von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Security mit Shielded-VMs und Host Guardian Service (1)
Host Guardian Service als Serverrolle einrichten
Auf die Funktionen zur Absicherung von VMs greifen Sie über die Installation der HGS-Serverrolle auf dem Host zu. HGS installieren Sie dabei getrennt von Hyper-V. Der Cluster, in dem Sie HGS installieren, schützt "Guarded Hosts". Herkömmliche VMs tragen in diesem Zusammenhang die Bezeichnung "Non-Shielded-VMs", während die abgesicherten VMs als "Shielded" oder abgeschirmte beziehungsweise geschützte VMs bezeichnet werden. Für die Verwendung des Dienstes müssen Sie eine VM nicht neu erstellen, sondern können wie erwähnt vorhandene VMs konvertieren. Für eine neue geschützte VM arbeiten Sie mit Vorlagen, die sich auch in SCVMM nutzen lassen.
Microsoft empfiehlt den Aufbau eines Cluster beziehungsweise den Betrieb von mindestens drei physischen Hosts mit dem Host Guardian Service. Nur dadurch ist sichergestellt, dass der Dienst immer hochverfügbar zur Verfügung steht und Shielded-VMs auch dann starten können, wenn ein HGS-Server ausfällt. Shielded-VMs lassen sich auf Guarded Hosts nur dann starten, wenn der dazugehörige HGS verfügbar ist.
Die Absicherung der virtuellen Maschinen erfolgt durch eine eigene Active-Directory-Gesamtstruktur, die von der herkömmlichen Gesamtstruktur getrennt ist. Diese wird bei der Einrichtung des HGS automatisch erstellt.
Außerdem legt der Assistent selbstständig einen Failover-Cluster im Rahmen der Einrichtung der Serverrolle an. Neben dem Server-Manager können Sie den Host Guardian Service auch in der PowerShell installieren:
VMs mit HGS absichern
Damit der HGS auf einem Hyper-V-Host als Guarded Host Shielded-VMs betreiben kann, muss der Hyper-V-Host vom Host Guardian Service akzeptiert werden. Dazu ist auf den Hyper-V-Hosts in produktiven Umgebungen ein TPM-Chip ab Version 2 notwendig, wenn Sie mit der Hardware-Attestation arbeiten. Dieser sichert später auch die Shielded-VMs entsprechend ab. Der Server muss außerdem EFI 2.3.1 mit Secure Boot nutzen. Für die Einrichtung ist in diesem Fall keine Vertrauensstellung zwischen der Active-Directory-Gesamtstruktur des Host Guardian Service und der AD-Gesamtstruktur mit den Hyper-V-Hosts (Fabric) notwendig. Die Einrichtung ist allerdings recht kompliziert.
Setzen Sie Hyper-V-Hosts ein, die weder TPM noch UEFI unterstützen, können Sie die Hosts auch über das Active Directory absichern und an den HGS anbinden. Die Absicherung erfolgt in diesem Fall über AD-Sicherheitsgruppen. Dazu erstellen Sie eine weitere AD-Gesamtstruktur für den HGS und legen eine entsprechende Vertrauensstellung an.
Um Shielded-VMs zu nutzen, benötigen Sie zunächst einen Server beziehungsweise Cluster mit HGS. Auf den zu schützenden Hyper-V-Hosts müssen Sie neben Hyper-V noch das Serverfeature "Hyper-V-Unterstützung durch Host Guardian" installieren, was Hyper-V-Funktionen für den Betrieb von Shielded VMs freischaltet.
Außerdem müssen Sie bei der Installation des Hyper-V-Hosts sowie der Anbindung an HGS sicherstellen, die Remoteserver-Verwaltungstools für Shielded-VMs zu installieren. Diese tragen die Bezeichnung "Abgeschirmte VM-Tools" und werden nicht automatisch auf Hyper-V-Hosts installiert, sondern müssen immer manuell aufgebracht werden. Neue Shielded-VMs müssen Sie immer mit dem Typ "Generation 2" anlegen.
Um bei der HGS-Absicherung den virtuellen TPM-Chip einzubinden, können Sie auf das Add-VMTPM-Cmdlet in der PowerShell zurückgreifen. Gleiches gilt für die notwendigen Tools, um Hyper-V mit dem Host Guardian Service zu verbinden:
Die Absicherung von Hyper-V-Hosts in der Fabric-Gesamtstruktur erfolgt normalerweise über die Mitgliedschaft in einer AD-Gruppe, wenn Sie nicht auf UEFI und TPM setzen. Wenn Sie nicht wissen, ob ein Host bereits mit einem HGS-Server verbunden ist, können Sie das mit den Cmdlets Get-WindowsFeature HostGuardian und Get-HgsClientConfiguration überprüfen. Dadurch können Sie recht schnell sicherstellen, ob ein Host ordnungsgemäß mit der HGS-Infrastruktur verbunden ist.
Seite 1: Voraussetzungen für Shielded-VMs
Seite 2: Host Guardian Service als Serverrolle einrichten
Im zweiten Teil des Workshops beschäftigen wir uns mit der Konfiguration des Host Guardian Service und zeigen, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten. Im dritten und letzten Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.
jp/ln/Thomas Joos
Auf die Funktionen zur Absicherung von VMs greifen Sie über die Installation der HGS-Serverrolle auf dem Host zu. HGS installieren Sie dabei getrennt von Hyper-V. Der Cluster, in dem Sie HGS installieren, schützt "Guarded Hosts". Herkömmliche VMs tragen in diesem Zusammenhang die Bezeichnung "Non-Shielded-VMs", während die abgesicherten VMs als "Shielded" oder abgeschirmte beziehungsweise geschützte VMs bezeichnet werden. Für die Verwendung des Dienstes müssen Sie eine VM nicht neu erstellen, sondern können wie erwähnt vorhandene VMs konvertieren. Für eine neue geschützte VM arbeiten Sie mit Vorlagen, die sich auch in SCVMM nutzen lassen.
Microsoft empfiehlt den Aufbau eines Cluster beziehungsweise den Betrieb von mindestens drei physischen Hosts mit dem Host Guardian Service. Nur dadurch ist sichergestellt, dass der Dienst immer hochverfügbar zur Verfügung steht und Shielded-VMs auch dann starten können, wenn ein HGS-Server ausfällt. Shielded-VMs lassen sich auf Guarded Hosts nur dann starten, wenn der dazugehörige HGS verfügbar ist.
Bild 1: Grundlage für den Host Guardian Service ist eine Serverrolle, die Sie im Server-Manager installieren.
Die Absicherung der virtuellen Maschinen erfolgt durch eine eigene Active-Directory-Gesamtstruktur, die von der herkömmlichen Gesamtstruktur getrennt ist. Diese wird bei der Einrichtung des HGS automatisch erstellt.
Außerdem legt der Assistent selbstständig einen Failover-Cluster im Rahmen der Einrichtung der Serverrolle an. Neben dem Server-Manager können Sie den Host Guardian Service auch in der PowerShell installieren:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -RestartDurch die Installation der notwendigen Dateien auf dem Server nehmen Sie aber noch keine Einrichtung vor. Wichtig ist jedoch, dass Sie die Hyper-V-Hosts vom Host Guardian Service trennen – eine Installation auf einem gemeinsamen Server ist nicht möglich.
VMs mit HGS absichern
Damit der HGS auf einem Hyper-V-Host als Guarded Host Shielded-VMs betreiben kann, muss der Hyper-V-Host vom Host Guardian Service akzeptiert werden. Dazu ist auf den Hyper-V-Hosts in produktiven Umgebungen ein TPM-Chip ab Version 2 notwendig, wenn Sie mit der Hardware-Attestation arbeiten. Dieser sichert später auch die Shielded-VMs entsprechend ab. Der Server muss außerdem EFI 2.3.1 mit Secure Boot nutzen. Für die Einrichtung ist in diesem Fall keine Vertrauensstellung zwischen der Active-Directory-Gesamtstruktur des Host Guardian Service und der AD-Gesamtstruktur mit den Hyper-V-Hosts (Fabric) notwendig. Die Einrichtung ist allerdings recht kompliziert.
Setzen Sie Hyper-V-Hosts ein, die weder TPM noch UEFI unterstützen, können Sie die Hosts auch über das Active Directory absichern und an den HGS anbinden. Die Absicherung erfolgt in diesem Fall über AD-Sicherheitsgruppen. Dazu erstellen Sie eine weitere AD-Gesamtstruktur für den HGS und legen eine entsprechende Vertrauensstellung an.
Um Shielded-VMs zu nutzen, benötigen Sie zunächst einen Server beziehungsweise Cluster mit HGS. Auf den zu schützenden Hyper-V-Hosts müssen Sie neben Hyper-V noch das Serverfeature "Hyper-V-Unterstützung durch Host Guardian" installieren, was Hyper-V-Funktionen für den Betrieb von Shielded VMs freischaltet.
Bild 2: Hyper-V-Hosts werden durch ein zusätzliches Serverfeature an den Host Guardian Service angebunden.
Außerdem müssen Sie bei der Installation des Hyper-V-Hosts sowie der Anbindung an HGS sicherstellen, die Remoteserver-Verwaltungstools für Shielded-VMs zu installieren. Diese tragen die Bezeichnung "Abgeschirmte VM-Tools" und werden nicht automatisch auf Hyper-V-Hosts installiert, sondern müssen immer manuell aufgebracht werden. Neue Shielded-VMs müssen Sie immer mit dem Typ "Generation 2" anlegen.
Um bei der HGS-Absicherung den virtuellen TPM-Chip einzubinden, können Sie auf das Add-VMTPM-Cmdlet in der PowerShell zurückgreifen. Gleiches gilt für die notwendigen Tools, um Hyper-V mit dem Host Guardian Service zu verbinden:
Install-WindowsFeature -Name HostGuardian Install-WindowsFeatureDadurch findet aber noch keine Verbindung statt, sondern es werden lediglich die notwendigen Daten installiert.
-Name RSAT-Shielded-VM-Tools Install-WindowsFeature
-Name FabricShieldedTools -Restart
Die Absicherung von Hyper-V-Hosts in der Fabric-Gesamtstruktur erfolgt normalerweise über die Mitgliedschaft in einer AD-Gruppe, wenn Sie nicht auf UEFI und TPM setzen. Wenn Sie nicht wissen, ob ein Host bereits mit einem HGS-Server verbunden ist, können Sie das mit den Cmdlets Get-WindowsFeature HostGuardian und Get-HgsClientConfiguration überprüfen. Dadurch können Sie recht schnell sicherstellen, ob ein Host ordnungsgemäß mit der HGS-Infrastruktur verbunden ist.
Seite 1: Voraussetzungen für Shielded-VMs
Seite 2: Host Guardian Service als Serverrolle einrichten
Im zweiten Teil des Workshops beschäftigen wir uns mit der Konfiguration des Host Guardian Service und zeigen, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten. Im dritten und letzten Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.
| << Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Joos
