Share via

適用於租用戶的受防護網狀架構和受防護 VM 規劃指南

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

本主題著重於想要保護其虛擬機器 (VM) 的 VM 擁有者,以達到合規性和安全性目的。 無論 VM 是在裝載提供者的受防護網狀架構或私人受防護網狀架構上執行,VM 擁有者都需要控制其受防護 VM 的安全性層級,包括視需要保持進行解密的能力。

使用受防護的 VM 時,有三個需要考慮的領域:

  • 此 VM 的安全性層級
  • 用來保護它們的密碼編譯金鑰
  • 受防護的資料 - 用來建立受防護 VM 的敏感性資訊

此 VM 的安全性層級

部署受防護的 VM 時,必須選取兩個安全性層級的其中一個:

  • 已防護
  • 支援加密

受防護和加密支援的 VM 都已連結虛擬 TPM,而執行 Windows 的 VM 則受到 BitLocker 的保護。 主要差異在於受防護的 VM 會封鎖網狀架構管理員的存取,而加密支援的 VM 則允許網狀架構管理員與一般 VM 相同的存取層級。 如需這些差異的詳細資料,請參閱受防護網狀架構和受防護的 VM 概觀

如果您想要保護 VM 免於遭受網狀架構入侵 (包括遭入侵的管理員),請選擇受防護的 VM。 它們應該用於網狀架構管理員和網狀架構本身未受信任的環境中。 如果您想要符合某個合規性列,其可能需要加密待用資料和線上 VM 加密 (例如即時移轉期間),請選擇加密支援的 VM

在網狀架構管理員完全信任,但仍需要加密的環境中,支援加密的 VM 是理想方案。

您可以在受防護網狀架構上,甚至是在相同的 Hyper-V 主機上,執行一般 VM、受防護 VM 和支援加密的 VM 混合。

VM 是否受到防護或支援加密,取決於建立 VM 時選取的防護資料。 VM 擁有者在建立防護資料時,會設定安全性層級 (請參閱防護資料一節)。 請注意,一旦進行這項選擇,當 VM 保留在虛擬化網狀架構上時,就無法變更它。

用於受防護 VM 的密碼編譯金鑰

受防護的 VM 會使用加密磁碟和各種其他加密元素來保護受防護的 VM 免於遭受虛擬化網狀架構攻擊媒介的攻擊,這些元素只能透過下列方式解密:

  • 擁有者金鑰 - 這是 VM 擁有者所維護的密碼編譯金鑰 - 通常用於最後的復原手段或疑難排解。 VM 擁有者負責在安全的位置維護擁有者金鑰。
  • 每個守護者都有一或多個守護者 (主機守護者金鑰) - 代表一個虛擬化網狀架構,擁有者授權受防護的 VM 執行。 企業通常會有主要和災害復原 (DR) 虛擬化網狀架構,而且通常會授權其受防護的 VM 在兩者上執行。 在某些情況下,公用雲端提供者可能會裝載次要 (DR) 網狀架構。 任何受防護網狀架構的私密金鑰只會保留在虛擬化網狀架構上,而其公開金鑰可以下載,並包含在其守護者內。

如何建立擁有者金鑰? 擁有者金鑰是由兩個憑證表示。 用於加密的憑證和用於簽署的憑證。 您可以使用自己的 PKI 基礎結構來建立這兩個憑證,或從公用憑證授權單位單位 (CA) 來取得 SSL 憑證。 基於測試目的,您也可以在任何從 Windows 10 或 Windows Server 2016 開始的電腦上建立自我簽署憑證。

您應該擁有多少擁有者金鑰? 您可以使用單一擁有者金鑰或多個擁有者金鑰。 最佳做法建議為共用相同安全性、信任或風險層級的 VM 群組,以及管理控制,使用單一擁有者金鑰。 您可以針對所有已加入網域的受防護 VM 共用單一擁有者金鑰,以及由網域管理員管理該擁有者金鑰的委付。

我可以為主機守護者使用自己的金鑰嗎? 可以,您可以將「自備」金鑰帶到裝載提供者,並將該金鑰用於受防護的 VM。 這可讓您使用您的特定金鑰 (與使用裝載提供者金鑰),而且可在您有需要遵守的特定安全性或法規時使用。 針對金鑰檢疫目的,主機守護者金鑰應該與擁有者金鑰不同。

防護資料

防護資料包含部署受防護或加密支援的 VM 所需的秘密。 將一般 VM 轉換成受防護的 VM 時,也會使用它。

防護資料是使用「防護資料檔案精靈」所建立,並儲存在 VM 擁有者上傳至受防護網狀架構的 PDK 檔案中。

受防護的 VM 有助於防範遭到入侵的虛擬化網狀架構的攻擊,因此我們需要安全的機制來傳遞敏感的初始化資料,例如管理員的密碼、網域加入認證或 RDP 憑證,而不需向虛擬化網狀架構本身或管理員透露這些密碼。 此外,防護資料包含下列內容:

  1. 安全性層級 – 受防護或支援加密
  2. VM 可以執行之受信任主機守護者的擁有者和清單
  3. 虛擬機器初始化資料 (unattend.xml,RDP 憑證)
  4. 在虛擬化環境中建立 VM 的受信任簽署範本磁碟清單

建立受防護或支援加密的 VM 或轉換現有的 VM 時,系統會要求您選取防護資料,而不是提示您輸入敏感性資訊。

我需要多少防護資料檔案? 單一防護資料檔案可用來建立每個受防護的 VM。 不過,如果指定的受防護 VM 要求這四個項目中的任何一個項目都不同,則需要額外的防護資料檔案。 例如,您的 IT 部門可能有一個防護資料檔案,以及 HR 部門不同的防護資料檔案,因為它們的初始管理員密碼和 RDP 憑證不同。

雖然可以針對每個受防護的 VM 使用不同的防護資料檔案,但不一定是最佳選擇,而且應該基於合理的原因這麼做。 例如,如果每個受防護的 VM 都必須有不同的管理員密碼,請考慮改用密碼管理服務或工具,例如 Microsoft 的本機管理員密碼解決方案 (LAPS)

在虛擬化網狀架構上建立受防護的 VM

在虛擬化網狀架構上建立受防護的 VM 有幾個選項 (以下是與受防護和加密支援的 VM 相關):

  1. 在您的環境中建立受防護的 VM,並將其上傳至虛擬化網狀架構
  2. 在虛擬化網狀架構上,從已簽署的範本建立新的受防護 VM
  3. 保護現有的 VM (現有 VM 必須是第 2 代,且必須執行 Windows Server 2012 或更新版本)

一般做法是從範本建立新的 VM。 不過,由於用來建立新的受防護 VM 的範本磁碟位於虛擬化網狀架構上,因此必須採取其他措施,以確保它不會遭到惡意網狀架構管理員或網狀架構上執行的惡意程式碼竄改。 此問題是使用已簽署的範本磁碟來解決 - 已簽署範本磁碟及其磁碟簽章是由受信任的管理員或 VM 擁有者所建立。 建立受防護的 VM 時,範本磁碟的簽章會與指定防護資料檔案中包含的簽章進行比較。 如果任何防護資料檔案的簽章符合範本磁碟的簽章,部署程序就會繼續進行。 如果找不到相符項目,則會中止部署程序,確保 VM 秘密不會因為不受信任的範本磁碟而遭到入侵。

使用已簽署的範本磁碟來建立受防護的 VM 時,有兩個選項可供使用:

  1. 使用虛擬化提供者提供的現有已簽署範本磁碟。 在此情況下,虛擬化提供者會維護已簽署的範本磁碟。
  2. 將已簽署的範本磁碟上傳至虛擬化網狀架構。 VM 擁有者負責維護已簽署的範本磁碟。