Shielded VM is een unieke beveiligingsfunctie die door Microsoft is geïntroduceerd in Windows Server 2016 en heeft veel verbeteringen ondergaan in de Windows Server 2019-editie. Deze blog is vooral gericht op het aanroepen van de verbeteringen in de functie.
Voor de basisintroductie van de functie en gedetailleerde stappen voor implementatie, raadpleegt u de volgende koppelingen:
Attestatiemodi
De functie ondersteunde in eerste instantie twee attestatiemodi: op Active Directory gebaseerde attestation en op TPM gebaseerde attestation. Op TPM gebaseerde attestatie biedt verbeterde beveiligingsbescherming omdat het gebruikmaakt van TPM als hardwarebasis voor vertrouwen en ondersteuning biedt voor gemeten opstart- en code-integriteit.
Attestation in de toetsmodus is de nieuwe toevoeging, waarbij op AD gebaseerde attestation wordt ondersteund (die nog steeds aanwezig is, maar vanaf Windows Server 2019 is verouderd). De volgende koppeling bevat de informatie voor het instellen van het HGS-knooppunt (Host Guardian Service) met behulp van Key Mode Attestation.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestation key mode heeft de voorkeur of wordt gebruikt in de scenario's waarin TPM-hardware niet beschikbaar is voor gebruik. Het is eenvoudiger te configureren, maar wordt opnieuw geleverd met een reeks beveiligingsrisico's, omdat het geen hardware root of trust vereist.
HGS back-upfunctie
Aangezien het HGS-cluster een kritiek onderdeel is in de afgeschermde VM-oplossing, heeft Microsoft een verbetering geboden om eenvoudig een back-up voor de HGS URL's op te nemen, zodat de hyper-V-bewaakte hosts, zelfs als de primaire HGS-server niet reageert, de afgeschermde VM's zonder downtime kunnen attesteren en starten. Hiervoor moeten twee HGS-servers worden ingesteld, waarbij de VM's onafhankelijk van elkaar met beide servers worden bevestigd tijdens de implementatie. De volgende opdrachten worden gebruikt om ervoor te zorgen dat de VM's worden bevestigd door beide HGS-clusters.
# Vervang https://hgs.primary.com en https://hgs.backup.com door uw eigen domeinnamen en protocollen
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Om te zorgen dat de Hyper-V-host attestation kan doorgeven aan zowel de primaire als de fallback-servers, moet u ervoor zorgen dat uw attestation-informatie up-to-date is met beide HGS-clusters.
Offlinemodus
Dit is opnieuw een speciale modus die door Microsoft wordt geïntroduceerd, waardoor de afgeschermde VM's kunnen worden ingeschakeld, zelfs wanneer het HGS-knooppunt onbereikbaar is. Om deze modus voor de VM's in te schakelen, moeten we de volgende opdracht uitvoeren op het HGS knooppunt:
Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching
Zodra dit is gebeurd, moeten we alle virtuele machines opnieuw opstarten om de cachesleutelbeveiliging voor de virtuele machines in te schakelen.
Opmerking: Eventuele wijzigingen in de beveiligingsconfiguratie op de lokale computer zullen ervoor zorgen dat deze offlinemodus ongeldig wordt. De VM's moeten attesten met HGS-server voordat de offlinemodus weer wordt ingeschakeld.
Linux afgeschermde VM
Microsoft heeft ook de ondersteuning uitgebreid voor het hosten van VM's met Linux als gast-besturingssysteem. Raadpleeg de volgende koppeling voor meer informatie over welke versie en versie van het besturingssysteem kunnen worden gebruikt.
Belangrijke richtlijnen
Er zijn enkele belangrijke richtlijnen die moeten worden gevolgd bij de implementatie van afgeschermde VM's:
Alle opties van WS2016 en 2019 worden ondersteund op Dell PowerEdge 13- en 14G-systemen. Voor de meest strikte beveiliging wordt het gebruik van een TPM-attest samen met een TPM 2.0 aanbevolen.