Security mit Shielded-VMs und Host Guardian Service (3)

Lesezeit
2 Minuten
Bis jetzt gelesen

Security mit Shielded-VMs und Host Guardian Service (3)

18.10.2021 - 00:00
Veröffentlicht in:
Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.
Windows Azure Pack und Shielded VMs
Unter Windows Server in Verbindung mit SCVMM können Sie mit dem "Azure Pack" ebenfalls eine Private Cloud mit Shielded-VMs aufbauen. Dazu müssen Sie System Center Service Provider Foundation und das Azure Pack einsetzen. Über dieses Pack erhalten Sie ein einfach zu verwendendes Webportal, mit dem Sie verschiedene Dienste im Netzwerk zur Verfügung zu stellen. Dabei kann es sich um Datenbanken, Webseiten, virtuelle Server und andere Services handeln – und eben auch Shielded-VMs. Verwaltet werden diese Dienste über das Webportal, zur Verfügung gestellt und gewartet werden sie über die beteiligen Microsoft-Server-Produkte, also Windows Server und SCVMM.

Die Installation des Microsoft Azure Packs erfolgt über den kostenlosen "Microsoft Web Platform Installer" [2]. Diesen laden Sie herunter und starten die Installation auf dem Server. Dieser bedarf dazu einer Internetverbindung, da die notwendigen Komponenten heruntergeladen werden müssen.

Wechseln Sie nach dem Start der Installationsdatei auf die Registerkarte "Produkte" und geben Sie im Suchfeld "Azure Pack" ein. Klicken Sie bei "Windows Azure Pack: Portal and API" auf "Hinzufügen" und danach auf "Installieren". Ist dies abgeschlossen, rufen Sie auf dem Server zunächst die Webseite "https://localhost:30101" auf. Zum Azure-Portal gelangen Sie über die Seite "https://localhost:30091/#Workspaces/WebSystemAdminExtension/quickStart".

Mit SCVMM haben Sie die Möglichkeit, eine VM-Cloud im Portal zu erstellen. Anschließend registrieren Sie einen System Center Service Provider. Die Vorgehensweise dazu finden Sie ebenfalls über das Whitepaper [1]. Sobald Sie die Einrichtung vorgenommen haben, erzeugen Sie neue VMs mit der Option "Allow Virtual Machines To Be Shielded" im Webportal des Azure Packs.

HTTPS für HGS aktivieren
Per Default kommunizieren Hyper-V-Hosts und SCVMM über das HTTP-Protokoll miteinander. In einer produktiven Umgebung sollten Sie hier natürlich am besten SSL aktivieren. Dazu öffnen Sie die PowerShell auf dem HGS-Server und legen ein selbstsigniertes Zertifikat an, das Sie für die Kommunikation per SSL nutzen:
$HttpsCertificate = New-SelfSignedCertificate 
-DnsName "$HgsServiceName.$env:userdnsdomain"
-CertStoreLocation Cert:\LocalMachine\My Export-PfxCertificate
-Cert $HttpsCertificate -Password $certificatePassword
-FilePath "c:\HttpsCertificate.pfx"
Nachdem Sie das Zertifikat eingerichtet und exportiert haben, binden Sie es in den HGS-Server ein. Achten Sie dabei darauf, dass die jeweiligen Variablen korrekt definiert sind beziehungsweise geben Sie direkt den jeweiligen Dienstnamen ein:
Initialize-HgsServer -HgsServiceName $HgsServiceName 
-EncryptionCertificateThumbprint $encryptionCert Thumbprint
-SigningCertificateThumbprint $signingCert.Thumbprint
-CommunicationsCertificateThumbprint $signingCert.Thumbprint
-TrustActiveDirectory -http -https
-HttpsCertificatePath 'C:\HttpsCertificate.pfx'
-HttpsCertificatePassword $certificatePassword -Force
Arbeiten Sie mit SCVMM 2016, müssen Sie noch darauf achten, dass Sie die URLs zur Anbindung an den Host Guardian Service auf SSL umstellen. Nutzen Sie selbstsignierte Zertifikate und nicht die Zertifikatdienste aus dem Active Directory, müssen Sie das Zertifikat auf den beteiligten Servern noch in die Liste der vertrauenswürdigen Stammzertifizierungsstellen integrieren. Auch das erledigen Sie am einfachsten in der PowerShell:
Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" 
-CertStoreLocation Cert:\LocalMachine\Root
Fazit
Shielded-VMs können sensible virtuelle Server mit heiklen Daten recht zuverlässig schützen. Die Konfiguration ist nicht einfach und Sie benötigen dazu mehrere Server, auf denen der Host Guardian Service installiert ist. In einer idealen Umgebung setzen Sie noch auf den System Center Virtual Machine Manager. Doch auch wenn es sich lohnt, sich mit Shielded-VMs auseinanderzusetzen, ist der Betrieb allerdings eher teuer. Sie benötigen mindestens einen Cluster mit Windows Server 2016 Datacenter Edition und viel Zeit für die Einrichtung, denn für Shielded-VMs sind Vorlagen die Voraussetzung. Das Setup ist also nicht in wenigen Minuten abgeschlossen, sondern benötigt viel Planung und Konzeption.

Im ersten Teil des Workshops sind wir auf die Voraussetzungen für Shielded-VMs eingegangen und haben beschrieben, wie Sie Host Guardian Service als Serverrolle einrichten und damit VMs absichern. In der zweiten Folge haben wir uns mit der Konfiguration von HGS beschäftigt und gezeigt, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten.


jp/ln/Thomas Joos

[1] https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deployment-overview
[2] www.microsoft.com/web/downloads/platform.aspx

Ähnliche Beiträge

IT-Tage 2023 – Konferenz für Entwicklung, Datenbanken, DevOps, Security und KI

„Alles unter einem Dach!“ ist das Motto der IT-Tage, der Jahreskonferenz des Fachmagazins Informatik Aktuell. Unter anderem werden Subkonferenzen zu den Themen Software-Entwicklung und -Architektur, Datenbanken, DevOps, Cloud & Serverless, IT-Security, Künstliche Intelligenz, Java, Python oder .NET angeboten.

Security mit Shielded-VMs und Host Guardian Service (2)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. In der zweiten Folge des Workshops beschäftigen wir uns mit der Konfiguration des Host Guardian Service und zeigen, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten.