Fachartikel

Security mit Shielded-VMs und Host Guardian Service (3)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.
Gewusst wie, lassen sich virtuelle Server vor unberechtigten Zugriffen wirkungsvoll abschirmen.
Windows Azure Pack und Shielded VMs
Unter Windows Server in Verbindung mit SCVMM können Sie mit dem "Azure Pack" ebenfalls eine Private Cloud mit Shielded-VMs aufbauen. Dazu müssen Sie System Center Service Provider Foundation und das Azure Pack einsetzen. Über dieses Pack erhalten Sie ein einfach zu verwendendes Webportal, mit dem Sie verschiedene Dienste im Netzwerk zur Verfügung zu stellen. Dabei kann es sich um Datenbanken, Webseiten, virtuelle Server und andere Services handeln – und eben auch Shielded-VMs. Verwaltet werden diese Dienste über das Webportal, zur Verfügung gestellt und gewartet werden sie über die beteiligen Microsoft-Server-Produkte, also Windows Server und SCVMM.

Die Installation des Microsoft Azure Packs erfolgt über den kostenlosen "Microsoft Web Platform Installer" [2]. Diesen laden Sie herunter und starten die Installation auf dem Server. Dieser bedarf dazu einer Internetverbindung, da die notwendigen Komponenten heruntergeladen werden müssen.

Wechseln Sie nach dem Start der Installationsdatei auf die Registerkarte "Produkte" und geben Sie im Suchfeld "Azure Pack" ein. Klicken Sie bei "Windows Azure Pack: Portal and API" auf "Hinzufügen" und danach auf "Installieren". Ist dies abgeschlossen, rufen Sie auf dem Server zunächst die Webseite "https://localhost:30101" auf. Zum Azure-Portal gelangen Sie über die Seite "https://localhost:30091/#Workspaces/WebSystemAdminExtension/quickStart".

Mit SCVMM haben Sie die Möglichkeit, eine VM-Cloud im Portal zu erstellen. Anschließend registrieren Sie einen System Center Service Provider. Die Vorgehensweise dazu finden Sie ebenfalls über das Whitepaper [1]. Sobald Sie die Einrichtung vorgenommen haben, erzeugen Sie neue VMs mit der Option "Allow Virtual Machines To Be Shielded" im Webportal des Azure Packs.
HTTPS für HGS aktivieren
Per Default kommunizieren Hyper-V-Hosts und SCVMM über das HTTP-Protokoll miteinander. In einer produktiven Umgebung sollten Sie hier natürlich am besten SSL aktivieren. Dazu öffnen Sie die PowerShell auf dem HGS-Server und legen ein selbstsigniertes Zertifikat an, das Sie für die Kommunikation per SSL nutzen:
$HttpsCertificate = New-SelfSignedCertificate 
-DnsName "$HgsServiceName.$env:userdnsdomain"
-CertStoreLocation Cert:\LocalMachine\My Export-PfxCertificate
-Cert $HttpsCertificate -Password $certificatePassword
-FilePath "c:\HttpsCertificate.pfx"
Nachdem Sie das Zertifikat eingerichtet und exportiert haben, binden Sie es in den HGS-Server ein. Achten Sie dabei darauf, dass die jeweiligen Variablen korrekt definiert sind beziehungsweise geben Sie direkt den jeweiligen Dienstnamen ein:
Initialize-HgsServer -HgsServiceName $HgsServiceName 
-EncryptionCertificateThumbprint $encryptionCert Thumbprint
-SigningCertificateThumbprint $signingCert.Thumbprint
-CommunicationsCertificateThumbprint $signingCert.Thumbprint
-TrustActiveDirectory -http -https
-HttpsCertificatePath 'C:\HttpsCertificate.pfx'
-HttpsCertificatePassword $certificatePassword -Force
Arbeiten Sie mit SCVMM 2016, müssen Sie noch darauf achten, dass Sie die URLs zur Anbindung an den Host Guardian Service auf SSL umstellen. Nutzen Sie selbstsignierte Zertifikate und nicht die Zertifikatdienste aus dem Active Directory, müssen Sie das Zertifikat auf den beteiligten Servern noch in die Liste der vertrauenswürdigen Stammzertifizierungsstellen integrieren. Auch das erledigen Sie am einfachsten in der PowerShell:
Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" 
-CertStoreLocation Cert:\LocalMachine\Root
Fazit
Shielded-VMs können sensible virtuelle Server mit heiklen Daten recht zuverlässig schützen. Die Konfiguration ist nicht einfach und Sie benötigen dazu mehrere Server, auf denen der Host Guardian Service installiert ist. In einer idealen Umgebung setzen Sie noch auf den System Center Virtual Machine Manager. Doch auch wenn es sich lohnt, sich mit Shielded-VMs auseinanderzusetzen, ist der Betrieb allerdings eher teuer. Sie benötigen mindestens einen Cluster mit Windows Server 2016 Datacenter Edition und viel Zeit für die Einrichtung, denn für Shielded-VMs sind Vorlagen die Voraussetzung. Das Setup ist also nicht in wenigen Minuten abgeschlossen, sondern benötigt viel Planung und Konzeption.

Im ersten Teil des Workshops sind wir auf die Voraussetzungen für Shielded-VMs eingegangen und haben beschrieben, wie Sie Host Guardian Service als Serverrolle einrichten und damit VMs absichern. In der zweiten Folge haben wir uns mit der Konfiguration von HGS beschäftigt und gezeigt, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten.
18.10.2021/jp/ln/Thomas Joos

Nachrichten

Alexa.com geht in Rente [9.12.2021]

Ein ganz wesentlicher Aspekt für Webseitenbetreiber ist die Analyse der eigenen Popularität sowie die Suchmaschinenoptimierung. Seit 25 Jahren wichtiger Anlaufpunkt hierfür ist Alexa.com. Nun schickt Amazon den Dienst in Rente. Am 1. Mai 2022 gehen dort die Lichter aus. Seit gestern können keine neuen Subscriptions mehr abgeschlossen werden. [mehr]

Red Hat stellt Automatisierung auf Azure bereit [8.12.2021]

Red Hat kündigt die "Ansible Automation Platform" auf Microsoft Azure an. Die Umgebung fuße auf dem Standard von Red Hat für die Hybrid-Cloud-Automatisierung. Aus der Zusammenarbeit von Red Hat und Microsoft soll nun ein System resultieren, das Nutzern eine hohe Flexibilität in Sachen Automatisierung bietet: Sie könnten Anwendungen ohne zusätzlichen Aufwand oder Komplexität bereitstellen. [mehr]

Tipps & Tools

Der Faktor Mensch in der Cybersicherheit [9.12.2021]

Mit dem Ziel der schnellen Geldbeschaffung agieren Cyberkriminelle taktisch variabel und ergreifen jede sich ihnen bietende Gelegenheit. Deshalb wirft der Beitrag ein Schlaglicht auf die unterschiedlichen Taktiken der Angreifer, zeigt, wie Letztere von der Pandemie profitieren, und beleuchtet vor allem eine große Gemeinsankeit der Attacken: ihre zunehmende Fokussierung auf Menschen statt auf Infrastukturen. [mehr]

Download der Woche: Wox [8.12.2021]

Wem die Windowssuche zu separiert oder zu langsam agiert, der sollte sich das kostenfreie Mini-Tool "Wox" anschauen. Es integriert eine multifunktionale Suchleiste in das Microsoft-OS, mit der sich neben dem Computer auch das Internet durchforsten lässt. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen