Guarded Fabric und Shielded VM Planning Guide für Hoster

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema werden Planungsentscheidungen behandelt, die getroffen werden müssen, um abgeschirmte virtuelle Computer zum Ausführen auf Ihrem Fabric zu ermöglichen. Unabhängig davon, ob Sie ein vorhandenes Hyper-V-Fabric aktualisieren oder eine neue Fabric erstellen, besteht das Ausführen von abgeschirmten VMs aus zwei Hauptkomponenten:

  • Der Host Guardian Service (HGS) stellt Nachweise und Schlüsselschutz bereit, damit Sie sicherstellen können, dass abgeschirmte VMs nur auf genehmigten und gesunden Hyper-V-Hosts ausgeführt werden. 
  • Genehmigte und gesunde Hyper-V-Hosts, auf denen abgeschirmte VMs (und reguläre VMs) ausgeführt werden können – diese werden als geschützte Hosts bezeichnet.

Diagram showing the H G S's attestation and key protection services are linked to the shielded virtual machine's guarded Hyper V hosts.

Entscheidung #1: Vertrauensstufe im Fabric

Wie Sie den Host Guardian Service implementieren und überwachte Hyper-V-Hosts implementieren, hängt hauptsächlich von der Stärke der Vertrauensstellung ab, die Sie in Ihrem Fabric erreichen möchten. Die Vertrauensstärke wird durch den Nachweismodus gesteuert. Es gibt zwei gegenseitig exklusive Optionen:

  1. TPM-vertrauenswürdige Bestätigung

    Wenn Ihr Ziel darin besteht, virtuelle Computer vor böswilligen Administratoren oder einem kompromittierten Fabric zu schützen, verwenden Sie TPM-vertrauenswürdige Nachweise. Diese Option eignet sich gut für Mandantenhostingszenarien sowie für hochwertige Ressourcen in Unternehmensumgebungen, z. B. Domänencontroller oder Inhaltsserver wie SQL oder SharePoint. Hypervisorgeschützte Codeintegritätsrichtlinien (HVCI) werden gemessen und ihre Gültigkeit durch HGS erzwungen, bevor der Host abgeschirmte VMs ausführen darf.

  2. Hostschlüsselbestätigung

    Wenn Ihre Anforderungen in erster Linie durch Compliance gesteuert werden, die virtuelle Computer sowohl im Ruhezustand als auch in-Flight verschlüsselt werden müssen, verwenden Sie Hostschlüsselbestätigungen. Diese Option funktioniert gut für allgemeine Rechenzentren, in denen Sie mit Hyper-V-Host- und Fabricadministratoren vertraut sind, die Zugriff auf die Gastbetriebssysteme von virtuellen Computern für tägliche Wartung und Vorgänge haben.

    In diesem Modus ist der Fabric-Administrator ausschließlich verantwortlich für die Gewährleistung der Integrität der Hyper-V-Hosts. Da HGS keine Rolle spielt, um zu entscheiden, was ist oder nicht ausgeführt werden darf, funktionieren Schadsoftware und Debugger wie konzipiert.

    Debugger, die versuchen, direkt an einen Prozess (z. B. WinDbg.exe) anzufügen, werden jedoch für abgeschirmte VMs blockiert, da der Arbeitsprozess des virtuellen Computers (VMWP.exe) ein geschütztes Prozesslicht (PPL) ist. Alternative Debugtechniken, z. B. die von LiveKd.exe verwendeten, werden nicht blockiert. Im Gegensatz zu abgeschirmten VMs wird der Arbeitsvorgang für unterstützte VMs nicht als PPL ausgeführt, sodass herkömmliche Debugger wie WinDbg.exe weiterhin normal funktionieren.

    Ein ähnlicher Nachweismodus namens Admin-trusted attestation (Active Directory-basiert) ist ab Windows Server 2019 veraltet.

Die von Ihnen ausgewählte Vertrauensstufe diktieren die Hardwareanforderungen für Ihre Hyper-V-Hosts sowie die Richtlinien, die Sie auf dem Fabric anwenden. Wenn erforderlich, können Sie Ihre geschützten Fabric mithilfe vorhandener Hardware- und Administratorvertrauenswürdiger Nachweise bereitstellen und dann in TPM-vertrauenswürdige Nachweise konvertieren, wenn die Hardware aktualisiert wurde und Sie die Fabric-Sicherheit stärken müssen.

Entscheidung #2: Vorhandene Hyper-V-Fabric im Vergleich zu einem neuen separaten Hyper-V-Fabric

Wenn Sie über ein vorhandenes Fabric verfügen (Hyper-V oder andernfalls), ist es wahrscheinlich, dass Sie es verwenden können, um abgeschirmte VMs zusammen mit regulären VMs auszuführen. Einige Kunden wählen die Integration abgeschirmter VMs in ihre vorhandenen Tools und Fabrics, während andere die Fabric aus Geschäftlichen Gründen trennen.

HGS-Administratorplanung für den Host Guardian Service

Stellen Sie den Host Guardian Service (HGS) in einer hoch sicheren Umgebung bereit, unabhängig davon, ob dies auf einem dedizierten physischen Server, einer abgeschirmten VM, einer VM auf einem isolierten Hyper-V-Host (getrennt vom Fabric, den sie schützt), oder einer logischen Trennung durch verwendung eines anderen Azure-Abonnements.

Bereich Details
Installationsanforderungen
  • Ein Server (für hohe Verfügbarkeit empfohlener Dreiknotencluster)
  • Bei Fallback sind mindestens zwei HGS-Server erforderlich.
  • Server können entweder virtuelle oder physische Server sein (physischer Server mit TPM 2.0 empfohlen; TPM 1.2 wird ebenfalls unterstützt)
  • Server Core-Installation von Windows Server 2016 oder höher
  • Netzwerklinie der Sicht auf die Fabric, die HTTP- oder Fallbackkonfiguration ermöglicht
  • HTTPS-Zertifikat, das für die Zugriffsüberprüfung empfohlen wird
Festlegen der Größe Jede Mittlere Größe (8 Core/4 GB) HGS-Serverknoten kann 1.000 Hyper-V-Hosts verarbeiten.
Verwaltung Geben Sie bestimmte Personen an, die HGS verwalten. Sie sollten von Fabricadministratoren getrennt sein. Im Vergleich können HGS-Cluster auf dieselbe Weise wie eine Zertifizierungsstelle (Zertifizierungsstelle) in Bezug auf administrative Isolation, physische Bereitstellung und allgemeine Sicherheitsempfindlichkeit denken.
Host Guardian Service Active Directory Standardmäßig installiert HGS sein eigenes internes Active Directory für die Verwaltung. Dies ist eine eigenständige, selbst verwaltete Gesamtstruktur und ist die empfohlene Konfiguration, um HGS aus Ihrem Fabric zu isolieren.

Wenn Sie bereits über eine sehr privilegierte Active Directory-Gesamtstruktur verfügen, die Sie für die Isolation verwenden, können Sie diese Gesamtstruktur anstelle der Standardstruktur von HGS verwenden. Es ist wichtig, dass HGS nicht mit einer Domäne in derselben Gesamtstruktur verbunden ist wie die Hyper-V-Hosts oder Ihre Fabric-Verwaltungstools. Dadurch könnte ein Fabric-Administrator die Kontrolle über HGS erhalten.
Notfallwiederherstellung Drei Optionen stehen zur Verfügung:
  1. Installieren Sie einen separaten HGS-Cluster in jedem Rechenzentrum und autorisieren Sie abgeschirmte VMs, die sowohl im primären als auch im Sicherungsdatencenter ausgeführt werden sollen. Dadurch wird verhindert, dass der Cluster über ein WAN verteilt werden muss und Sie virtuelle Computer isolieren können, sodass sie nur auf ihrer angegebenen Website ausgeführt werden.
  2. Installieren Sie HGS auf einem Stretchcluster zwischen zwei (oder mehr) Rechenzentren. Dies bietet Resilienz, wenn das WAN abläuft, aber die Grenzen des Failoverclusterings verschiebt. Sie können Workloads nicht auf eine Website isolieren; Eine VM, die für die Ausführung auf einer Website autorisiert ist, kann auf jeder anderen Website ausgeführt werden.
  3. Registrieren Sie Ihren Hyper-V-Host mit einem anderen HGS als Failover.
Sie sollten auch alle HGS sichern, indem Sie ihre Konfiguration exportieren, damit Sie immer lokal wiederherstellen können. Weitere Informationen finden Sie unter Export-HgsServerState und Import-HgsServerState.
Host Guardian Service-Schlüssel Ein Host Guardian Service verwendet zwei asymmetrische Schlüsselpaare – einen Verschlüsselungsschlüssel und einen Signaturschlüssel – jeweils durch ein SSL-Zertifikat dargestellt. Es gibt zwei Optionen zum Generieren dieser Schlüssel:
  1. Interne Zertifizierungsstelle – Sie können diese Schlüssel mithilfe Ihrer internen PKI-Infrastruktur generieren. Dies eignet sich für eine Rechenzentrumsumgebung.
  2. Öffentlich vertrauenswürdige Zertifizierungsstellen – verwenden Sie einen Satz von Schlüsseln, die von einer öffentlich vertrauenswürdigen Zertifizierungsstelle abgerufen wurden. Dies ist die Option, die Hoster verwenden sollten.
Beachten Sie, dass es zwar möglich ist, selbst signierte Zertifikate zu verwenden, es wird jedoch nicht für Bereitstellungsszenarien empfohlen, die nicht als Proof-of-Concept-Labs verwendet werden.

Zusätzlich zu den HGS-Schlüsseln kann ein Hoster "ihren eigenen Schlüssel mitbringen", wo Mandanten eigene Schlüssel bereitstellen können, damit einige (oder alle) Mandanten über einen eigenen HGS-Schlüssel verfügen können. Diese Option eignet sich für Hoster, die einen Out-of-Band-Prozess für Mandanten bereitstellen können, um ihre Schlüssel hochzuladen.
Host Guardian Service-Schlüsselspeicher Für die stärkste Sicherheit empfehlen wir, dass HGS-Schlüssel ausschließlich in einem Hardware Security Module (HSM) erstellt und gespeichert werden. Wenn Sie HSMs nicht verwenden, wird das Anwenden von BitLocker auf den HGS-Servern dringend empfohlen.

Fabric-Administratorplanung für überwachte Hosts

Bereich Details
Hardware
Betriebssystem Es wird empfohlen, die Server Core-Option für das Hyper-V-Hostbetriebssystem zu verwenden.
Folgen für die Leistung Basierend auf Leistungstests erwarten wir einen ungefähr 5% Dichteunterschied zwischen dem Ausführen von abgeschirmten VMs und nicht abgeschirmten VMs. Dies bedeutet, dass bei einem bestimmten Hyper-V-Host 20 nicht abgeschirmte VMs ausgeführt werden können, dass es 19 abgeschirmte VMs ausführen kann.

Stellen Sie sicher, dass Sie die Größe ihrer typischen Workloads überprüfen. Beispielsweise gibt es einige Ausreißer mit intensiven schreiborientierten IO-Workloads, die sich weiter auf den Dichteunterschied auswirken.
Überlegungen zu Filialen Ab Windows Server version 1709 können Sie eine Fallback-URL für einen virtualisierten HGS-Server angeben, der lokal als abgeschirmte VM in der Zweigstelle ausgeführt wird. Die Fallback-URL kann verwendet werden, wenn die Zweigstelle die Verbindung mit HGS-Servern im Rechenzentrum verliert. In früheren Versionen von Windows Server benötigt ein Hyper-V-Host, der in einer Zweigstelle ausgeführt wird, eine Verbindung mit dem Host Guardian Service zum Power-On oder zum Live migrieren abgeschirmte VMs. Weitere Informationen finden Sie unter Überlegungen zu Zweigstellen.