シールドされたVMは、Windows Server 2016でMicrosoftによって導入された独自のセキュリティ機能であり、Windows Server 2019エディションで多くの機能拡張が行われ、このブログは主に、この機能の改善点を説明することを目的としています。
この機能の基本的な概要と導入の詳細な手順については、次のリンクを参照してください。
認証モード
この機能は当初、Active Directoryベースの認証とTPMベースの証明という2つの認証モードをサポートしました。TPMベースの証明は、ハードウェアルートオブトラストとしてTPMを使用し、測定されたブートとコードの整合性をサポートするため、強化されたセキュリティ保護を提供します。
キー モードの証明は、ADベースのアテステーションに代わられた新しい追加です(現在は存在しますが、Windows Server 2019以降では廃止されています)。次のリンクには、キー モード認証を使用して HGS(Host Guardian サービス)ノードをセットアップするための情報が含まれています。
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-defaultTPMハードウェアを使用できない場合は、キー モードの証明が推奨されるか、使用されます。構成は簡単ですが、ハードウェアルートオブトラストを伴わない一連のセキュリティリスクが伴います。
HGSバックアップ機能
HGSクラスターはシールドされたVMソリューションの重要な要素であるため、Microsoftは、HGS URLのバックアップを簡単に組み込む機能拡張を提供しています。これにより、プライマリHGSサーバーが応答しない場合でも、Hyper-V保護されたホストはダウンタイムなしでシールドされたVMを証明して起動することができます。これには、2台の HGS サーバをセットアップする必要があります。VM は、導入時に両方のサーバで個別に証明されます。次のコマンドを使用して、両方の HGS クラスタによって VM を証明できるようにします。
# https://hgs.primary.com と https://hgs.backup.com を独自のドメイン名とプロトコルに置き換えます
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Hyper-Vホストがプライマリ サーバとフォールバック サーバの両方で認証を渡すには、認証情報が両方の HGS クラスタで最新であることを確認する必要があります。
オフライン モード
これはMicrosoftによって導入された特別なモードで、HGSノードにアクセスできない場合でも、シールドされたVMをオンにすることができます。VMでこのモードを有効にするには、HGSノードで次のコマンドを実行する必要があります。
Set-HgsKeyProtectionConfiguration –AllowKey、お客様の
これが完了したら、すべての仮想マシンを再起動して、仮想マシンのキャッシュ可能なキー保護機能を有効にする必要があります。
注: ローカル マシンでセキュリティ構成を変更すると、このオフライン モードが無効になります。VMは、オフライン モードを再度オンにする前に、HGSサーバーで証明する必要があります。
LinuxシールドVM
Microsoftは、LinuxをゲストOSとして持つVMをホストするためのサポートも拡張しました。使用できるOSフレーバーとバージョンの詳細については、次のリンクを参照してください。
重要なガイドライン
シールドされたVMを導入する際には、次の重要なガイドラインに従う必要があります。
WS2016および2019のすべてのオプションは、Dell PowerEdge 13および14Gシステムでサポートされています。最も厳格なセキュリティを確保するために、TPMベースの認証とTPM 2.0を使用することをお勧めします。