メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000175495

Windows Server 2019의 보호된 VM 개선 사항

概要: 보호된 VM 개선 사항

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象


Shielded VM은 Windows Server 2016에서 Microsoft에서 도입한 고유한 보안 기능이며 Windows Server 2019 에디션에서 많은 개선 사항을 거쳤습니다. 이 블로그는 주로 기능의 개선 사항을 소개하는 것을 목표로 합니다.

기능에 대한 기본 소개 및 배포에 대한 자세한 단계는 다음 링크를 참조하십시오.

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

증명 모드

이 기능은 처음에는 Active Directory 기반 증명 및 TPM 기반 증명의 두 가지 증명 모드를 지원했습니다. TPM 기반 증명은 TPM을 하드웨어 RoT(Root of Trust)로 사용하고 측정된 부팅 및 코드 무결성을 지원하므로 향상된 보안 보호 기능을 제공합니다.

키 모드 증명은 AD 기반 증명을 대체하는 새로운 기능입니다(여전히 존재하지만 Windows Server 2019 이후 버전에서는 더 이상 사용되지 않음). 다음 링크에는 키 모드 증명을 사용하여 HGS(Host Guardian Service) 노드를 설정하는 정보가 포함되어 있습니다. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM 하드웨어를 사용할 수 없는 경우 키 모드 증명이 선호되거나 사용됩니다. 구성이 더 쉽지만 하드웨어 RoT(Root of Trust)가 포함되지 않으므로 일련의 보안 위험이 수반됩니다.

HGS 백업 기능

HGS 클러스터는 실드 VM 솔루션에서 중요한 요소이므로 Microsoft는 운영 HGS 서버가 응답하지 않더라도 Hyper-V 보호 호스트가 다운타임 없이 보호된 VM을 증명하고 실행하도록 HGS URL에 대한 백업을 쉽게 통합할 수 있는 향상된 기능을 제공했습니다. 이를 위해서는 2개의 HGS 서버를 설정해야 하며, VM은 배포 중에 두 서버 모두에서 독립적으로 테스트를 수행합니다. 다음 명령을 사용하여 두 HGS 클러스터 모두에서 VM을 테스트할 수 있습니다.

 

# https://hgs.primary.com 교체하고 고유한 도메인 이름 및 프로토콜로 https://hgs.backup.com

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-V 호스트가 운영 서버와 폴백 서버 모두에서 증명을 통과하려면 두 HGS 클러스터 모두에서 증명 정보가 최신 상태인지 확인해야 합니다.

오프라인 모드

이는 다시 Microsoft에서 도입한 특수 모드로, HGS 노드에 연결할 수 없는 경우에도 Shielded VM을 켤 수 있습니다. VM에 대해 이 모드를 활성화하려면 HGS 노드에서 다음 명령을 실행해야 합니다.

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

이 작업이 완료되면 모든 가상 머신을 재시작하여 가상 머신에 대해 캐시 가능한 키 보호기를 활성화해야 합니다.

참고:  로컬 시스템에서 보안 구성을 변경하면 이 오프라인 모드가 유효하지 않습니다. 오프라인 모드를 다시 켜기 전에 VM이 HGS 서버로 증명해야 합니다.

Linux Shielded VM

또한 Microsoft는 Linux를 게스트 OS로 사용하는 VM을 호스팅하는 지원도 확장했습니다. 사용할 수 있는 OS 버전에 대한 자세한 내용은 다음 링크를 참조하십시오.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

중요 지침

Shielded VM을 구축할 때 따라야 할 몇 가지 중요한 지침은 다음과 같습니다.

  1. Windows Server 2016에서 Windows Server 2019로의 업그레이드를 수행하는 동안 솔루션이 원활하게 작동하려면 HGS 및 보호 호스트에서 업그레이드한 후 모든 보안 구성을 지우고 다시 적용해야 합니다.
  2. 템플릿 디스크는 보안 실드 VM 프로비저닝 프로세스에서만 사용할 수 있습니다. 템플릿 디스크를 사용하여 일반(보호되지 않은) VM을 부팅하려고 하면 중지 오류(블루 스크린)가 발생하고 지원되지 않을 수 있습니다.

Dell 지원

WS2016 및 2019의 모든 옵션은 Dell PowerEdge 13 및 14G 시스템에서 지원됩니다. 가장 엄격한 보안을 위해 TPM 기반 증명과 TPM 2.0을 사용하는 것이 좋습니다.

이 블로그는 Dell 엔지니어 Pavan Kumar, Vinay Patkar 및 Shubhra Rana가 작성했습니다.

原因

 

解決方法

 

文書のプロパティ

最後に公開された日付

19 7月 2024

バージョン

6

文書の種類

Solution

トップに戻る