Fachartikel

Security mit Shielded-VMs und Host Guardian Service (3)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.
Gewusst wie, lassen sich virtuelle Server vor unberechtigten Zugriffen wirkungsvoll abschirmen.
Windows Azure Pack und Shielded VMs
Unter Windows Server in Verbindung mit SCVMM können Sie mit dem "Azure Pack" ebenfalls eine Private Cloud mit Shielded-VMs aufbauen. Dazu müssen Sie System Center Service Provider Foundation und das Azure Pack einsetzen. Über dieses Pack erhalten Sie ein einfach zu verwendendes Webportal, mit dem Sie verschiedene Dienste im Netzwerk zur Verfügung zu stellen. Dabei kann es sich um Datenbanken, Webseiten, virtuelle Server und andere Services handeln – und eben auch Shielded-VMs. Verwaltet werden diese Dienste über das Webportal, zur Verfügung gestellt und gewartet werden sie über die beteiligen Microsoft-Server-Produkte, also Windows Server und SCVMM.

Die Installation des Microsoft Azure Packs erfolgt über den kostenlosen "Microsoft Web Platform Installer" [2]. Diesen laden Sie herunter und starten die Installation auf dem Server. Dieser bedarf dazu einer Internetverbindung, da die notwendigen Komponenten heruntergeladen werden müssen.

Wechseln Sie nach dem Start der Installationsdatei auf die Registerkarte "Produkte" und geben Sie im Suchfeld "Azure Pack" ein. Klicken Sie bei "Windows Azure Pack: Portal and API" auf "Hinzufügen" und danach auf "Installieren". Ist dies abgeschlossen, rufen Sie auf dem Server zunächst die Webseite "https://localhost:30101" auf. Zum Azure-Portal gelangen Sie über die Seite "https://localhost:30091/#Workspaces/WebSystemAdminExtension/quickStart".

Mit SCVMM haben Sie die Möglichkeit, eine VM-Cloud im Portal zu erstellen. Anschließend registrieren Sie einen System Center Service Provider. Die Vorgehensweise dazu finden Sie ebenfalls über das Whitepaper [1]. Sobald Sie die Einrichtung vorgenommen haben, erzeugen Sie neue VMs mit der Option "Allow Virtual Machines To Be Shielded" im Webportal des Azure Packs.
HTTPS für HGS aktivieren
Per Default kommunizieren Hyper-V-Hosts und SCVMM über das HTTP-Protokoll miteinander. In einer produktiven Umgebung sollten Sie hier natürlich am besten SSL aktivieren. Dazu öffnen Sie die PowerShell auf dem HGS-Server und legen ein selbstsigniertes Zertifikat an, das Sie für die Kommunikation per SSL nutzen:
$HttpsCertificate = New-SelfSignedCertificate 
-DnsName "$HgsServiceName.$env:userdnsdomain"
-CertStoreLocation Cert:\LocalMachine\My Export-PfxCertificate
-Cert $HttpsCertificate -Password $certificatePassword
-FilePath "c:\HttpsCertificate.pfx"
Nachdem Sie das Zertifikat eingerichtet und exportiert haben, binden Sie es in den HGS-Server ein. Achten Sie dabei darauf, dass die jeweiligen Variablen korrekt definiert sind beziehungsweise geben Sie direkt den jeweiligen Dienstnamen ein:
Initialize-HgsServer -HgsServiceName $HgsServiceName 
-EncryptionCertificateThumbprint $encryptionCert Thumbprint
-SigningCertificateThumbprint $signingCert.Thumbprint
-CommunicationsCertificateThumbprint $signingCert.Thumbprint
-TrustActiveDirectory -http -https
-HttpsCertificatePath 'C:\HttpsCertificate.pfx'
-HttpsCertificatePassword $certificatePassword -Force
Arbeiten Sie mit SCVMM 2016, müssen Sie noch darauf achten, dass Sie die URLs zur Anbindung an den Host Guardian Service auf SSL umstellen. Nutzen Sie selbstsignierte Zertifikate und nicht die Zertifikatdienste aus dem Active Directory, müssen Sie das Zertifikat auf den beteiligten Servern noch in die Liste der vertrauenswürdigen Stammzertifizierungsstellen integrieren. Auch das erledigen Sie am einfachsten in der PowerShell:
Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" 
-CertStoreLocation Cert:\LocalMachine\Root
Fazit
Shielded-VMs können sensible virtuelle Server mit heiklen Daten recht zuverlässig schützen. Die Konfiguration ist nicht einfach und Sie benötigen dazu mehrere Server, auf denen der Host Guardian Service installiert ist. In einer idealen Umgebung setzen Sie noch auf den System Center Virtual Machine Manager. Doch auch wenn es sich lohnt, sich mit Shielded-VMs auseinanderzusetzen, ist der Betrieb allerdings eher teuer. Sie benötigen mindestens einen Cluster mit Windows Server 2016 Datacenter Edition und viel Zeit für die Einrichtung, denn für Shielded-VMs sind Vorlagen die Voraussetzung. Das Setup ist also nicht in wenigen Minuten abgeschlossen, sondern benötigt viel Planung und Konzeption.

Im ersten Teil des Workshops sind wir auf die Voraussetzungen für Shielded-VMs eingegangen und haben beschrieben, wie Sie Host Guardian Service als Serverrolle einrichten und damit VMs absichern. In der zweiten Folge haben wir uns mit der Konfiguration von HGS beschäftigt und gezeigt, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten.
18.10.2021/jp/ln/Thomas Joos

Nachrichten

Netzwerkmanagement in AWS [6.12.2021]

Aruba hat die Unterstützung und Integration von Aruba SD-WAN mit dem neuen AWS Cloud WAN angekündigt, einem Cloud-Netzwerkservice, der vor Kurzem auf der AWS re:Invent vorgestellt wurde. Damit können Aruba-Kunden das richtlinienbasierte Framework von AWS Cloud WAN nutzen, um WAN-Topologien mit integrierter Netzwerksegmentierung zu erstellen, die sich dann in die Aruba SD-WAN-Fabric einfügen. [mehr]

SAP S/4HANA in der Private Cloud [17.11.2021]

Dell Technologies und SAP bauen ihre Zusammenarbeit aus. Die Data-Center-Option SAP S/4HANA Cloud, Private Edition in Kombination mit Dell Technologies APEX vereint die Private-Managed-Cloudlösung von SAP mit dem Infrastructure-as-a-Service-Portfolio von Dell. Unternehmen können so ihre SAP-Landschaften und -Daten im eigenen Rechenzentrum vorhalten und sollen gleichzeitig von den Vorteilen des Cloud-Betriebsmodells profitieren. [mehr]

Tipps & Tools

Gebündeltes Audio-Know-how mit praktischen Tests [4.12.2021]

Im vom Administrator zu verwaltenden Hardwarepool findet sich meist auch Audioequipment wie Kopfhörer, deren Verbreitung in letzter Zeit in der Öffentlichkeit wie pandemiebedingt in den Home Offices rasant gestiegen ist. Wie Sie möglichst viel akustische Leistung aus diesem Zubehör herauskitzeln, erläutert neben zahlreichen weiteren Tipps und Tests zum Thema Hören die Webseite "audiocheck.net". [mehr]

Notstopp in Videokonferenzen [27.11.2021]

Videokonferenzen gehören durch die Pandemie in vielen Firmen zum Alltag und werden sich dort wohl dank anhaltender Home-Office-Modelle und globaler Vernetzung auch verankern. Neben guter Ausrüstung bleibt deshalb auch die Frage relevant, wie Teilnehmer mit unangenehmen, peinlichen Situationen wie dem Lossprechen ohne Mikrofon oder plötzlich ins Bild platzenden Kindern umgehen können. Hier hat Microsoft nun mit einem Notfallschalter eine mögliche Antwort gefunden. [mehr]

50 Jahre E-Mail [23.11.2021]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen