Fachartikel

Security mit Shielded-VMs und Host Guardian Service (1)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im ersten Teil unseres Workshops gehen wir auf die Voraussetzungen für Shielded-VMs ein und beschreiben, wie Sie Host Guardian Service als Serverrolle einrichten und damit VMs absichern.
Gewusst wie, lassen sich virtuelle Server vor unberechtigten Zugriffen wirkungsvoll abschirmen.
Der Host Guardian Service (HGS) trennt VMs in Hyper-V besser voneinander. Wenn eine VM durch einen Angreifer kompromittiert ist, verhindert dieser Dienst die Ausbreitung des Hackers oder der Malware. Zusätzlich bietet der Host Guardian Service auch Verschlüsselungstechnologien und ermöglicht das Absichern von VMs auf vielfältigen Wegen. So lassen sich die Festplatten mit BitLocker verschlüsseln, der Zugriff auf die Konsole einschränken und festlegen, auf welchen Hyper-V-Hosts eine gesicherte VM starten darf.

Sie können mit dem HGS Hyper-V-Server ab Windows Server 2016 Datacenter Edition schützen. Ältere Versionen oder Windows Server 2019 Standard Edition lassen sich nicht mit HGS verbinden. In den abgesicherten VMs können Sie neben Windows Server 2016/2019 auch Windows Server 2012/2012 R2 betreiben. Sowohl Windows Server 2019 Datacenter als auch der kostenlose Hyper-V-Server 2019 können Shielded-VMs auch mit Linux nutzen. Neben dieser Neuerung hat Microsoft die Technik der Shielded-VMs weiter verbessert. Diese können jetzt auch starten, wenn der HGS nicht kontaktiert werden kann. Dazu gibt es den Offline-Modus.

Windows Server 2019 unterstützt die Ausführung von Ubuntu, Red Hat Enterprise Linux und SUSE Linux Enterprise Server auf abgeschirmten VMs.
Voraussetzungen für Shielded-VMs
Um virtuelle Festplatten einer VM zu verschlüsseln, müssen nicht unbedingt Shielded-VMs zum Einsatz kommen. Seit Windows Server 2016 lassen sich auch virtuelle Trusted Platform Modules (TPM) zu VMs hinzufügen. Dazu steht in den VM-Eigenschaften der Menüpunkt "Sicherheit" zur Verfügung. Schalten Sie "Trusted Platform Module aktivieren" ein, um der VM ein virtuelles TPM für die Verschlüsselung mit BitLocker bereitzustellen. VMs, die Sie auf Basis von BitLocker mit einem vTPM verschlüsseln, lassen sich jederzeit in eine Guarded Fabric mit Shielded-VMs integrieren und auch Livemigration ist möglich. Wichtig ist, dass es sich bei der VM um eine Generation-2-VM handelt.

VMs können über den Host Guardian Service auch verschlüsselte Festplatten nutzen, auch mit vTPM. Dazu setzt Windows Server 2019 auf BitLocker. VMs lassen sich vom Non-Shielded-Modus in den Shielded-Modus versetzen. Auch der Datenverkehr zur Livemigration lässt sich mit HGS verschlüsseln.

Sie können in Windows Server 2019 abgeschirmte VMs auf Maschinen mit intermittierender Konnektivität zum Host Guardian Service ausführen, indem Sie die neuen Fallback-HGS- und Offline-Modus-Funktionen nutzen. Der Offline-Modus ermöglicht, geschützte VMs weiter zu starten, auch wenn HGS nicht erreichbar ist.

Mit "VMConnect Enhanced Session Mode" und PowerShell Direct stellen Sie für VMs in Windows Server 2019 die Netzwerkverbindung zu Ihrer VM wieder her und aktualisieren deren Konfiguration zuvor, damit dieser Zugriff funktioniert. Diese Funktionen sind automatisch verfügbar, wenn Sie eine abgeschirmte VM auf einem Hyper-V-Host mit Windows Server Version 1803 oder höher platzieren.

Windows Server 2019 erlaubt Ihnen, den Attestation-Mode des HGS im laufenden Betrieb anzupassen. Dieser Modus bestimmt, wie sich die geschützten Hyper-V-Hosts in der HGS-Infrastruktur authentifizieren. Microsoft unterstützt hier die Authentifizierung mit einem TPM-Chip (Hardware-Attestation) oder der Mitgliedschaft in einer Active-Directory-Gruppe (Admin-Attestation). Den Modus im laufenden Betrieb zu wechseln, ist zum Beispiel sinnvoll, wenn Sie zwischen Active Directory und TPM wechselt möchten, während die VMs gestartet bleiben. Ihnen steht allerdings kein gemischter Modus zur Verfügung, sondern Sie müssen zwischen Hardware-Attestation und Admin-Attestation wählen.

Der beste Weg zur Konfiguration und Überwachung des HGS führt über die PowerShell. So lassen sich fehlerhafte Konfigurationen und Probleme schnell und zuverlässig erkennen und beheben. Eine Wiederherstellung von Shielded-VMs unter Server 2019 erfolgt durch den Transfer der VMs in eine Wiederherstellungsumgebung, die die gleichen Sicherheitsanforderungen erfüllt wie die ursprüngliche Umgebung.



Seite 1 von 2 Nächste Seite >>
4.10.2021/jp/ln/Thomas Joos

Nachrichten

Cloudinitiative GAIA-X wächst [10.09.2021]

GAIA-X, die europäische Initiative zum Aufbau einer leistungsfähigen und sicheren Dateninfrastruktur, wächst. Erst vor kurzem haben sich mit Commerzbank, Deutsche Bahn und Software AG drei Konzerne aus Deutschland dem Projekt angeschlossen. Die Notwendigkeit einer europäischen Cloudalternative scheint immer mehr Unternehmen, unabhängig von Größe und Branche, bewusst zu werden. [mehr]

NAS-Anwendungen in der AWS-Cloud [10.09.2021]

Der Dienst "Amazon FSx für NetApp ONTAP" ist ab sofort weltweit verfügbar. Mit dem AWS-nativen Managed Service basierend auf NetApp ONTAP-Software lassen sich erstmals komplette, vollständig gemanagte NetApp ONTAP-Dateisysteme in der Cloud launchen und betreiben. [mehr]

Tipps & Tools

Text und Bilder ohne Umweg teilen [16.10.2021]

Wenn Sie unterwegs oder im Büro spontan Informationen mit anderen teilen möchten, müssen Sie in der Regel diese erst aufbereiten und dann über ein bestimmtes Medium verschicken. Mit dem kostenfreien Internetdienst "JustPaste.it" geht das schneller und unkomplizierter. Die Webseite kommt ohne Werbung aus, benötigt keine Anmeldung und ist einfach und direkt auf den Vorgang des Teilens zugeschnitten. [mehr]

Download der Woche: EssentialPIM [14.10.2021]

Für die Bearbeitung von E-Mails, das Pflegen eines Kalenders und die Verwaltung von Aufgaben kommt in aller Regel Outlook zum Einsatz. Doch für Nutzer, die auf der Suche nach einer flexibleren Alternative sind, bietet sich ein Blick auf "EssentialPIM" an. Das Programm zeigt sich an einigen Stellen als übersichtlicher und bedienungsfreundlicher. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen