A VM blindada é um recurso de segurança exclusivo introduzido pela Microsoft no Windows Server 2016 e passou por muitas melhorias na edição do Windows Server 2019. Este blog tem como objetivo principalmente chamar as melhorias no recurso.
Para obter a introdução básica ao recurso e as etapas detalhadas de implementação, consulte os seguintes links:
Modos de atestado
Inicialmente, o recurso era compatível com dois modos de atestado: atestado baseado em Active Directory e atestado baseado em TPM. O atestado baseado em TPM oferece proteções de segurança aprimoradas, pois ele usa o TPM como raiz de confiança do hardware e dá suporte à inicialização medida e à integridade do código.
A atestação do modo de chave é a nova adição, substituindo o atestado baseado em AD (que ainda está presente, mas obsoleto do Windows Server 2019 em diante). O link a seguir contém as informações para configurar o nó do HGS (Serviço do Host Guardian) usando a atestação do modo de chave.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default O atestado do modo de chave é preferencial ou usado nos cenários em que o hardware do TPM está indisponível para uso. É mais fácil de configurar, mas novamente vem com um conjunto de riscos de segurança, pois não envolve raiz de confiança do hardware.
Recurso de backup do HGS
Como o cluster do HGS é uma parte essencial da solução de VM blindada, a Microsoft forneceu um aprimoramento para incorporar facilmente um backup para as URLs do HGS para que, mesmo que o servidor HGS principal não responda, os hosts protegidos do Hyper-V possam atestar e iniciar as VMs blindadas sem nenhum tempo de inatividade. Isso exige que dois servidores HGS sejam configurados, com as VMs atestadas independentemente com ambos os servidores durante a implementação. Os comandos a seguir são usados para permitir que as VMs sejam atestadas por ambos os clusters do HGS.
# Substitua https://hgs.primary.com e https://hgs.backup.com por seus próprios protocolos e nomes de domínio
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Para que o host do Hyper-V passe o atestado com os servidores primário e de restauração, você precisará garantir que suas informações de atestado estão atualizadas com os dois clusters do HGS.
Modo off-line
Esse é novamente um modo especial introduzido pela Microsoft que permite que as VMs blindadas liguem mesmo quando o nó do HGS estiver inacessível. Para ativar esse modo para as VMs, precisamos executar o seguinte comando no nó do HGS:
Set-HgsKeyProtectionConfiguration – AllowKeyMateCaching
Depois que isso for feito, precisamos reiniciar todas as máquinas virtuais para habilitar o protetor de chave em cache para as máquinas virtuais.
Nota: Qualquer alteração de configuração de segurança na máquina local fará com que esse modo off-line se torne inválido. As VMs precisarão atestar com o servidor HGS antes de ligar o modo off-line novamente.
VM blindada do Linux
A Microsoft também ampliou o suporte para hospedar as VMs que têm Linux como o sistema operacional convidado. Para obter mais detalhes sobre qual versão e o sistema operacional podem ser usados, consulte o link a seguir.
Diretrizes importantes
Há algumas diretrizes importantes a serem seguidas quando estamos implementando VMs blindadas:
Todas as opções do WS2016 e 2019 são compatíveis com os sistemas Dell PowerEdge 13 e 14G. Para a segurança mais rigorosa, é recomendável usar o atestado baseado em TPM juntamente com um TPM 2.0.