Fachartikel

Security mit Shielded-VMs und Host Guardian Service (3)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. Im dritten und letzten Workshop-Teil geht es um das Zusammenspiel von Windows Azure Pack mit Shielded VMs und wie Sie HTTPS für HGS aktivieren.
Gewusst wie, lassen sich virtuelle Server vor unberechtigten Zugriffen wirkungsvoll abschirmen.
Windows Azure Pack und Shielded VMs
Unter Windows Server in Verbindung mit SCVMM können Sie mit dem "Azure Pack" ebenfalls eine Private Cloud mit Shielded-VMs aufbauen. Dazu müssen Sie System Center Service Provider Foundation und das Azure Pack einsetzen. Über dieses Pack erhalten Sie ein einfach zu verwendendes Webportal, mit dem Sie verschiedene Dienste im Netzwerk zur Verfügung zu stellen. Dabei kann es sich um Datenbanken, Webseiten, virtuelle Server und andere Services handeln – und eben auch Shielded-VMs. Verwaltet werden diese Dienste über das Webportal, zur Verfügung gestellt und gewartet werden sie über die beteiligen Microsoft-Server-Produkte, also Windows Server und SCVMM.

Die Installation des Microsoft Azure Packs erfolgt über den kostenlosen "Microsoft Web Platform Installer" [2]. Diesen laden Sie herunter und starten die Installation auf dem Server. Dieser bedarf dazu einer Internetverbindung, da die notwendigen Komponenten heruntergeladen werden müssen.

Wechseln Sie nach dem Start der Installationsdatei auf die Registerkarte "Produkte" und geben Sie im Suchfeld "Azure Pack" ein. Klicken Sie bei "Windows Azure Pack: Portal and API" auf "Hinzufügen" und danach auf "Installieren". Ist dies abgeschlossen, rufen Sie auf dem Server zunächst die Webseite "https://localhost:30101" auf. Zum Azure-Portal gelangen Sie über die Seite "https://localhost:30091/#Workspaces/WebSystemAdminExtension/quickStart".

Mit SCVMM haben Sie die Möglichkeit, eine VM-Cloud im Portal zu erstellen. Anschließend registrieren Sie einen System Center Service Provider. Die Vorgehensweise dazu finden Sie ebenfalls über das Whitepaper [1]. Sobald Sie die Einrichtung vorgenommen haben, erzeugen Sie neue VMs mit der Option "Allow Virtual Machines To Be Shielded" im Webportal des Azure Packs.
HTTPS für HGS aktivieren
Per Default kommunizieren Hyper-V-Hosts und SCVMM über das HTTP-Protokoll miteinander. In einer produktiven Umgebung sollten Sie hier natürlich am besten SSL aktivieren. Dazu öffnen Sie die PowerShell auf dem HGS-Server und legen ein selbstsigniertes Zertifikat an, das Sie für die Kommunikation per SSL nutzen:
$HttpsCertificate = New-SelfSignedCertificate 
-DnsName "$HgsServiceName.$env:userdnsdomain"
-CertStoreLocation Cert:\LocalMachine\My Export-PfxCertificate
-Cert $HttpsCertificate -Password $certificatePassword
-FilePath "c:\HttpsCertificate.pfx"
Nachdem Sie das Zertifikat eingerichtet und exportiert haben, binden Sie es in den HGS-Server ein. Achten Sie dabei darauf, dass die jeweiligen Variablen korrekt definiert sind beziehungsweise geben Sie direkt den jeweiligen Dienstnamen ein:
Initialize-HgsServer -HgsServiceName $HgsServiceName 
-EncryptionCertificateThumbprint $encryptionCert Thumbprint
-SigningCertificateThumbprint $signingCert.Thumbprint
-CommunicationsCertificateThumbprint $signingCert.Thumbprint
-TrustActiveDirectory -http -https
-HttpsCertificatePath 'C:\HttpsCertificate.pfx'
-HttpsCertificatePassword $certificatePassword -Force
Arbeiten Sie mit SCVMM 2016, müssen Sie noch darauf achten, dass Sie die URLs zur Anbindung an den Host Guardian Service auf SSL umstellen. Nutzen Sie selbstsignierte Zertifikate und nicht die Zertifikatdienste aus dem Active Directory, müssen Sie das Zertifikat auf den beteiligten Servern noch in die Liste der vertrauenswürdigen Stammzertifizierungsstellen integrieren. Auch das erledigen Sie am einfachsten in der PowerShell:
Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" 
-CertStoreLocation Cert:\LocalMachine\Root
Fazit
Shielded-VMs können sensible virtuelle Server mit heiklen Daten recht zuverlässig schützen. Die Konfiguration ist nicht einfach und Sie benötigen dazu mehrere Server, auf denen der Host Guardian Service installiert ist. In einer idealen Umgebung setzen Sie noch auf den System Center Virtual Machine Manager. Doch auch wenn es sich lohnt, sich mit Shielded-VMs auseinanderzusetzen, ist der Betrieb allerdings eher teuer. Sie benötigen mindestens einen Cluster mit Windows Server 2016 Datacenter Edition und viel Zeit für die Einrichtung, denn für Shielded-VMs sind Vorlagen die Voraussetzung. Das Setup ist also nicht in wenigen Minuten abgeschlossen, sondern benötigt viel Planung und Konzeption.

Im ersten Teil des Workshops sind wir auf die Voraussetzungen für Shielded-VMs eingegangen und haben beschrieben, wie Sie Host Guardian Service als Serverrolle einrichten und damit VMs absichern. In der zweiten Folge haben wir uns mit der Konfiguration von HGS beschäftigt und gezeigt, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten.
18.10.2021/jp/ln/Thomas Joos

Nachrichten

Schutz in Blau [14.07.2022]

AvePoint stellt Erweiterungen seiner Datenwiederherstellungsfunktionen für Microsoft Azure vor. Das Cloudbackup des Anbieters ermöglicht nun auch den Schutz von Microsoft-Azure-Workloads. Das Produkt ergänzt die native Microsoft-Sicherung zum einen um regelmäßige vollständige und inkrementelle Backups. Mithilfe des Updates sollen sich geschäftskritische Anwendungen und Daten alle sechs Stunden oder bis zu vier Mal pro Tag sichern lassen. [mehr]

Flowmon 12 erweitert Multicloud-Monitoring [7.07.2022]

Progress hat Flowmon 12 veröffentlicht, die neue Version seiner Lösung für Netzwerksichtbarkeit und -sicherheit. Sie unterstützt ab sofort auch das Monitoring nativer Flow Logs in der Google Cloud sowie Microsoft Azure und enthält neue Funktionen für die Anomalie-Erkennung. [mehr]

Tipps & Tools

Änderungen auf Webseiten nachverfolgen [6.08.2022]

Die wenigsten Nutzer haben die Zeit, um regelmäßig besuchte Webseiten im Detail auf Aktualisierungen zu prüfen. Mit dieser Aufgabe kann der "WebChangeMonitor" besser umgehen, der automatisch eine Vielzahl an Internetseiten automatisch auf Änderungen überprüft. Dabei können Sie das Intervall für jede Webseite individuell festlegen. [mehr]

Dokumente mit Barcodes ausstatten [5.08.2022]

Mittlerweile werden viele Informationen in Dokumenten wie zum Beispiel Webseiten-URLs durch einen Barcode ersetzt. Das bekannteste Format ist der QR-Code, den Sie jetzt mit ein paar Handgriffen und den Word-Bordmitteln selbst in Ihre Projekte einfügen können. Die Feldfunktion heißt "Displaybarcode" und unterstützt zehn verschiedene Typen an Barcodes. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen