메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Windows Server 2019의 보호된 VM 개선 사항

요약: 보호된 VM 개선 사항

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Shielded VM은 Windows Server 2016에서 Microsoft에서 도입한 고유한 보안 기능이며 Windows Server 2019 에디션에서 많은 개선 사항을 거쳤습니다. 이 블로그는 주로 기능의 개선 사항을 소개하는 것을 목표로 합니다.

기능에 대한 기본 소개 및 배포에 대한 자세한 단계는 다음 링크를 참조하십시오.

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

증명 모드

이 기능은 처음에는 Active Directory 기반 증명 및 TPM 기반 증명의 두 가지 증명 모드를 지원했습니다. TPM 기반 증명은 TPM을 하드웨어 RoT(Root of Trust)로 사용하고 측정된 부팅 및 코드 무결성을 지원하므로 향상된 보안 보호 기능을 제공합니다.

키 모드 증명은 AD 기반 증명을 대체하는 새로운 기능입니다(여전히 존재하지만 Windows Server 2019 이후 버전에서는 더 이상 사용되지 않음). 다음 링크에는 키 모드 증명을 사용하여 HGS(Host Guardian Service) 노드를 설정하는 정보가 포함되어 있습니다. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM 하드웨어를 사용할 수 없는 경우 키 모드 증명이 선호되거나 사용됩니다. 구성이 더 쉽지만 하드웨어 RoT(Root of Trust)가 포함되지 않으므로 일련의 보안 위험이 수반됩니다.

HGS 백업 기능

HGS 클러스터는 실드 VM 솔루션에서 중요한 요소이므로 Microsoft는 운영 HGS 서버가 응답하지 않더라도 Hyper-V 보호 호스트가 다운타임 없이 보호된 VM을 증명하고 실행하도록 HGS URL에 대한 백업을 쉽게 통합할 수 있는 향상된 기능을 제공했습니다. 이를 위해서는 2개의 HGS 서버를 설정해야 하며, VM은 배포 중에 두 서버 모두에서 독립적으로 테스트를 수행합니다. 다음 명령을 사용하여 두 HGS 클러스터 모두에서 VM을 테스트할 수 있습니다.

 

# https://hgs.primary.com 교체하고 고유한 도메인 이름 및 프로토콜로 https://hgs.backup.com

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-V 호스트가 운영 서버와 폴백 서버 모두에서 증명을 통과하려면 두 HGS 클러스터 모두에서 증명 정보가 최신 상태인지 확인해야 합니다.

오프라인 모드

이는 다시 Microsoft에서 도입한 특수 모드로, HGS 노드에 연결할 수 없는 경우에도 Shielded VM을 켤 수 있습니다. VM에 대해 이 모드를 활성화하려면 HGS 노드에서 다음 명령을 실행해야 합니다.

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

이 작업이 완료되면 모든 가상 머신을 재시작하여 가상 머신에 대해 캐시 가능한 키 보호기를 활성화해야 합니다.

참고:  로컬 시스템에서 보안 구성을 변경하면 이 오프라인 모드가 유효하지 않습니다. 오프라인 모드를 다시 켜기 전에 VM이 HGS 서버로 증명해야 합니다.

Linux Shielded VM

또한 Microsoft는 Linux를 게스트 OS로 사용하는 VM을 호스팅하는 지원도 확장했습니다. 사용할 수 있는 OS 버전에 대한 자세한 내용은 다음 링크를 참조하십시오.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

중요 지침

Shielded VM을 구축할 때 따라야 할 몇 가지 중요한 지침은 다음과 같습니다.

  1. Windows Server 2016에서 Windows Server 2019로의 업그레이드를 수행하는 동안 솔루션이 원활하게 작동하려면 HGS 및 보호 호스트에서 업그레이드한 후 모든 보안 구성을 지우고 다시 적용해야 합니다.
  2. 템플릿 디스크는 보안 실드 VM 프로비저닝 프로세스에서만 사용할 수 있습니다. 템플릿 디스크를 사용하여 일반(보호되지 않은) VM을 부팅하려고 하면 중지 오류(블루 스크린)가 발생하고 지원되지 않을 수 있습니다.

Dell 지원

WS2016 및 2019의 모든 옵션은 Dell PowerEdge 13 및 14G 시스템에서 지원됩니다. 가장 엄격한 보안을 위해 TPM 기반 증명과 TPM 2.0을 사용하는 것이 좋습니다.


이 블로그는 Dell 엔지니어 Pavan Kumar, Vinay Patkar 및 Shubhra Rana가 작성했습니다.

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.