保護されたファブリックを定義する
Contoso の Windows Server 管理者は、保護されたファブリックを使用することにより、Contoso の Hyper-V インフラストラクチャを意図的に、または誤って侵害されないように、保護することができます。
保護されたファブリックの概要
"ファブリック" は、コンピューティング、ネットワーク、ストレージ リソースのコレクションに適用される用語です。 ファブリックの例は、VM をホストする Hyper-V リソースのコレクションです。
Hyper-V の "保護されたファブリック" は、マルウェアまたは悪意のあるシステム管理者による不当な検査、盗難、改ざんから VM を保護するセキュリティ ソリューションです。
保護されたファブリックは、次の主要なコンポーネントで構成されています。
- シールドされた VM。 保護されたファブリック内で、新しい VM が使用できる信頼されたディスク テンプレートとイメージを指定します。 保護されたファブリック内で信頼されたテンプレートとイメージを使用する VM は、"シールドされた VM" と呼ばれます。
- 保護されたホスト。 保護されたファブリック内のどのサーバーで、シールドされた VM をホストするのが安全であるかを指定します。 保護されたファブリック内のこのような安全な Hyper-V ホストは、"保護されたホスト" と呼ばれます。
- ホスト ガーディアン サービス (HGS)。 HGS により、安全で承認済みの保護されたホストのみがシールドされた VM を実行できることが保証されます。 また、HGS により、シールドされた VM で稼働するためのセキュリティ キーが、安全で承認済みの保護されたホストに提供されます。
保護されたファブリックでのセキュリティ機能の概要
保護されたファブリックのコンポーネントは連携して、侵害された VM からホストを保護し、侵害されたホストから VM を保護します。 次の表は、保護されたファブリックによるインフラストラクチャの保護方法の一覧です。
保護されたファブリックのセキュリティ機能 | 説明 |
---|---|
シールドされた VM のためのディスク暗号化 | シールドされた VM のオペレーティング システム (OS) ディスクには、BitLocker 暗号化が使用されます。 シールドされた VM では、データ ディスクの暗号化もサポートされています。 |
信頼されたテンプレート ディスクとイメージから新しいシールドされた VM をデプロイする | 新しいシールドされた VM の展開で信頼するテンプレート ディスクとイメージを指定します。 信頼されたテンプレート ディスクとイメージごとに、署名が生成されます。 シールドされた VM を新しく展開するときは、そのイメージ用に署名が計算され、前に作成された信頼できる署名と比較されます。 シールドされた VM は、署名が一致した場合にのみ展開されます。 |
正常で承認されたホストにのみキーをリリースする | 保護されたホストが安全で承認済みと見なされたら、シールドされた VM のロックを解除して起動するために、HGS からセキュリティで保護されたキーがリリースされます。 |
シールドされた VM でシークレットを保護する | VM のシークレットは、"シールド データ ファイル" と呼ばれる暗号化されたファイルに格納されます。このファイルは、証明書キーによって保護され、ファブリックにアップロードされます。 VM シークレットの例は、信頼できるディスク署名、リモート デスクトップ プロトコル (RDP) 証明書、VM のローカル管理者アカウントのパスワードなどです。 シールドされた VM を作成するときに、使用するシールド データ ファイルを選択します。 この方法により、保護されたファブリック内の信頼できるコンポーネント間でのみ VM シークレットが共有されるようになります。 |
シールドされた VM を起動できる場所を制御する | シールド データ ファイルには、特定のシールドされた VM の実行が許可されている保護されたファブリックと保護されたホストのリストが含まれています。 |
保護されたファブリックで実行できる次の VM の種類は、それぞれセキュリティのレベルが異なります。
- 最大限のセキュリティを提供するシールドされた VM
- 暗号化によって保護されている標準 VM (シールドされた VM ほど安全ではありません)
- 保護されていない標準 VM (最小限のセキュリティが提供されます)
保護されたファブリックの自動化と管理に使用されるツール
保護されたファブリック内でのプロセスを管理および自動化するには、次の Hyper-V ツールを使用します。
- System Center Virtual Machine Manager (VMM)。仮想化ホスト、仮想ネットワーク、ストレージ用の統合管理ソリューションとして使用でき、仮想化された環境を効果的に管理するのに役立ちます。
- Windows Azure Pack。保護されたファブリックとシールドされた VM を管理するためのグラフィカルな Web ポータル インターフェイスが提供されます。
- Windows PowerShell。シールドされた VM のコンポーネントを作成し、保護されたホストにシールドされた VM をプロビジョニングするために使用できます。