikke svarer, kan Hyper-V-beskyttere værter attesteres og starte de afskærmede VM'er uden nedetid. Dette kræver, at to HGS-servere konfigureres, og VM'erne skal godkendes uafhængigt af hinanden med begge servere under implementering. Følgende kommandoer bruges til at aktivere VM'erne til at blive bekræftet af begge HGS-klynger.
# Erstat https://hgs.primary.com, og https://hgs.backup.com med dine egne domænenavne og protokoller
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
For at Hyper-V-værten kan bestå attestering med både de primære og fallback-servere, skal du sikre dig, at dine attesteringsoplysninger er opdaterede med begge HGS-klynger.
Offlinetilstand
Dette er igen en særlig tilstand introduceret af Microsoft, som gør det muligt for de afskærmede VM'er at tænde, selv når HGS-noden ikke er tilgængelig. For at aktivere denne tilstand for VM'er skal vi køre følgende kommando på HGS-noden:
Set-HgsKeyProtectionConfiguration –AllowKeyMatrialCaching
Når dette er gjort, skal vi genstarte alle de virtuelle maskiner for at aktivere beskyttelsen af de virtuelle maskiner, der kan cachelagres.
Bemærk: Eventuelle ændringer af sikkerhedskonfigurationen på den lokale computer vil medføre, at denne offline-tilstand bliver ugyldig. VM'erne skal dokumentere med HGS-serveren, før du tænder offline-tilstanden igen.
Linux-skærmet VM
Microsoft har også udvidet understøttelsen af at være vært for VM'er med Linux som gæste-OS. Se følgende link for at få flere oplysninger om, hvilken operativsystemsmag og -version der kan bruges.
Vigtige retningslinjer
Der er nogle vigtige retningslinjer, der skal følges, når vi implementerer shielded VM'er:
Alle indstillinger fra WS2016 og 2019 understøttes på Dell PowerEdge 13 & 14G-systemer. For at sikre den mest sikre sikkerhed anbefales det at bruge TPM-baseret attestering sammen med en TPM 2.0.