屏蔽虚拟机是 Microsoft 在 Windows Server 2016 中引入的一项独特的安全功能,在 Windows Server 2019 版本中进行了许多增强。此博客主要介绍该功能的改进。
有关该功能的基本介绍和部署的详细步骤,请参阅以下链接:
认证模式
该功能最初支持两种认证模式 — 基于 Active Directory 的证明和基于 TPM 的认证。基于 TPM 的认证提供了增强的安全保护,因为它使用 TPM 作为硬件信任根,并支持测量的引导和代码完整性。
关键模式认证是新的新增功能,即基于 AD 的替代证明(该证明仍然存在,但已从 Windows Server 2019 开始弃用)。以下链接包含使用密钥模式证明设置 HGS (Host Guardian Service) 节点的信息。
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default当 TPM 硬件不可用时,首选或使用关键模式证明。它更易于配置,但同样附带一组安全风险,因为它不涉及硬件信任根。
HGS 备份功能
由于 HGS 群集是屏蔽虚拟机解决方案中的关键部分,因此 Microsoft 提供了一项增强功能,可轻松地为 HGS URL 整合备份,以便即使主 HGS 服务器无响应,Hyper-V 防护主机也能够证明并启动受防护的虚拟机,而不会造成任何停机。这需要设置两台 HGS 服务器,在部署期间,虚拟机将通过这两台服务器进行独立认证。以下命令用于使两个 HGS 群集都能证明虚拟机。
# 将 https://hgs.primary.com 和 https://hgs.backup.com 替换为您自己的域名和协议
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
为了使 Hyper-V 主机通过主服务器和回退服务器的认证,您需要确保您的证明信息是两个 HGS 群集的最新信息。
离线模式
这也是 Microsoft 引入的一种特殊模式,即使 HGS 节点无法访问,也允许屏蔽虚拟机开机。要为虚拟机启用此模式,我们需要在 HGS 节点上运行以下命令:
Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching
完成此操作后,我们需要重新启动所有虚拟机,以便为虚拟机启用可缓存密钥保护器。
提醒: 本地计算机上的任何安全配置更改都将导致此离线模式失效。在再次打开离线模式之前,虚拟机将需要使用 HGS 服务器进行认证。
Linux 屏蔽虚拟机
Microsoft 还扩展了对托管具有 Linux 作为来宾操作系统的虚拟机的支持。有关可以使用哪种操作系统风格和版本的更多详细信息,请查看以下链接。
重要指导准则
在部署受防护的虚拟机时,需要遵循几个重要原则:
Dell PowerEdge 13 和 14G 系统支持 WS2016 和 2019 的所有选项。为实现非常严格的安全性,建议使用基于 TPM 的认证以及 TPM 2.0。