Fachartikel

Seite 2 - Security mit Shielded-VMs und Host Guardian Service (1)

Host Guardian Service als Serverrolle einrichten
Auf die Funktionen zur Absicherung von VMs greifen Sie über die Installation der HGS-Serverrolle auf dem Host zu. HGS installieren Sie dabei getrennt von Hyper-V. Der Cluster, in dem Sie HGS installieren, schützt "Guarded Hosts". Herkömmliche VMs tragen in diesem Zusammenhang die Bezeichnung "Non-Shielded-VMs", während die abgesicherten VMs als "Shielded" oder abgeschirmte beziehungsweise geschützte VMs bezeichnet werden. Für die Verwendung des Dienstes müssen Sie eine VM nicht neu erstellen, sondern können wie erwähnt vorhandene VMs konvertieren. Für eine neue geschützte VM arbeiten Sie mit Vorlagen, die sich auch in SCVMM nutzen lassen.

Microsoft empfiehlt den Aufbau eines Cluster beziehungsweise den Betrieb von mindestens drei physischen Hosts mit dem Host Guardian Service. Nur dadurch ist sichergestellt, dass der Dienst immer hochverfügbar zur Verfügung steht und Shielded-VMs auch dann starten können, wenn ein HGS-Server ausfällt. Shielded-VMs lassen sich auf Guarded Hosts nur dann starten, wenn der dazugehörige HGS verfügbar ist.


Bild 1: Grundlage für den Host Guardian Service ist eine Serverrolle, die Sie im Server-Manager installieren.

Die Absicherung der virtuellen Maschinen erfolgt durch eine eigene Active-Directory-Gesamtstruktur, die von der herkömmlichen Gesamtstruktur getrennt ist. Diese wird bei der Einrichtung des HGS automatisch erstellt.

Außerdem legt der Assistent selbstständig einen Failover-Cluster im Rahmen der Einrichtung der Serverrolle an. Neben dem Server-Manager können Sie den Host Guardian Service auch in der PowerShell installieren:
Install-WindowsFeature -Name HostGuardianServiceRole 
 -IncludeManagementTools -Restart
Durch die Installation der notwendigen Dateien auf dem Server nehmen Sie aber noch keine Einrichtung vor. Wichtig ist jedoch, dass Sie die Hyper-V-Hosts vom Host Guardian Service trennen – eine Installation auf einem gemeinsamen Server ist nicht möglich.
VMs mit HGS absichern
Damit der HGS auf einem Hyper-V-Host als Guarded Host Shielded-VMs betreiben kann, muss der Hyper-V-Host vom Host Guardian Service akzeptiert werden. Dazu ist auf den Hyper-V-Hosts in produktiven Umgebungen ein TPM-Chip ab Version 2 notwendig, wenn Sie mit der Hardware-Attestation arbeiten. Dieser sichert später auch die Shielded-VMs entsprechend ab. Der Server muss außerdem EFI 2.3.1 mit Secure Boot nutzen. Für die Einrichtung ist in diesem Fall keine Vertrauensstellung zwischen der Active-Directory-Gesamtstruktur des Host Guardian Service und der AD-Gesamtstruktur mit den Hyper-V-Hosts (Fabric) notwendig. Die Einrichtung ist allerdings recht kompliziert.

Setzen Sie Hyper-V-Hosts ein, die weder TPM noch UEFI unterstützen, können Sie die Hosts auch über das Active Directory absichern und an den HGS anbinden. Die Absicherung erfolgt in diesem Fall über AD-Sicherheitsgruppen. Dazu erstellen Sie eine weitere AD-Gesamtstruktur für den HGS und legen eine entsprechende Vertrauensstellung an.

Um Shielded-VMs zu nutzen, benötigen Sie zunächst einen Server beziehungsweise Cluster mit HGS. Auf den zu schützenden Hyper-V-Hosts müssen Sie neben Hyper-V noch das Serverfeature "Hyper-V-Unterstützung durch Host Guardian" installieren, was Hyper-V-Funktionen für den Betrieb von Shielded VMs freischaltet.


Bild 2: Hyper-V-Hosts werden durch ein zusätzliches Serverfeature an den Host Guardian Service angebunden.

Außerdem müssen Sie bei der Installation des Hyper-V-Hosts sowie der Anbindung an HGS sicherstellen, die Remoteserver-Verwaltungstools für Shielded-VMs zu installieren. Diese tragen die Bezeichnung "Abgeschirmte VM-Tools" und werden nicht automatisch auf Hyper-V-Hosts installiert, sondern müssen immer manuell aufgebracht werden. Neue Shielded-VMs müssen Sie immer mit dem Typ "Generation 2" anlegen.

Um bei der HGS-Absicherung den virtuellen TPM-Chip einzubinden, können Sie auf das Add-VMTPM-Cmdlet in der PowerShell zurückgreifen. Gleiches gilt für die notwendigen Tools, um Hyper-V mit dem Host Guardian Service zu verbinden:
Install-WindowsFeature -Name HostGuardian Install-WindowsFeature 
-Name RSAT-Shielded-VM-Tools Install-WindowsFeature
-Name FabricShieldedTools -Restart
Dadurch findet aber noch keine Verbindung statt, sondern es werden lediglich die notwendigen Daten installiert.

Die Absicherung von Hyper-V-Hosts in der Fabric-Gesamtstruktur erfolgt normalerweise über die Mitgliedschaft in einer AD-Gruppe, wenn Sie nicht auf UEFI und TPM setzen. Wenn Sie nicht wissen, ob ein Host bereits mit einem HGS-Server verbunden ist, können Sie das mit den Cmdlets Get-WindowsFeature HostGuardian und Get-HgsClientConfiguration überprüfen. Dadurch können Sie recht schnell sicherstellen, ob ein Host ordnungsgemäß mit der HGS-Infrastruktur verbunden ist.

Seite 1: Voraussetzungen für Shielded-VMs
Seite 2: Host Guardian Service als Serverrolle einrichten


Im zweiten Teil des Workshops beschäftigen wir uns mit der Konfiguration des Host Guardian Service und zeigen, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten. Im dritten und letzten Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.

<< Vorherige Seite Seite 2 von 2
4.10.2021/jp/ln/Thomas Joos

Nachrichten

Cloudinitiative GAIA-X wächst [10.09.2021]

GAIA-X, die europäische Initiative zum Aufbau einer leistungsfähigen und sicheren Dateninfrastruktur, wächst. Erst vor kurzem haben sich mit Commerzbank, Deutsche Bahn und Software AG drei Konzerne aus Deutschland dem Projekt angeschlossen. Die Notwendigkeit einer europäischen Cloudalternative scheint immer mehr Unternehmen, unabhängig von Größe und Branche, bewusst zu werden. [mehr]

NAS-Anwendungen in der AWS-Cloud [10.09.2021]

Der Dienst "Amazon FSx für NetApp ONTAP" ist ab sofort weltweit verfügbar. Mit dem AWS-nativen Managed Service basierend auf NetApp ONTAP-Software lassen sich erstmals komplette, vollständig gemanagte NetApp ONTAP-Dateisysteme in der Cloud launchen und betreiben. [mehr]

Tipps & Tools

Text und Bilder ohne Umweg teilen [16.10.2021]

Wenn Sie unterwegs oder im Büro spontan Informationen mit anderen teilen möchten, müssen Sie in der Regel diese erst aufbereiten und dann über ein bestimmtes Medium verschicken. Mit dem kostenfreien Internetdienst "JustPaste.it" geht das schneller und unkomplizierter. Die Webseite kommt ohne Werbung aus, benötigt keine Anmeldung und ist einfach und direkt auf den Vorgang des Teilens zugeschnitten. [mehr]

Download der Woche: EssentialPIM [14.10.2021]

Für die Bearbeitung von E-Mails, das Pflegen eines Kalenders und die Verwaltung von Aufgaben kommt in aller Regel Outlook zum Einsatz. Doch für Nutzer, die auf der Suche nach einer flexibleren Alternative sind, bietet sich ein Blick auf "EssentialPIM" an. Das Programm zeigt sich an einigen Stellen als übersichtlicher und bedienungsfreundlicher. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen