La VM protetta è un'esclusiva funzionalità di protezione introdotta da Microsoft in Windows Server 2016 e ha subito numerosi miglioramenti nell'edizione Windows Server 2019. Questo blog mira principalmente a richiamare i miglioramenti della funzione.
Per l'introduzione di base alla funzione e la procedura dettagliata per la distribuzione, fare riferimento ai seguenti link:
Modalità attestazione
La funzionalità inizialmente supportava due modalità di attestazione: l'attestazione basata su Active Directory e l'attestazione basata su TPM. L'attestazione basata su TPM fornisce protezioni di sicurezza avanzate in quanto utilizza il TPM come radice di affidabilità dell'hardware e supporta l'avvio misurato e l'integrità del codice.
L'attestazione della modalità chiave è la nuova aggiunta, supportando l'attestazione basata su AD (che è ancora presente, ma deprecata da Windows Server 2019 in poi). Il seguente link contiene le informazioni per configurare il nodo HGS (Servizio Host Guardian) utilizzando l'attestazione della modalità chiave.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default L'attestazione della modalità chiave è preferibile o utilizzata negli scenari in cui l'hardware TPM non è disponibile per l'utilizzo. È più facile da configurare, ma anche in questo caso comporta una serie di rischi per la sicurezza in quanto non comporta una radice di affidabilità dell'hardware.
Funzionalità di backup HGS
Poiché il cluster HGS è un elemento critico nella soluzione di VM protetta, Microsoft ha fornito un miglioramento per integrare facilmente un backup per gli URL HGS in modo che, anche se il server HGS primario non risponde, gli host con protezione Hyper-V siano in grado di testare e avviare le VM protette senza downtime. Ciò richiede la configurazione di due server HGS, con le VM certificate in modo indipendente con entrambi i server durante il deployment. I seguenti comandi vengono utilizzati per consentire alle VM di essere certificate da entrambi i cluster HGS.
# Sostituire https://hgs.primary.com e https://hgs.backup.com con i nomi di dominio e i protocolli
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Affinché l'host Hyper-V superi l'attestazione con entrambi i server primario e di fallback, è necessario assicurarsi che le informazioni sull'attestazione siano aggiornate con entrambi i cluster HGS.
Modalità offline
Anche in questo caso si tratta di una modalità speciale introdotta da Microsoft che consente alle VM schermate di accendersi anche quando il nodo HGS non è raggiungibile. Per abilitare questa modalità per le VM, è necessario eseguire il seguente comando sul nodo HGS:
Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching
Una volta completata questa operazione, è necessario riavviare tutte le virtual machine per abilitare la protezione con chiave cache per le macchine virtuali.
Nota: Eventuali modifiche alla configurazione della sicurezza sul computer locale causeranno l'in invalidazione di questa modalità offline. Le VM dovranno attestare con il server HGS prima di riattivare la modalità offline.
VM protetta da Linux
Microsoft ha inoltre esteso il supporto per l'hosting delle VM con Linux come sistema operativo guest. Per ulteriori informazioni sul tipo e sulla versione del sistema operativo che è possibile utilizzare, consultare il seguente link.
Linee guida importanti
Quando si implementano VM schermate, è necessario seguire alcune importanti linee guida:
Tutte le opzioni di WS2016 e 2019 sono supportate sui sistemi Dell PowerEdge 13 e 14G. Per la massima sicurezza, è consigliabile utilizzare l'attestazione basata su TPM insieme a un TPM 2.0.