Suojattu virtuaalikone on Microsoftin Windows Server 2016 -palvelimessa käyttöön tuoma ainutlaatuinen suojausominaisuus, jota on parannettu paljon Windows Server 2019 -versiossa. Tämän blogin tarkoituksena on lähinnä esitellä ominaisuuden parannukset.
Lisätietoja ominaisuuden perusesittelystä ja yksityiskohtaisista käyttöönottovaiheista on seuraavissa linkeissä:
Vahvistustilat
Ominaisuus tuki aluksi kahta vahvistustilaa : Active Directory -pohjaista vahvistusta ja TPM-pohjaista vahvistusta. TPM-perustainen vahvistus parantaa suojausta, koska se käyttää TPM:ää laitteiston peruskäyttöoikeuksina ja tukee tutkitun käynnistyksen ja koodin eheyttä.
Avaintilan vahvistus on uusi lisäys, joka tukee AD-pohjaista vahvistusta (joka on edelleen käytössä, mutta poistettu käytöstä Windows Server 2019:stä eteenpäin). Seuraavassa linkissä on tietoja HGS (Host Guardian Service) -solmun määrittämisestä avaintilan vahvistuksen avulla.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Avaintilan vahvistus on suositeltava tai sitä käytetään tilanteissa, joissa TPM-laitteistoa ei voi käyttää. Määritys on helpompaa, mutta siihen liittyy jälleen suojausriskejä, sillä siihen ei liity laitteiston perusluottamusta.
HGS-varmuuskopiointiominaisuus
Koska HGS-klusteri on tärkeä osa suojatussa virtuaalikoneratkaisussa, Microsoft on kehittänyt parannuksen, jolla HGS URL -osoitteiden varmuuskopiointi voidaan helposti sisällyttää, jotta hyper-V-suojatut isäntäkoneet pystyvät testaamaan ja käynnistämään suojatut virtuaalikoneet ilman seisokkiaikaa. Tämä edellyttää kahden HGS-palvelimen asentamista, ja virtuaalikoneet on vahvistettu erikseen kummallekin palvelimelle käyttöönoton aikana. Seuraavilla komennoilla voi määrittää virtuaalikoneiden testauksen kummallekin HGS-klusterille.
# Korvaa https://hgs.primary.com ja https://hgs.backup.com omilla toimialuenimilläsi ja protokollillasi
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Jotta Hyper-V-isäntä läpäisee vahvistuksen sekä ensisijaisella että varapalvelimella, sinun on varmistettava, että vahvistustiedot ovat ajan tasalla molemmissa HGS-klustereissa.
Offline-tila
Tämä on jälleen Microsoftin käyttöönottama erityistila, jonka ansiosta suojatut virtuaalikoneet käynnistyvät silloinkin, kun HGS-solmu ei ole tavoitettavissa. Jotta tämä tila voidaan ottaa käyttöön virtuaalikoneissa, HGS-solmussa on suoritettava seuraava komento:
Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
Kun tämä on tehty, kaikki virtuaalikoneet on käynnistettävä uudelleen, jotta välimuistiin tallennettava avainsuojain voidaan ottaa käyttöön virtuaalikoneissa.
Huomautus: Jos paikallisen tietokoneen suojausmääritykseen tehdään muutoksia, tämä offline-tila muuttuu virheelliseksi. Virtuaalikoneiden on määritettävä HGS-palvelimelle, ennen kuin offline-tila otetaan uudelleen käyttöön.
Linux-suojattu virtuaalikone
Microsoft laajensi tukea myös virtuaalikoneiden isännöinnille, joiden vieraskäyttöjärjestelmänä on Linux. Lisätietoja käyttöjärjestelmästä ja versiosta on seuraavassa linkissä.
Tärkeät ohjeet
Suojatut virtuaalikoneet otetaan käyttöön muutaman tärkeän ohjeen avulla:
Kaikki WS2016- ja 2019-vaihtoehdot ovat tuettuja Dell PowerEdge 13- ja 14G-järjestelmissä. Suosittelemme TPM-pohjaista vahvistusta ja TPM 2.0 -moduulia erittäin tiukan suojauksen vuoksi.