Améliorations apportées aux machines virtuelles protégées dans Windows Server 2019

La machine virtuelle blindée est une fonctionnalité de sécurité unique introduite par Microsoft dans Windows Server 2016 et qui a fait l’objet de nombreuses améliorations dans l’édition Windows Server 2019. Ce blog vise principalement à souligner les améliorations apportées à la fonctionnalité.

Pour une présentation de base de la fonctionnalité et des étapes détaillées du déploiement, veuillez vous reporter aux liens suivants:

1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

Attestation Modes

La fonctionnalité prenait initialement en charge deux modes d’attestation: l’attestation basée sur Active Directory et l’attestation basée sur le module TPM. L’attestation basée sur le module TPM fournit des protections de sécurité améliorées, car elle utilise le module TPM comme racine de confiance matérielle et prend en charge l’intégrité mesurée du démarrage et du code.

L’attestation du mode clé est le nouvel ajout, qui remplace l’attestation basée sur AD (qui est toujours présente, mais obsolète à partir de Windows Server 2019). Le lien suivant contient les informations permettant de configurer le nœud HGS (Host Guardian Service) à l’aide de Key Mode Attestation. 

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default L’attestation du mode clé est recommandée ou utilisée dans les scénarios où le matériel TPM n’est pas disponible pour l’utilisation. Il est plus facile à configurer, mais encore une fois il est associé à un ensemble de risques de sécurité, car il n’implique pas la racine de confiance matérielle.

Fonctionnalité de sauvegarde HGS

Étant donné que le cluster HGS est un élément essentiel de la solution de machine virtuelle blindée, Microsoft a apporté une amélioration pour intégrer facilement une sauvegarde pour les URL HGS de sorte que, même si le serveur HGS principal ne répond pas, les hôtes protégés par Hyper-V sont en mesure d’attester et de lancer les machines virtuelles blindées sans arrêt de service. Pour cela, deux serveurs HGS doivent être configurés, les machines virtuelles étant attestées de manière indépendante auprès des deux serveurs lors du déploiement. Les commandes suivantes sont utilisées pour permettre aux machines virtuelles d’être attestées par les deux clusters HGS.

# Remplacez https://hgs.primary.com et https://hgs.backup.com par vos propres noms de domaine et protocoles

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Pour que l’hôte Hyper-V réussisse l’attestation avec les serveurs principal et de retour arrière, vous devez vous assurer que vos informations d’attestation sont à jour avec les deux clusters HGS.

Mode hors ligne

Il s’agit là encore d’un mode spécial introduit par Microsoft qui permet aux machines virtuelles blindées de s’activer même lorsque le nœud HGS est inaccessible. Pour activer ce mode pour les machines virtuelles, nous devons exécuter la commande suivante sur le nœud HGS:

Set-HgsKeyProtectionConfiguration– AllowKeyMaterialCaching

Une fois cette opération effectuée, nous devons redémarrer toutes les machines virtuelles pour activer le protecteur de clé mise en cache pour les machines virtuelles.

Remarque :  Toute modification de la configuration de sécurité sur la machine locale entraînera l’invalidation de ce mode hors ligne. Les machines virtuelles doivent attester auprès du serveur HGS avant de réactiver le mode hors ligne.

Machine virtuelle protégé par Linux

Microsoft a également étendu la prise en charge de l’hébergement des machines virtuelles ayant Linux en tant que système d’exploitation invité. Pour plus d’informations sur la version et la version du système d’exploitation à utiliser, veuillez consulter le lien suivant.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Consignes importantes

Il existe quelques consignes importantes à suivre lorsque nous déployons des machines virtuelles blindées:

1. Lors de la mise à niveau de Windows Server 2016 vers Windows Server 2019, nous devons effacer toutes les configurations de sécurité et les appliquer à nouveau après la mise à niveau sur le HGS et les hôtes protégés pour que la solution fonctionne de manière transparente.
2. Les disques de modèle ne peuvent être utilisés qu’avec le processus de provisionnement sécurisé des machines virtuelles protégées. Toute tentative de démarrage d’une machine virtuelle standard (non pare-brise) à l’aide d’un disque de modèle entraîne probablement une erreur d’arrêt (écran bleu) et n’est pas prise en charge.

Support DELL

Toutes les options des modèles WS2016 et 2019 sont prises en charge sur les systèmes Dell PowerEdge 13 et 14G. Pour des raisons de sécurité les plus strictes, il est recommandé d’utiliser l’attestation basée sur le module TPM avec un module TPM 2.0.