Video-Tipp: Shielded-VMs – Teil 1 Shielded-VMs und Host Guardian Service in Hyper-V

Autor / Redakteur: Thomas Joos / Peter Schmitz |

Microsoft ermöglicht mit Hyper-V einen besonderen Schutz für virtuelle Maschinen (VM). Dazu werden Shielded-VMs eingeführt, die durch einen internen Serverdienst überwacht und geschützt werden. Wir zeigen in diesem Video-Tipp, wie man den Dienst einrichtet und dazu den Host Guardian Service aufsetzt.

Anbieter zum Thema

Mit Hyper-V lassen sich spezielle virtuelle Maschinen, sogenannte Shielded-VMs, durch einen internen Serverdienst überwachen und schützen
Mit Hyper-V lassen sich spezielle virtuelle Maschinen, sogenannte Shielded-VMs, durch einen internen Serverdienst überwachen und schützen
(© Gorodenkoff - stock.adobe.com)

Shielded VMs werden von anderen VMs und Hosts im Netzwerk abgeschottet und deren Daten mit Bitlocker verschlüsselt. Für den Betrieb wird ein Cluster oder Server benötigt, auf dem der Host Guardian Service installiert und eingerichtet ist. Die Hyper-V-Hosts bindet man an diesen Server als Guarded-Hosts an und erstellt die Shielded VMs danach auf den Guarded-Hosts.

In Windows Server 2019 kann der Host Guardian Service (HGS) auch Shielded-VMs auf Basis von Linux überwachen und schützen. Für den Einsatz des HGS sind Server mit Windows Server 2019 Datacenter-Edition notwendig. Im Zentrum einer Infrastruktur mit HGS steht ein Cluster, auf dem der Host Guardian Service installiert wird. Dabei handelt es sich um einen Serverdienst, der in Windows Server 2019 getrennt zu Hyper-V installiert wird.

Wie man unter Hyper-V einen Host Guardian Serviceeinrichtet und Shielded-VMs nutzt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 9 Bildern

Die komplette Verwaltung des HGS-Servers erfolgt in der PowerShell. Es ist also durchaus sinnvoll einen Core-Server mit Windows Server 2019 zu installieren. Die geschützten VMs (Shielded VM) werden wiederum am besten mit System Center Virtual Machine Manager betrieben. Microsoft beschreibt die Vorgehensweise in der Dokumentation auf der Seite „Guarded fabric and shielded VMs“.

HGS installieren und einrichten

Während der Installation des HGS findet keine Konfiguration statt. Das wird erst nachträglich durchgeführt. Sobald der Cluster mit dem HGS im Einsatz ist, werden die Hyper-V-Hosts im Netzwerk an den HGS angebunden. In diesem Zusammenhang werden aus den Hyper-V-Hosts jeweils ein „Guarded Host“. Auf den Guarded-Hosts lassen sich wiederum herkömmliche VMs (non-shielded VMs) und geschützte VMs (shielded VMs betreiben). Der erste Schritt besteht also darin den HGS zu installieren und einzurichten. Die Installation kann über den Server-Manager, das Windows Admin Center, oder in der PowerShell mit dem folgenden Befehl erfolgen:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Nachdem die Serverrolle installiert ist, wir auf dem Server zunächst eine eigene Domäne erstellt, auf deren Basis die Absicherung der Umgebung erfolgt. Auch das kann in der PowerShell erfolgen:

Install-HgsServer -HgsDomainName „hostgs.com“ -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring) -Restart

Hier gibt es viele Möglichkeiten der Einrichtung. Microsoft zeigt diese in der Dokumentation zu diesem Thema. Microsoft beschreibt auch die Möglichkeit den HGS in einer bereits vorhandenen AD-Gesamtstruktur zu betreiben. Allerdings muss hier vorsichtig vorgegangen werden. Denn die Administratoren dieser Umgebung haben Zugriff auf die Schlüssel mit denen die VMs geschützt werden. Die Vorgehensweise dazu wird auf der Seite „Choose whether to install HGS in its own dedicated forest or in an existing bastion forest“ besprochen.

Wenn der HGS-Server installiert wurde, besteht der nächste Schritt darin, diesen zu initialisieren. Er wird dazu mit einem Zertifikat ausgestattet. Die Konfiguration erfolgt am besten mit Variablen, die im Vorfeld definiert werden:

Initialize-HGSServer -HgsServiceName $HgsServiceName -SigningCertificatePath $signingCertPath -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath $encryptionCertPath -EncryptionCertificatePassword $certificatePassword -TrustActiveDirectory -Force

Die ausführliche Vorgehensweise beschreibt Microsoft in der Dokumentation. Für Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden. Die Einrichtung beschreibt Microsoft auf der Seite „Obtain certificates for HGS“.

Guarded Hosts verwalten

Wenn eine HGS-Infrastruktur generell im Einsatz ist, besteht der nächste Schritt darin, die Hyper-V-Hosts an die HGS-Infrastruktur anzufinden. Dazu sind auf den Hyper-V-Hosts drei verschiedene Features notwendig, die am schnellsten über die PowerShell installiert werden:

Install-WindowsFeature -Name HostGuardianInstall-WindowsFeature -Name RSAT-Shielded-VM-ToolsInstall-WindowsFeature -Name FabricShieldedTools -Restart

Mit den Tools lassen sich zum Beispiel auch Vorlagen definieren, mit denen verschlüsselte VMs erstellt werden.

Wie man unter Hyper-V einen Host Guardian Serviceeinrichtet und Shielded-VMs nutzt, zeigen wir hier im Video-Tipp und in der Bildergalerie.

Bildergalerie
Bildergalerie mit 9 Bildern

(ID:46220597)