Shielded VM은 Windows Server 2016에서 Microsoft에서 도입한 고유한 보안 기능이며 Windows Server 2019 에디션에서 많은 개선 사항을 거쳤습니다. 이 블로그는 주로 기능의 개선 사항을 소개하는 것을 목표로 합니다.
기능에 대한 기본 소개 및 배포에 대한 자세한 단계는 다음 링크를 참조하십시오.
증명 모드
이 기능은 처음에는 Active Directory 기반 증명 및 TPM 기반 증명의 두 가지 증명 모드를 지원했습니다. TPM 기반 증명은 TPM을 하드웨어 RoT(Root of Trust)로 사용하고 측정된 부팅 및 코드 무결성을 지원하므로 향상된 보안 보호 기능을 제공합니다.
키 모드 증명은 AD 기반 증명을 대체하는 새로운 기능입니다(여전히 존재하지만 Windows Server 2019 이후 버전에서는 더 이상 사용되지 않음). 다음 링크에는 키 모드 증명을 사용하여 HGS(Host Guardian Service) 노드를 설정하는 정보가 포함되어 있습니다.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM 하드웨어를 사용할 수 없는 경우 키 모드 증명이 선호되거나 사용됩니다. 구성이 더 쉽지만 하드웨어 RoT(Root of Trust)가 포함되지 않으므로 일련의 보안 위험이 수반됩니다.
HGS 백업 기능
HGS 클러스터는 실드 VM 솔루션에서 중요한 요소이므로 Microsoft는 운영 HGS 서버가 응답하지 않더라도 Hyper-V 보호 호스트가 다운타임 없이 보호된 VM을 증명하고 실행하도록 HGS URL에 대한 백업을 쉽게 통합할 수 있는 향상된 기능을 제공했습니다. 이를 위해서는 2개의 HGS 서버를 설정해야 하며, VM은 배포 중에 두 서버 모두에서 독립적으로 테스트를 수행합니다. 다음 명령을 사용하여 두 HGS 클러스터 모두에서 VM을 테스트할 수 있습니다.
# https://hgs.primary.com 교체하고 고유한 도메인 이름 및 프로토콜로 https://hgs.backup.com
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Hyper-V 호스트가 운영 서버와 폴백 서버 모두에서 증명을 통과하려면 두 HGS 클러스터 모두에서 증명 정보가 최신 상태인지 확인해야 합니다.
오프라인 모드
이는 다시 Microsoft에서 도입한 특수 모드로, HGS 노드에 연결할 수 없는 경우에도 Shielded VM을 켤 수 있습니다. VM에 대해 이 모드를 활성화하려면 HGS 노드에서 다음 명령을 실행해야 합니다.
Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching
이 작업이 완료되면 모든 가상 머신을 재시작하여 가상 머신에 대해 캐시 가능한 키 보호기를 활성화해야 합니다.
참고: 로컬 시스템에서 보안 구성을 변경하면 이 오프라인 모드가 유효하지 않습니다. 오프라인 모드를 다시 켜기 전에 VM이 HGS 서버로 증명해야 합니다.
Linux Shielded VM
또한 Microsoft는 Linux를 게스트 OS로 사용하는 VM을 호스팅하는 지원도 확장했습니다. 사용할 수 있는 OS 버전에 대한 자세한 내용은 다음 링크를 참조하십시오.
중요 지침
Shielded VM을 구축할 때 따라야 할 몇 가지 중요한 지침은 다음과 같습니다.
WS2016 및 2019의 모든 옵션은 Dell PowerEdge 13 및 14G 시스템에서 지원됩니다. 가장 엄격한 보안을 위해 TPM 기반 증명과 TPM 2.0을 사용하는 것이 좋습니다.