La VM blindada es una característica de seguridad única presentada por Microsoft en Windows Server 2016 y se ha sometido a muchas mejoras en la edición de Windows Server 2019. Este blog tiene como objetivo principal destacar las mejoras en la función.
Para obtener la introducción básica a la función y los pasos detallados para la implementación, consulte los siguientes enlaces:
Modos de certificación
Inicialmente, la función admitía dos modos de atestación: atestación basada en Active Directory y atestación basada en TPM. La certificación basada en TPM proporciona protecciones de seguridad mejoradas, ya que utiliza TPM como raíz de confianza de hardware y admite el arranque medido y la integridad del código.
La certificación del modo clave es la nueva incorporación, que sustituye la atestación basada en AD (que aún está presente, pero obsoleta desde Windows Server 2019 en adelante). El siguiente vínculo contiene información para configurar el nodo HGS (servicio De Host Guardian) mediante la certificación del modo clave.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default La atestación del modo clave se prefiere o se utiliza en situaciones en las que el hardware de TPM no está disponible para su uso. Es más fácil de configurar, pero de nuevo viene con un conjunto de riesgos de seguridad, ya que no implica raíz de confianza de hardware.
Función de respaldo de HGS
Dado que el clúster HGS es una pieza fundamental en la solución de VM blindada, Microsoft proporcionó una mejora para incorporar fácilmente un respaldo para las DIRECCIONES URL de HGS, de modo que incluso si el servidor HGS primario no responde, los hosts con protección de Hyper-V pueden certificar e iniciar las VM blindadas sin tiempo de inactividad. Esto requiere la configuración de dos servidores HGS, con las VM certificadas de manera independiente con ambos servidores durante la implementación. Los siguientes comandos se utilizan para permitir que ambas máquinas virtuales estén certificadas por ambos clústeres de HGS.
# Reemplace https://hgs.primary.com y https://hgs.backup.com con sus propios nombres de dominio y protocolos
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Para que el host de Hyper-V pase la atestación con los servidores primario y de reserva, deberá asegurarse de que la información de atestación esté actualizada con ambos clústeres HGS.
Modo offline
Nuevamente, este es un modo especial introducido por Microsoft que permite que las VM blindadas se enciendan incluso cuando no se pueda acceder al nodo HGS. Para habilitar este modo para las VM, debemos ejecutar el siguiente comando en el nodo HGS:
Set-HgsKeyProtectionConfiguration – AllowKeyMentalCaching
Una vez hecho esto, debemos reiniciar todas las máquinas virtuales para habilitar el protector de claves que se puede almacenar en caché para las máquinas virtuales.
Nota: Cualquier cambio en la configuración de seguridad en la máquina local hará que este modo offline no sea válido. Las máquinas virtuales deberán certificar con el servidor HGS antes de volver a activar el modo offline.
VM blindada con Linux
Microsoft también extendió el soporte para alojar las MÁQUINAS virtuales que tienen Linux como so huésped. Para obtener más detalles sobre la versión y la versión del so que se pueden utilizar, consulte el siguiente enlace.
Pautas importantes
Hay algunas pautas importantes que se deben seguir cuando implementamos VM blindadas:
Todas las opciones de WS2016 y 2019 son compatibles con los sistemas Dell PowerEdge 13 y 14G. Para la seguridad más estricta, se recomienda el uso de la certificación basada en TPM junto con un TPM 2.0.