ホスト ガーディアン サービスを定義する
保護されたファブリックを Contoso の Hyper-V インフラストラクチャに実装することで、HGS を使用して、保護されたホストの有効性を確保し、VM を保護することができます。
HGS の概要
HGS により、2 つの異なるサービスが Hyper-V で保護されたファブリックに提供されます。
- HGS 構成証明サービス。 "HGS 構成証明サービス。" により、安全で承認済みの保護されたホストのみがシールドされた VM を実行できることが保証されます。 HGS 構成証明書サービスでは、次の 2 つの構成証明モードを使用できます。
- TPM によって信頼された構成証明。 保護されたホストは、トラステッド プラットフォーム モジュール (TPM) ID、メジャー ブート シーケンス、およびコードの整合性ポリシーに基づいて承認され、承認されたコードのみを実行することが保証されます。
- ホスト キー構成証明。 保護されたホストは、キーの所有に基づいて承認されます。
- キー保護サービス (KPS)。 KPS により、シールドされた VM を起動し、シールドされた VM を別の保護されたホストに移行するために必要なセキュリティ キーが、保護されたホストに提供されます。
注意
Windows Server 2016 には、"管理者によって信頼された構成証明" と呼ばれる別の構成証明モードが含まれていました。 しかし、この構成証明モードは Windows Server 2019 では非推奨になりました。
HGS の動作の概要
以下の手順と補足図により、保護されたファブリックで HGS を使用してシールドされた VM を起動する方法の概要を説明します。
- ユーザーが、シールドされた VM SVM-1 の起動を要求します。
- SVM-1 が起動される前に、保護されたホスト GH-1 により HGS に構成証明が要求されます。
- HGS 構成証明サービスにより、GH-1 の資格情報が検証されます。
- HGS 構成証明書サービスにより、GH-1 に構成証明書が送信されます。
- GH-1 により、その構成証明書が KPS に送信され、暗号化されたシークレットを使用して SVM-01 のロックを解除するキーが要求されます。
- KPS により、GH-1 の構成証明書の有効性が確認され、SVM-1 のロック解除用のキーを取得するために、シークレットの暗号化が解除されます。
- KPS により、キーが GH-1 に送信されます。
- GH-1 により、そのキーを使用して SVM-1 のロックが解除されて起動されます。
HGS サーバーの要件
次の表に、HGS サーバーの要件を示します。
| 要件 | 詳細 |
|---|---|
| ハードウェア | HGS は、物理マシンと仮想マシンの両方で実行できます。 ただし、高可用性のため、似たハードウェアの 3 台の物理サーバーを使用し、3 ノード クラスターとして HGS を実行することをお勧めします。 TPM によって信頼された構成証明の場合は、HGS サーバーのハードウェアにより、TPM 2.0 と、セキュア ブートを有効にした Unified Extensible Firmware Interface (UEFI) 2.3.1 がサポートされている必要があります。 中規模 (8 コア/4 GB) の HGS サーバー ノードでは、約 1,000 台の Hyper-V ホストを管理できます。 |
| OS | ホスト キーの構成証明には、v2 構成証明で動作している Windows Server 2019 Standard または Datacenter Edition が必要です。 TPM ベースの構成証明の場合は、HGS は Windows Server 2019 または Windows Server 2016 の Standard または Datacenter Edition を実行できます。 |
| 暗号化証明書 | HGS を展開する場合は、署名証明書と暗号化証明書を提供する必要があります。 証明書が HGS から外に出ることはなく、シールドされた VM を起動するために必要な機密情報の保護にのみ使用されます。 内部証明機関または信頼された外部機関から証明書を取得するように、ファブリックを構成する必要があります。 |
| [サーバー ロール] | HGS およびサポート サーバーの役割を、HGS サーバーにインストールする必要があります。 |
| ユーザー アカウントとリソース管理 | ファブリック内のユーザー アカウントとリソースをコンパートメント化するには、新しい専用の Active Directory Domain Services (AD DS) フォレストまたは既存の bastion フォレストに、HGS をインストールすることができます。 |
| ネットワーク | ファブリックの AD DS フォレストと HGS の AD DS フォレストの間の DNS 転送を許可するように、ネットワークを構成する必要があります。 |
注意
bastion 環境は、専用の管理フォレストとして機能する単一ディレクトリの AD DS フォレストです。 これは、存在する可能性がある他の運用 AD DS フォレストから分離されています。 この 1 つの機能により、攻撃面が減少します。 分離によって、環境内の他の AD DS フォレストで発生する可能性があるセキュリティ侵害との間に、セキュリティ境界が提供されます。
HGS サーバーの計画に関する考慮事項
保護されたファブリックのセキュリティ、可用性、信頼性を確保するため、HGS サーバーの実装を計画するときは、次の表に示す要素を考慮してください。
| 考慮事項 | 詳細 |
|---|---|
| 管理 | 攻撃者や悪意のある管理者によるリスクを軽減するため、HGS を管理する特定のユーザーを指定します。 HGS 管理者は、Hyper-V 環境の管理者とは別にする必要があります。 |
| 回復とバックアップ | 要件に応じて、各データセンターの場所に個別の HGS をインストールする (フェールオーバー クラスタリングのため) か、単一の HGS を複数のデータセンターに拡張する (回復性のため) ことができます。 フェールオーバーとして 1 つの Hyper-V ホストを複数の HGS に登録することもできます。 常にローカルで回復できるように、構成をエクスポートすることによって、すべての HGS をバックアップします。 |
| HGS キーを生成する | 独自の内部証明機関を使用してセキュリティ キーを生成することも、公的に信頼された証明機関からキーを取得することもできます。 |
| HGS キーを格納する | セキュリティを可能な限り強化するため、HGS キーを作成し、ハードウェア セキュリティ モジュール (HSM) に排他的に保存する必要があります。 HSM を使用していない場合は、HGS サーバーで BitLocker 暗号化を使用します。 |
| パフォーマンスへの影響 | シールドされた VM を実行しているホストと、シールドされていない VM を実行しているホストの間には、約 5% の密度の違いがあります。 これは、特定の Hyper-V ホストでシールドされていない VM を 20 個実行できる場合、シールドされた VM は 19 個実行できると考えられることを意味します。 |
| ブランチ オフィスに関する考慮事項 | ブランチ オフィスでシールドされた VM としてローカルに実行されている仮想化された HGS サーバーに、フォールバック URL を指定できます。 ブランチ オフィスとデータセンター内の HGS サーバーの接続が失われたときは常に、フォールバック URL を使用して、シールドされた VM を起動したり、そのライブ マイグレーションを実行したりできます。 |
デモンストレーション
次のビデオは、以下の方法を示しています。
- 役割と機能の追加ウィザードを使用して、HGS の役割をインストールします。
- Windows PowerShell を使用して、HGS の役割をインストールします。
このプロセスの主な手順は以下のとおりです。
役割と機能の追加ウィザードを使用して、HGS の役割と管理ツールをインストールします。
管理者特権のアクセス許可を使用して Windows PowerShell コンソールを開き、次のコマンドレットを使用して HGS の役割をインストールします。
Install-WindowsFeature HostGuardianServiceRole -IncludeManagementTools -Restart
注意
Windows PowerShell を使用して HGS をインストールするときは、2 つの機能名を使用できます。 HostGuardianServiceRole 機能名を使用すると、ホスト ガーディアン サーバーに HGS の役割がインストールされます。 HostGuardian 機能名を使用すると、Hyper-V サーバーにホスト ガーディアン機能がインストールされます。これにより、Hyper-V サーバーはホスト ガーディアン サーバーと通信できるようになります。