Sikov - stock.adobe.com
Shielded VMs und Guarded Fabric für Hyper-V-Verschlüsselung
Guarded Fabric, Host Guardian Service und Shielded VMs ermöglichen die Verschlüsselung von VMs, deren Nutzbarkeit sodann auf vertrauenswürdige Hosts beschränkt ist.
Durch den ordnungsgemäßen Einsatz von Guarded Fabric, dem Host Guardian Service und Shielded VMs können Sie Verschlüsselung einsetzen, um die Sicherheit von Hyper-V zu verbessern und Auswirkungen von Angriffen zu begrenzen.
Mit dem Fortschreiten der Virtualisierungstechnologie steigt auch der Bedarf an Schutz und Gültigkeitsbestätigungen für virtuelle Maschinen (VM). In Windows Server 2016 stellte Microsoft erstmals ein neues Sicherheitsmodell vor, mit dem Hosts und Gast-VMs besser gegen böswillige Aktivitäten geschützt werden sollen. Dieses Modell wird Guarded Fabric genannt. Es nutzt den Host Guardian Service (HGS) für die Verwaltung und den Betrieb von Shielded VMs.
Die Basis-Idee hinter Guarded Fabric ist, dass VMs am Ende nicht sehr viel mehr als Datendateien sind, zum Beispiel als Dateien auf einer virtuellen Festplatte. Was immer diese Datei entblößen oder beschädigen kann, stellt sich als Sicherheitsrisiko dar. Eine Guarded Fabric kann ohne zusätzliche Sicherheitsmaßnahmen weiter konventionelle, ungeschützte VMs betreiben. Guarded Fabric kann außerdem auch verschlüsselte VMs betreiben, was zum Schutz der VM-Datei im Betrieb ebenso wie auch in Pausen beiträgt. Außerdem kann Guarded Shield auch Shielded VMs betreiben, deren Sicherheit auf Testaten fußt, über die die zugrundeliegende Plattform validiert wird.
Der Host Guardian Service (HGS) ist eine neue Rolle in Windows Server 2016. Diese Rolle benutzt Testate, um sicherzustellen, dass die Hyper-V-Hosts geprüfte Software verwenden. Ein Testat-Dienst läuft zusammen mit einem Schutzdienst für den Verschlüsselungs-Key. Zusammen genommen validieren diese Dienste die Identität und Konfiguration eines Hyper-V-Hosts. Daraufhin erhält dieser überprüfte Host die Keys, die für das Entschlüsseln und Betreiben der Shielded VMs benötigt werden. Wird der Hyper-V-Host nicht auf diese Weise validiert, so sind Entschlüsselung und Betrieb einer Shielded VM mangels entsprechender Keys nicht möglich.
Der Host Guardian Service unterstützt sowohl hardwarebasierende wie auch administrative Testate. Administrative Testate verwenden Active Directory zur Validierung der Hosts. Auf Hardware basierende Testate dagegen setzen mindestens Trusted Platform Module (TPM) 2.0 und Unified Extensible Firmware Interface 2.3.1 (UEFI) mit aktiviertem Linux Secure Boot voraus. Man muss kein Spezialist im Thema sein, um angesichts dieses Vergleichs zu bemerken, dass die auf Hardware basierenden Testate den stärksten Schutz für Shielded VMs bieten.
Shielded VMs lassen sich mit BitLocker-Laufwerksverschlüsselung und virtuellem TPM anlegen. Dementsprechend können Shielded VMs ausschließlich auf Hyper-V-Hosts betrieben werden, die zuvor ein Testat erhalten haben. Der Hyper-V-Host muss dem entsprechend den HGS aktivieren. Und natürlich muss er validiert werden, bevor er die Keys zur Entschlüsselung der Shielded VM erhalten kann. Anderenfalls wird es nichts mit dem Betrieb einer Shielded VM. Ungeschützte VMs hingegen sollten ganz normal und manuell funktionieren.
Pragmatisch ausgedrückt sind VMs verschlüsselt, es ist also wesentlich ungefährlicher, wenn Angreifer diese stehlen, kopieren oder sich irgendwo zwischenschalten. Host-Systeme, die Shielded VMs betreiben sollen, müssen autorisiert werden und vertrauenswürdig sein. Die VMs können also nicht auf andere, unbekannte oder nicht vertrauenswürdige Hosts umgezogen und dort betrieben werden. Damit ist die Angriffsfläche erheblich reduziert.
