von Redaktion IT-A…
Lesezeit
2 Minuten
Security mit Shielded-VMs und Host Guardian Service (1)
Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im ersten Teil unseres Workshops gehen wir auf die Voraussetzungen für Shielded-VMs ein und beschreiben, wie Sie Host Guardian Service als Serverrolle einrichten und damit VMs absichern.
Der Host Guardian Service (HGS) trennt VMs in Hyper-V besser voneinander. Wenn eine VM durch einen Angreifer kompromittiert ist, verhindert dieser Dienst die Ausbreitung des Hackers oder der Malware. Zusätzlich bietet der Host Guardian Service auch Verschlüsselungstechnologien und ermöglicht das Absichern von VMs auf vielfältigen Wegen. So lassen sich die Festplatten mit BitLocker verschlüsseln, der Zugriff auf die Konsole einschränken und festlegen, auf welchen Hyper-V-Hosts eine gesicherte VM starten darf.
Sie können mit dem HGS Hyper-V-Server ab Windows Server 2016 Datacenter Edition schützen. Ältere Versionen oder Windows Server 2019 Standard Edition lassen sich nicht mit HGS verbinden. In den abgesicherten VMs können Sie neben Windows Server 2016/2019 auch Windows Server 2012/2012 R2 betreiben. Sowohl Windows Server 2019 Datacenter als auch der kostenlose Hyper-V-Server 2019 können Shielded-VMs auch mit Linux nutzen. Neben dieser Neuerung hat Microsoft die Technik der Shielded-VMs weiter verbessert. Diese können jetzt auch starten, wenn der HGS nicht kontaktiert werden kann. Dazu gibt es den Offline-Modus.
Windows Server 2019 unterstützt die Ausführung von Ubuntu, Red Hat Enterprise Linux und SUSE Linux Enterprise Server auf abgeschirmten VMs.
Voraussetzungen für Shielded-VMs
Um virtuelle Festplatten einer VM zu verschlüsseln, müssen nicht unbedingt Shielded-VMs zum Einsatz kommen. Seit Windows Server 2016 lassen sich auch virtuelle Trusted Platform Modules (TPM) zu VMs hinzufügen. Dazu steht in den VM-Eigenschaften der Menüpunkt "Sicherheit" zur Verfügung. Schalten Sie "Trusted Platform Module aktivieren" ein, um der VM ein virtuelles TPM für die Verschlüsselung mit BitLocker bereitzustellen. VMs, die Sie auf Basis von BitLocker mit einem vTPM verschlüsseln, lassen sich jederzeit in eine Guarded Fabric mit Shielded-VMs integrieren und auch Livemigration ist möglich. Wichtig ist, dass es sich bei der VM um eine Generation-2-VM handelt.
VMs können über den Host Guardian Service auch verschlüsselte Festplatten nutzen, auch mit vTPM. Dazu setzt Windows Server 2019 auf BitLocker. VMs lassen sich vom Non-Shielded-Modus in den Shielded-Modus versetzen. Auch der Datenverkehr zur Livemigration lässt sich mit HGS verschlüsseln.
Sie können in Windows Server 2019 abgeschirmte VMs auf Maschinen mit intermittierender Konnektivität zum Host Guardian Service ausführen, indem Sie die neuen Fallback-HGS- und Offline-Modus-Funktionen nutzen. Der Offline-Modus ermöglicht, geschützte VMs weiter zu starten, auch wenn HGS nicht erreichbar ist.
Mit "VMConnect Enhanced Session Mode" und PowerShell Direct stellen Sie für VMs in Windows Server 2019 die Netzwerkverbindung zu Ihrer VM wieder her und aktualisieren deren Konfiguration zuvor, damit dieser Zugriff funktioniert. Diese Funktionen sind automatisch verfügbar, wenn Sie eine abgeschirmte VM auf einem Hyper-V-Host mit Windows Server Version 1803 oder höher platzieren.
Windows Server 2019 erlaubt Ihnen, den Attestation-Mode des HGS im laufenden Betrieb anzupassen. Dieser Modus bestimmt, wie sich die geschützten Hyper-V-Hosts in der HGS-Infrastruktur authentifizieren. Microsoft unterstützt hier die Authentifizierung mit einem TPM-Chip (Hardware-Attestation) oder der Mitgliedschaft in einer Active-Directory-Gruppe (Admin-Attestation). Den Modus im laufenden Betrieb zu wechseln, ist zum Beispiel sinnvoll, wenn Sie zwischen Active Directory und TPM wechselt möchten, während die VMs gestartet bleiben. Ihnen steht allerdings kein gemischter Modus zur Verfügung, sondern Sie müssen zwischen Hardware-Attestation und Admin-Attestation wählen.
Der beste Weg zur Konfiguration und Überwachung des HGS führt über die PowerShell. So lassen sich fehlerhafte Konfigurationen und Probleme schnell und zuverlässig erkennen und beheben. Eine Wiederherstellung von Shielded-VMs unter Server 2019 erfolgt durch den Transfer der VMs in eine Wiederherstellungsumgebung, die die gleichen Sicherheitsanforderungen erfüllt wie die ursprüngliche Umgebung.
jp/ln/Thomas Joos
Sie können mit dem HGS Hyper-V-Server ab Windows Server 2016 Datacenter Edition schützen. Ältere Versionen oder Windows Server 2019 Standard Edition lassen sich nicht mit HGS verbinden. In den abgesicherten VMs können Sie neben Windows Server 2016/2019 auch Windows Server 2012/2012 R2 betreiben. Sowohl Windows Server 2019 Datacenter als auch der kostenlose Hyper-V-Server 2019 können Shielded-VMs auch mit Linux nutzen. Neben dieser Neuerung hat Microsoft die Technik der Shielded-VMs weiter verbessert. Diese können jetzt auch starten, wenn der HGS nicht kontaktiert werden kann. Dazu gibt es den Offline-Modus.
Windows Server 2019 unterstützt die Ausführung von Ubuntu, Red Hat Enterprise Linux und SUSE Linux Enterprise Server auf abgeschirmten VMs.
Voraussetzungen für Shielded-VMs
Um virtuelle Festplatten einer VM zu verschlüsseln, müssen nicht unbedingt Shielded-VMs zum Einsatz kommen. Seit Windows Server 2016 lassen sich auch virtuelle Trusted Platform Modules (TPM) zu VMs hinzufügen. Dazu steht in den VM-Eigenschaften der Menüpunkt "Sicherheit" zur Verfügung. Schalten Sie "Trusted Platform Module aktivieren" ein, um der VM ein virtuelles TPM für die Verschlüsselung mit BitLocker bereitzustellen. VMs, die Sie auf Basis von BitLocker mit einem vTPM verschlüsseln, lassen sich jederzeit in eine Guarded Fabric mit Shielded-VMs integrieren und auch Livemigration ist möglich. Wichtig ist, dass es sich bei der VM um eine Generation-2-VM handelt.
VMs können über den Host Guardian Service auch verschlüsselte Festplatten nutzen, auch mit vTPM. Dazu setzt Windows Server 2019 auf BitLocker. VMs lassen sich vom Non-Shielded-Modus in den Shielded-Modus versetzen. Auch der Datenverkehr zur Livemigration lässt sich mit HGS verschlüsseln.
Sie können in Windows Server 2019 abgeschirmte VMs auf Maschinen mit intermittierender Konnektivität zum Host Guardian Service ausführen, indem Sie die neuen Fallback-HGS- und Offline-Modus-Funktionen nutzen. Der Offline-Modus ermöglicht, geschützte VMs weiter zu starten, auch wenn HGS nicht erreichbar ist.
Mit "VMConnect Enhanced Session Mode" und PowerShell Direct stellen Sie für VMs in Windows Server 2019 die Netzwerkverbindung zu Ihrer VM wieder her und aktualisieren deren Konfiguration zuvor, damit dieser Zugriff funktioniert. Diese Funktionen sind automatisch verfügbar, wenn Sie eine abgeschirmte VM auf einem Hyper-V-Host mit Windows Server Version 1803 oder höher platzieren.
Windows Server 2019 erlaubt Ihnen, den Attestation-Mode des HGS im laufenden Betrieb anzupassen. Dieser Modus bestimmt, wie sich die geschützten Hyper-V-Hosts in der HGS-Infrastruktur authentifizieren. Microsoft unterstützt hier die Authentifizierung mit einem TPM-Chip (Hardware-Attestation) oder der Mitgliedschaft in einer Active-Directory-Gruppe (Admin-Attestation). Den Modus im laufenden Betrieb zu wechseln, ist zum Beispiel sinnvoll, wenn Sie zwischen Active Directory und TPM wechselt möchten, während die VMs gestartet bleiben. Ihnen steht allerdings kein gemischter Modus zur Verfügung, sondern Sie müssen zwischen Hardware-Attestation und Admin-Attestation wählen.
Der beste Weg zur Konfiguration und Überwachung des HGS führt über die PowerShell. So lassen sich fehlerhafte Konfigurationen und Probleme schnell und zuverlässig erkennen und beheben. Eine Wiederherstellung von Shielded-VMs unter Server 2019 erfolgt durch den Transfer der VMs in eine Wiederherstellungsumgebung, die die gleichen Sicherheitsanforderungen erfüllt wie die ursprüngliche Umgebung.
| Seite 1 von 2 | Nächste Seite >> |
jp/ln/Thomas Joos
