Planungs Handbuch für geschütztes Fabric und abgeschirmte VMs für HosterGuarded Fabric and Shielded VM Planning Guide for Hosters

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema werden Planungsentscheidungen behandelt, die vorgenommen werden müssen, damit abgeschirmte virtuelle Maschinen in Ihrem Fabric ausgeführt werden können.This topic covers planning decisions that will need to be made to enable shielded virtual machines to run on your fabric. Unabhängig davon, ob Sie ein vorhandenes Hyper-V-Fabric aktualisieren oder ein neues Fabric erstellen, besteht das Ausführen von abgeschirmten VMS aus zwei Hauptkomponenten:Whether you upgrade an existing Hyper-V fabric or create a new fabric, running shielded VMs consists of two main components:

  • Der Host-Überwachungsdienst (Host Guardian Service, HGS) bietet Nachweis-und Schlüsselschutz, sodass Sie sicherstellen können, dass abgeschirmte VMS nur auf genehmigten und fehlerfreien Hyper-V-Hosts ausgeführt werden.The Host Guardian Service (HGS) provides attestation and key protection so that you can make sure that shielded VMs will run only on approved and healthy Hyper-V hosts.
  • Genehmigte und fehlerfreie Hyper-V-Hosts, auf denen abgeschirmte VMS (und reguläre VMS) ausgeführt werden können – diese werden als geschützte Hosts bezeichnet.Approved and healthy Hyper-V hosts on which shielded VMs (and regular VMs) can run — these are known as guarded hosts.

HGS und einen überwachten Host

Entscheidungs #1: Vertrauens Ebene im FabricDecision #1: Trust level in the fabric

Die Implementierung des Host-Überwachungs Diensts und der geschützten Hyper-V-Hosts hängt hauptsächlich von der Vertrauens Stärke ab, die Sie in Ihrem Fabric erreichen möchten.How you implement the Host Guardian Service and guarded Hyper-V hosts will depend mainly on the strength of trust that you are looking to achieve in your fabric. Die Stärke der Vertrauensstellung wird durch den Nachweis Modus gesteuert.The strength of trust is governed by the attestation mode. Es gibt zwei Optionen, die sich gegenseitig ausschließen:There are two mutually-exclusive options:

  1. TPM-vertrauenswürdiger NachweisTPM-trusted attestation

    Wenn Ihr Ziel darin besteht, virtuelle Computer vor böswilligen Administratoren oder einem kompromittierten Fabric zu schützen, verwenden Sie den TPM-vertrauenswürdigen Nachweis.If your goal is to help protect virtual machines from malicious admins or a compromised fabric, then you will use TPM-trusted attestation. Diese Option eignet sich gut für Szenarien mit mehreren Mandanten und für hochwertige Assets in Unternehmensumgebungen, wie z. b. Domänen Controllern oder Inhalts Servern wie SQL oder SharePoint.This option works well for multi-tenant hosting scenarios as well as for high-value assets in enterprise environments, such as domain controllers or content servers like SQL or SharePoint. Hvci-Richtlinien (Hypervisor-Protected Code Integrity) werden gemessen und deren Gültigkeit durch HGS erzwungen, bevor der Host abgeschirmte VMS ausführen darf.Hypervisor-protected code integrity (HVCI) policies are measured and their validity enforced by HGS before the host is permitted to run shielded VMs.

  2. Host Schlüssel NachweisHost key attestation

    Wenn Ihre Anforderungen hauptsächlich von der Konformität abhängig sind, bei der virtuelle Computer sowohl im Ruhezustand als auch in-Flight verschlüsselt werden müssen, verwenden Sie den Host Schlüssel Nachweis.If your requirements are primarily driven by compliance that requires virtual machines be encrypted both at rest as well as in-flight, then you will use host key attestation. Diese Option eignet sich gut für allgemeine Rechenzentren, in denen Sie mit Hyper-V-Hosts und Fabric-Administratoren vertraut sind, die für tägliche Wartungsarbeiten und Vorgänge auf die Gast Betriebssysteme virtueller Computer zugreifen können.This option works well for general purpose datacenters where you are comfortable with Hyper-V host and fabric administrators having access to the guest operating systems of virtual machines for day-to-day maintenance and operations.

    In diesem Modus ist der Fabric-Administrator allein dafür verantwortlich, die Integrität der Hyper-V-Hosts sicherzustellen.In this mode, the fabric admin is solely responsible for ensuring the health of the Hyper-V hosts. Da HGS bei der Entscheidung, was nicht ausgeführt werden kann, keine Rolle spielt, funktionieren Schadsoftware und-Debug-Anwendungen wie vorgesehen.Since HGS plays no part in deciding what is or is not allowed to run, malware and debuggers will function as designed.

    Debugger, die versuchen, direkt an einen Prozess anzufügen (z. b. WinDbg.exe), werden jedoch für abgeschirmte VMS blockiert, da der Arbeitsprozess der VM (VMWP.exe) eine geschützte Prozess Beleuchtung (PPL) ist.However, debuggers that attempt to attach directly to a process (such as WinDbg.exe) are blocked for shielded VMs because the VM's worker process (VMWP.exe) is a protected process light (PPL). Alternative Debuggingtechniken, z. b. die von LiveKd.exe verwendeten, werden nicht blockiert.Alternative debugging techniques, such as those used by LiveKd.exe, are not blocked. Anders als bei abgeschirmten VMS wird der Arbeitsprozess für die Verschlüsselung unterstützte VMS nicht als ppl ausgeführt, sodass herkömmliche Debugger wie WinDbg.exe weiterhin normal funktionieren.Unlike shielded VMs, the worker process for encryption supported VMs does not run as a PPL so traditional debuggers like WinDbg.exe will continue to function normally.

    Ein ähnlicher Nachweis Modus mit dem Namen admin-Trusted Nachweis (Active Directory basiert) ist ab Windows Server 2019 veraltet.A similar attestation mode named Admin-trusted attestation (Active Directory-based) is deprecated beginning with Windows Server 2019.

Die von Ihnen gewählte Vertrauens Ebene übernimmt die Hardwareanforderungen für Ihre Hyper-V-Hosts sowie die Richtlinien, die Sie auf dem Fabric anwenden.The trust level you choose will dictate the hardware requirements for your Hyper-V hosts as well as the policies that you apply on the fabric. Falls erforderlich, können Sie Ihr überwachtes Fabric mit vorhandenem Hardware-und Administrator vertrauenswürdigem Nachweis bereitstellen und dann in einen TPM-vertrauenswürdigen Nachweis konvertieren, wenn die Hardware aktualisiert wurde und Sie die fabricsicherheit verstärken müssen.If necessary, you can deploy your guarded fabric using existing hardware and admin-trusted attestation and then convert it to TPM-trusted attestation when the hardware has been upgraded and you need to strengthen fabric security.

Entscheidungs #2: vorhandenes Hyper-v-Fabric im Vergleich zu einem neuen separaten Hyper-v-FabricDecision #2: Existing Hyper-V fabric versus a new separate Hyper-V fabric

Wenn Sie über ein vorhandenes Fabric (Hyper-V oder anderweitig) verfügen, ist es sehr wahrscheinlich, dass Sie es verwenden können, um abgeschirmte VMS zusammen mit regulären VMS auszuführen.If you have an existing fabric (Hyper-V or otherwise), it is very likely that you can use it to run shielded VMs along with regular VMs. Einige Kunden entscheiden sich dafür, abgeschirmte VMs in Ihre vorhandenen Tools und Fabrics zu integrieren, während andere das Fabric aus geschäftlichen Gründen voneinander trennen.Some customers choose to integrate shielded VMs into their existing tools and fabrics while others separate the fabric for business reasons.

Planen von HGS-Administratoren für den Host-ÜberwachungsdienstHGS admin planning for the Host Guardian Service

Stellen Sie den Host-Überwachungsdienst (Host Guardian Service, HGS) in einer äußerst sicheren Umgebung bereit, egal ob Sie sich auf einem dedizierten physischen Server, einem abgeschirmten virtuellen Computer, einem virtuellen Computer auf einem isolierten Hyper-V-Host (getrennt von dem Fabric, das geschützt ist) oder einem logisch getrennten Azure-Abonnement.Deploy the Host Guardian Service (HGS) in a highly secure environment, whether that be on a dedicated physical server, a shielded VM, a VM on an isolated Hyper-V host (separated from the fabric it's protecting), or one logically separated by using a different Azure subscription.

BereichArea DetailsDetails
InstallationsanforderungenInstallation requirements
  • Ein Server (Cluster mit drei Knoten wird für Hochverfügbarkeit empfohlen)One server (three-node cluster recommended for high availability)
  • Für einen Fallback sind mindestens zwei HGS-Server erforderlich.For fallback, at least two HGS servers are required
  • Server können entweder virtuell oder physisch (physischer Server mit TPM 2,0 empfohlen) sein. TPM 1,2 wird ebenfalls unterstützt)Servers can be either virtual or physical (physical server with TPM 2.0 recommended; TPM 1.2 also supported)
  • Server Core-Installation von Windows Server 2016 oder höherServer Core installation of Windows Server 2016 or later
  • Netzwerkverbindung mit dem Fabric, das die http-oder Fall Back Konfiguration zulässtNetwork line of sight to the fabric allowing HTTP or fallback configuration
  • Für die Zugriffs Überprüfung empfohlenes HTTPS-ZertifikatHTTPS certificate recommended for access validation
Festlegen der GrößeSizing Der HGS-Server Knoten der mittleren Größe (8 Kerne/4 GB) kann 1.000 Hyper-V-Hosts verarbeiten.Each mid-size (8 core/4 GB) HGS server node can handle 1,000 Hyper-V hosts.
VerwaltungManagement Bestimmen Sie bestimmte Personen, die HGS verwalten werden.Designate specific people who will manage HGS. Sie sollten von Fabric-Administratoren getrennt sein.They should be separate from fabric administrators. Zum Vergleich können sich HGS-Cluster auf die gleiche Weise wie eine Zertifizierungsstelle (Certificate Authority, ca) im Hinblick auf administrative Isolation, physische Bereitstellung und allgemeine Sicherheits Empfindlichkeit vorstellen.For comparison, HGS clusters can be thought of in the same manner as a Certificate Authority (CA) in terms of administrative isolation, physical deployment and overall level of security sensitivity.
Active Directory des Host-Überwachungs DienstsHost Guardian Service Active Directory Standardmäßig installiert HGS seine eigenen internen Active Directory für die Verwaltung.By default, HGS installs its own internal Active Directory for management. Dabei handelt es sich um eine eigenständige, selbstverwaltete Gesamtstruktur, die für die Isolierung von HGS von Ihrem Fabric empfohlen wird.This is a self-contained, self-managed forest and is the recommended configuration to help isolate HGS from your fabric.

Wenn Sie bereits über eine Active Directory-Gesamtstruktur mit hohen Privilegien verfügen, die Sie für die Isolation verwenden, können Sie diese Gesamtstruktur anstelle der HGS-Standard Gesamtstruktur verwenden.If you already have a highly privileged Active Directory forest that you use for isolation, you can use that forest instead of the HGS default forest. Es ist wichtig, dass HGS nicht zu einer Domäne in derselben Gesamtstruktur wie die Hyper-V-Hosts oder die Fabric-Verwaltungs Tools hinzugefügt werden.It is important that HGS is not joined to a domain in the same forest as the Hyper-V hosts or your fabric management tools. Dies könnte einem Fabric-Administrator ermöglichen, die Kontrolle über HGS zu erlangen.Doing so could allow a fabric admin to gain control over HGS.
NotfallwiederherstellungDisaster recovery Drei Optionen stehen zur Verfügung:There are three options:
  1. Installieren Sie einen separaten HGS-Cluster in jedem Rechenzentrum, und autorisieren Sie abgeschirmte VMS, die sowohl in den primären als auch in den Sicherungs Datacenter ausgeführt werden.Install a separate HGS cluster in each datacenter and authorize shielded VMs to run in both the primary and the backup datacenters. Dadurch ist es nicht mehr erforderlich, den Cluster über ein WAN zu Strecken, und Sie können virtuelle Maschinen so isolieren, dass Sie nur an dem vorgesehenen Standort ausgeführt werden.This avoids the need to stretch the cluster across a WAN and allows you to isolate virtual machines such that they run only in their designated site.
  2. Installieren Sie HGS in einem Stretch-Cluster zwischen zwei (oder mehr) Rechenzentren.Install HGS on a stretch cluster between two (or more) datacenters. Dies sorgt für Resilienz, wenn das WAN ausfällt, legt jedoch die Grenzen des Failoverclustering fest.This provides resiliency if the WAN goes down, but pushes the limits of failover clustering. Sie können Arbeits Auslastungen nicht zu einem Standort isolieren. eine VM, die zur Laufzeit an einem Standort autorisiert ist, kann auf jedem anderen Standort ausgeführt werden.You cannot isolate workloads to one site; a VM authorized to run in one site can run on any other.
  3. Registrieren Sie den Hyper-V-Host bei einem anderen HGS als Failover.Register your Hyper-V host with another HGS as failover.
Sie sollten auch alle HGS sichern, indem Sie die Konfiguration exportieren, sodass Sie jederzeit lokal wieder hergestellt werden können.You should also backup every HGS by exporting its configuration so that you can always recover locally. Weitere Informationen finden Sie unter " Export-hgsserverstate " und " Import-hgsserverstate".For more information, see Export-HgsServerState and Import-HgsServerState.
Schlüssel des Host-Überwachungs DienstsHost Guardian Service keys Ein Host-Überwachungsdienst verwendet zwei asymmetrische Schlüsselpaare – einen Verschlüsselungsschlüssel und einen Signatur Schlüssel – die jeweils durch ein SSL-Zertifikat dargestellt werden.A Host Guardian Service uses two asymmetric key pairs — an encryption key and a signing key — each represented by an SSL certificate. Es gibt zwei Optionen, um diese Schlüssel zu generieren:There are two options to generate these keys:
  1. Interne Zertifizierungsstelle – Sie können diese Schlüssel mithilfe ihrer internen PKI-Infrastruktur generieren.Internal certificate authority – you can generate these keys using your internal PKI infrastructure. Dies eignet sich für eine Rechenzentrumsumgebung.This is suitable for a datacenter environment.
  2. Öffentlich vertrauenswürdige Zertifizierungsstellen – verwenden Sie einen Satz von Schlüsseln, die von einer öffentlich vertrauenswürdigen Zertifizierungsstelle abgerufen werden.Publicly trusted certificate authorities – use a set of keys obtained from a publicly trusted certificate authority. Dies ist die Option, die Hoster verwenden sollten.This is the option that hosters should use.
Beachten Sie, dass es zwar möglich ist, selbst signierte Zertifikate zu verwenden, aber es ist nicht empfehlenswert für andere Bereitstellungs Szenarien als Proof-of-Concept-Labs.Note that while it is possible to use self-signed certificates, it is not recommended for deployment scenarios other than proof-of-concept labs.

Zusätzlich zu den HGS-Schlüsseln kann ein hoester "Bring your own Key" verwenden, wo Mandanten ihre eigenen Schlüssel bereitstellen können, damit einige (oder alle) Mandanten einen eigenen spezifischen HGS-Schlüssel haben können.In addition to having HGS keys, a hoster can use "bring your own key," where tenants can provide their own keys so that some (or all) tenants can have their own specific HGS key. Diese Option eignet sich für Hoster, die einen Out-of-Band-Prozess für Mandanten bereitstellen können, um Ihre Schlüssel hochzuladen.This option is suitable for hosters that can provide an out-of-band process for tenants to upload their keys.
Schlüsselspeicher des Host-Überwachungs DienstsHost Guardian Service key storage Um die größtmögliche Sicherheit zu erzielen, wird empfohlen, dass HGS-Schlüssel ausschließlich in einem Hardware Sicherheitsmodul (HSM) erstellt und gespeichert werden.For the strongest possible security, we recommend that HGS keys are created and stored exclusively in a Hardware Security Module (HSM). Wenn Sie keine HSMs verwenden, wird dringend empfohlen, BitLocker auf den HGS-Servern anzuwenden.If you are not using HSMs, applying BitLocker on the HGS servers is strongly recommended.

Fabric-Administrator Planung für geschützte HostsFabric admin planning for guarded hosts

BereichArea DetailsDetails
HardwareHardware
BetriebssystemOS Wir empfehlen die Verwendung der Server Core-Option für das Hyper-V-Host Betriebssystem.We recommend using Server Core option for the Hyper-V host OS.
Folgen für die LeistungPerformance implications Auf der Grundlage von Leistungstests erwarten wir einen Dichteunterschied von ungefähr 5% zwischen der Ausführung von abgeschirmten VMS und nicht abgeschirmten VMS.Based on performance testing, we anticipate a roughly 5% density-difference between running shielded VMs and non-shielded VMs. Dies bedeutet Folgendes: Wenn auf einem bestimmten Hyper-V-Host 20 nicht abgeschirmte VMS ausgeführt werden können, wird davon ausgegangen, dass 19 abgeschirmte VMS ausgeführt werden können.This means that if a given Hyper-V host can run 20 non-shielded VMs, we expect that it can run 19 shielded VMs.

Stellen Sie sicher, dass Sie die Größe mit ihren typischen Workloads überprüfen.Make sure to verify sizing with your typical workloads. Beispielsweise gibt es möglicherweise einige Ausreißer mit intensiven Schreib orientierten e/a-Arbeits Auslastungen, die sich weiter auf den Dichteunterschied auswirken.For example, there might be some outliers with intensive write-oriented IO workloads that will further affect the density difference.
Überlegungen zu FilialenBranch office considerations Ab Windows Server, Version 1709, können Sie eine Fall Back-URL für einen virtualisierten HGS-Server angeben, der lokal als abgeschirmte VM in der Zweigstelle ausgeführt wird.Beginning with Windows Server version 1709, you can specify a fallback URL for a virtualized HGS server running locally as a shielded VM in the branch office. Die Fall Back-URL kann verwendet werden, wenn die Zweigstelle die Konnektivität mit den HGS-Servern im Daten Center verliert.The fallback URL can be used when the branch office loses connectivity to HGS servers in the datacenter. In früheren Versionen von Windows Server benötigt ein Hyper-V-Host, der in einer Zweigstelle ausgeführt wird, eine Verbindung mit dem Host-Überwachungsdienst, um abgeschirmte VMS einschalten oder Live migrieren zu können.On previous versions of Windows Server, a Hyper-V host running in a branch office needs connectivity to the Host Guardian Service to power-on or to live migrate shielded VMs. Weitere Informationen finden Sie unter Überlegungen zu Zweigstellen.For more information, see Branch office considerations.