Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Windows Server 2019의 보호된 VM 개선 사항

Summary: 보호된 VM 개선 사항

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Shielded VM은 Windows Server 2016에서 Microsoft에서 도입한 고유한 보안 기능이며 Windows Server 2019 에디션에서 많은 개선 사항을 거쳤습니다. 이 블로그는 주로 기능의 개선 사항을 소개하는 것을 목표로 합니다.

기능에 대한 기본 소개 및 배포에 대한 자세한 단계는 다음 링크를 참조하십시오.

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

증명 모드

이 기능은 처음에는 Active Directory 기반 증명 및 TPM 기반 증명의 두 가지 증명 모드를 지원했습니다. TPM 기반 증명은 TPM을 하드웨어 RoT(Root of Trust)로 사용하고 측정된 부팅 및 코드 무결성을 지원하므로 향상된 보안 보호 기능을 제공합니다.

키 모드 증명은 AD 기반 증명을 대체하는 새로운 기능입니다(여전히 존재하지만 Windows Server 2019 이후 버전에서는 더 이상 사용되지 않음). 다음 링크에는 키 모드 증명을 사용하여 HGS(Host Guardian Service) 노드를 설정하는 정보가 포함되어 있습니다. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM 하드웨어를 사용할 수 없는 경우 키 모드 증명이 선호되거나 사용됩니다. 구성이 더 쉽지만 하드웨어 RoT(Root of Trust)가 포함되지 않으므로 일련의 보안 위험이 수반됩니다.

HGS 백업 기능

HGS 클러스터는 실드 VM 솔루션에서 중요한 요소이므로 Microsoft는 운영 HGS 서버가 응답하지 않더라도 Hyper-V 보호 호스트가 다운타임 없이 보호된 VM을 증명하고 실행하도록 HGS URL에 대한 백업을 쉽게 통합할 수 있는 향상된 기능을 제공했습니다. 이를 위해서는 2개의 HGS 서버를 설정해야 하며, VM은 배포 중에 두 서버 모두에서 독립적으로 테스트를 수행합니다. 다음 명령을 사용하여 두 HGS 클러스터 모두에서 VM을 테스트할 수 있습니다.

 

# https://hgs.primary.com 교체하고 고유한 도메인 이름 및 프로토콜로 https://hgs.backup.com

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-V 호스트가 운영 서버와 폴백 서버 모두에서 증명을 통과하려면 두 HGS 클러스터 모두에서 증명 정보가 최신 상태인지 확인해야 합니다.

오프라인 모드

이는 다시 Microsoft에서 도입한 특수 모드로, HGS 노드에 연결할 수 없는 경우에도 Shielded VM을 켤 수 있습니다. VM에 대해 이 모드를 활성화하려면 HGS 노드에서 다음 명령을 실행해야 합니다.

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

이 작업이 완료되면 모든 가상 머신을 재시작하여 가상 머신에 대해 캐시 가능한 키 보호기를 활성화해야 합니다.

참고:  로컬 시스템에서 보안 구성을 변경하면 이 오프라인 모드가 유효하지 않습니다. 오프라인 모드를 다시 켜기 전에 VM이 HGS 서버로 증명해야 합니다.

Linux Shielded VM

또한 Microsoft는 Linux를 게스트 OS로 사용하는 VM을 호스팅하는 지원도 확장했습니다. 사용할 수 있는 OS 버전에 대한 자세한 내용은 다음 링크를 참조하십시오.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

중요 지침

Shielded VM을 구축할 때 따라야 할 몇 가지 중요한 지침은 다음과 같습니다.

  1. Windows Server 2016에서 Windows Server 2019로의 업그레이드를 수행하는 동안 솔루션이 원활하게 작동하려면 HGS 및 보호 호스트에서 업그레이드한 후 모든 보안 구성을 지우고 다시 적용해야 합니다.
  2. 템플릿 디스크는 보안 실드 VM 프로비저닝 프로세스에서만 사용할 수 있습니다. 템플릿 디스크를 사용하여 일반(보호되지 않은) VM을 부팅하려고 하면 중지 오류(블루 스크린)가 발생하고 지원되지 않을 수 있습니다.

Dell 지원

WS2016 및 2019의 모든 옵션은 Dell PowerEdge 13 및 14G 시스템에서 지원됩니다. 가장 엄격한 보안을 위해 TPM 기반 증명과 TPM 2.0을 사용하는 것이 좋습니다.


이 블로그는 Dell 엔지니어 Pavan Kumar, Vinay Patkar 및 Shubhra Rana가 작성했습니다.

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.