Download as PDF, PPTX
Uploaded bywind06106
Interact2015:Host Guardian Service ってなに?(仮)
What's Host Guardian Service for Interact × Cloud Samurai Roadshow in Japan
More Related Content
Similar to Interact2015:Host Guardian Service ってなに?(仮)
![[Japan Tech summit 2017] DEP 003](https://cdn.slidesharecdn.com/ss_thumbnails/techsummit2017pdfdep003-171116035105-thumbnail.jpg?width=640&height=640&fit=bounds)
Interact2015:Host Guardian Service ってなに?(仮)
- 1. Interact × CloudSamurai Roadshow 2015/07/11 System Center User Group Japan 後藤 諭史(Satoshi GOTO)
- 2. 後藤 諭史(Satoshi GOTO ) 某 ISP 所属。 仮想化製品が主な専門分野です。 Microsoft MVP - System Center Cloud and Datacenter Management (Jul.2012 - Jun.2016) TwitterとBlogはこちら ◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます) 2
- 3. セッションの目的 ◦ WindowsServer 2016 にて実装される新たなセキュリティー機能 『 Shielded VM 』と、必須サービスである『 Host Guardian Service 』の 機能をご理解いただく。 ◦ 『 Shielded VM 』で保護されるもの、並びに実装上のポイントをご理解い ただく。 セッションのゴール ◦ 『 Shielded VM 』 がどのようなセキュリティー保護機能を提供するかを 説明できる。 3
- 4. Shielded VMと Host Guardian Service ってなに? Host Guardian Service の実装 Host Guardian Service with SCVMM まとめ 4
- 5.
- 6. 本セッションは Windows Server2016 Technical Preview 2 (#10074) および System Center 2016 Technical Preview 2 Virtual Machine Manager (#3.2.9234.0) での検証結果を基に記載していま す。 今後、仕様および機能は変更される可能性があります。 6
- 7.
- 8. 8 物理サーバーと仮想サーバーでは、考慮しなくてはいけない範囲が異なる 管理者 物理マシン仮想マシン サーバー管理者 Yes Yes ストレージ管理者 No Yes ネットワーク管理者 No Yes バックアップオペレーター No Yes 仮想化ホスト管理者 No Yes 仮想サーバーの場合、サーバー(仮想マシン)管理者以外がアクセス可能である場合がある
- 9. 9 管理者 物理マシン 仮想マシン サーバー管理者Yes Yes ストレージ管理者 No Yes ネットワーク管理者 No Yes バックアップオペレーター No Yes 仮想化ホスト管理者 No Yes サーバー管理者以外、データへのアクセス不可能となる。 問題解決 No No No No
- 10.
- 11. 11 Windows Server2016 で実装される Host Guardian Service と Windows Server 2016 Hyper-V が連携して実現する、仮想マシンの暗号化ソリューション 仮想マシンには仮想 Trusted Platform Module(TPM) が提供され、vTPM を利用した BitLocker ドライブ暗号化にて、起動ドライブを含むすべての仮想ディスクの保護を実施 仮想マシンの起動キーは Host Guardian Service サーバーで管理され、 Hyper-V ホスト からのキー取得要求を精査し、問題なければキーを発行する キーを要求する Hyper-V ホストの証明方式 (Attestation Mode) は 『 Hardware Rooted Attestation 』と『 Administrative Based Attestation 』の 2 方式から 選択して実装する
- 12. 12 仮想ディスク BitLocker によるディスク暗号化 コンソール Hyper-V マネージャ、SCVMM からの コンソール接続が不可に(操作は全て リモートデスクトップにて実施) ゲストサービス経由のファイルコピー コピー不可
- 13. 13 Enter-PSSession 管理者アカウント、パスワードが判れば GuardedHost からリモート実行可能
- 14.
- 15. 15 Hardware RootedAttestation (H/W-Trusted) ◦ Hyper-V ホストに H/W(TPM 2.0,UEFI 2.3.1) の実装が必要 ◦ Hardware ベースとなるため、 Hyper-V ホストのPlatform ID をHost Guardian Service に登録する必要あり ◦ コンフィグレーションは複雑になる ◦ サービスプロバイダー向けの実装 Administrative Based Attestation (Admin-Trusted) ◦ AD 間の信頼関係とセキュリティー設定が必要 ◦ コンピューターアカウントをセキュリティーグループに登録し、設定を実施 ◦ 特別な H/W を必要とせず、すべて S/W 設定で実装可能 ◦ 簡単に実装可能 ◦ PoC や 社内システムとして利用する場合を想定
- 16. - Domain Controller -Host Guardian Service ・ Attestation Server ・ Key Protection Server Physical or Virtual Domain Controller 16 Internet Virtual Machine Manager Hyper-V Hosts for Shielded VM Shielded VMs Physical Server - Hyper-V host - Remote Server Administration Tools Host Guardian Service contoso-hgs.com Hoster Active Directory contoso.com Tenant Infrastructure fabrikam.com 信頼関係 Service Provider Infrastructure
- 17. 17 Attestation Service (IIS WebApp) KeyProtection Service (IIS WebApp) Guarded Host (Hyper-V Host) Host Guardian Service node ① Shielded VM 起動 ② Attestation Clientが 認証処理開始 Attestation Protocol REST API ③ Kerberosサービスチケット をホストが提出 ④ グループメンバー を検証 ⑤ 証明書発行
- 18. 18 Windows Server2016 TP2 必須 役割として、以下のものを導入 ◦ Host Guardian Service 同時に以下のものが自動的に導入 .Net Framework 4.6 Active Directory Domain Service Failover Clustering Web Server(IIS) Windows Process Autentication
- 19. 19 Windows Server2016 TP2 必須 役割として、以下のものを導入 ◦ Hyper-V 機能として、以下のものを導入 ◦ Host Guardian Hyper-V Support ◦ Remote Service Administration Tools → Shielded VM Tools
- 20. 20 System CenterTP2 VMM にて、 HGS に対応 PowerShellだけでも HGS は実装可能 であるため、オプション扱い Hyper-V ホストのプロパティで設定 Shielded VMのテンプレート展開も可能
- 21. 21 Gen2 VMであること パーティションテーブルが GPT であること Secure Boot が有効であること Shielded VM にインストールする OS は Windows Server 2016 TP2 または Windows Server 2012 R2 であること
- 22. 22 Host GuardianService の役割インストール Host Guardian Service のセットアップ( Install-HgsServer ) ◦ HGS 用 Active Directory Domain Service も、このタイミングでセットアップ Host Guardian Service の初期化( Initialize-HgsServer ) ◦ HGS Cluster のセットアップも実施 Attestation Mode の設定( Register-HgsAttestation ) Guarded Host のドメインと信頼関係設定 セキュリティーグループの設定とAttestation ポリシーの設定 Key Protection Server 用の証明書の発行 Key Protection Server 用 Web サイトの SSL 設定 Key Protection Server の設定( Register-HgsKeyProtection ) Guarded Host の設定( Import-HgsGuardian / New-HgsKeyProtector)
- 23.
- 24. 24 Attestation Serverと Key Protection Server のURL をグローバル設定として一括設定可能 ◦ SCVMM を使用しない場合、各 Guarded Host で『 Set-HgsClientConfiguration 』 Cmdlet にて Attestation Server と Key Protection Server のURL を設定する必要あり → この設定を実施しないと、Live Migration や import/export でエラーが発生する SCVMM を利用して、Shielded VM をテンプレートから展開することが可能 ◦ 但し、Shielded VM 用にカスタマイズ(署名)した VHDX ファイルが必要になる テンプレート展開時、パスワードなどの機密情報を VMM コンソール上で入力不要になる ◦ 事前に Unattend.xml を作成、Shielding Data File (.PDK) に組み込むことで実現 Shielding Data File で使用可能な VHDX ファイルを指定することにより、無許可で変更 (もしくは改ざん)された Disk でShielded VM を展開することを防止
- 25. 『 Setting』 → 『 Host Guardian Server Settings 』からグローバル設定として設定 各 Hyper-V ホスト( Guarded Host )から個別設定も可能 → H/W-Trasted の場合は、個別設定をしなければいけない項目が存在 25
- 26.
- 27. 27 Windows Server2016 TP2 ないしは Windows Server 2012 R2 のインストール ISO から 初期イメージを抽出(注 1 ) → イメージ抽出は『 Convert-WindowsImage.ps1 』を使用(注 2 ) 抽出したイメージに BitLocker の役割を導入( Add-WindowsFeature -Vhd ) テンプレート用 Disk 署名用証明書を生成 TemplateDiskWizard.exe を使用して、テンプレート用 Disk に署名 署名済みテンプレート用 Disk を SCVMM のライブラリにコピー 署名済みテンプレート用 Disk の Volume Signature Catalog(.vsc) を作成 ( Get-SCVolumeSignatureCatalog ) 署名済みテンプレート用 Disk を使用して、仮想マシンテンプレートを作成
- 28. 28 テンプレート用 Disk署名ツール 署名する証明書と Disk の名前、バージョンを指定して実行 ここで指定した証明書、 Disk 名等がテンプレート用 Disk の識別子として使用される
- 29. 29 (注 1) TP2 では、Sysprep 済み カスタム VM からテンプレートを作成不可 → Sysprep 済み Disk を TemplateDiskWizard.exe で署名しようとするとエラーが発生 → Step-by-Step ガイド (Ver.1.3) には『 TP2 に限っては、イメージ抽出が必要』と記載 (注 2 ) Convert-WindowsImage.ps1 は、英語環境のみ動作? → 日本語環境で実行するとエラー発生、英語環境では正常終了
- 30. 30 VM 作成用のUnattend.xml を作成 ◦ 以下のものを Unattend.xml 内で指定可能 Administrator パスワード ドメイン参加する場合のドメイン名、および参加するためのユーザー名/パスワード リモートデスクトップ接続の有効化 Windows Firewall 設定 コンピューター名( SCVMM 側からの設定を引き継ぐことも可能) タイムゾーン( SCVMM 側からの設定を引き継ぐことも可能) その他言語設定等 Shielding Data File (.PDK) の作成
- 31. 31 テンプレートから ShieldedVM を展開する際に使用する、 Unattend.xml などを指定した Shielding Data File (.PDK) を作成するためのツール テンプレート展開時に使用するテンプレート用 Disk を、 Volume Signature Catalog(.VSC) ファイルを使用して 指定する バージョンに関しては、『 Equals 』『 Grater than 』 『 At least 』が指定可能で、条件に一致した Disk を 使用可能
- 32. 32 パスワード、ファイヤーウォール設定などのセットアップ情報が記載された Unattend.xml と同時配布するファイルを指定。以下の例ではリモートデスクトップ用の証明書を配布 Win32_TSGeneralSetting を設定すると、以下のようにRDP接続時の証明書を設定可能
- 33.
- 34. 34 次の画面で、 VM管理者が作成したShielding Data File (.PDK) を指定する画面になるので、 あらかじめ作成した pdk ファイルを指定する パスワード等は、すべて pdk の設定が反映される
- 35. 35 SCVMMを使用したテンプレート展開をする場合、 IPPool からの静的 IP Address が設定 不可 → VMMコンソール上、 IP Address が割り当てられているようにみえるが、実際には 設定されていない →別途 DHCP Serverが必要 Guarded Host の Disk I/O 性能によっては、VM 作成にかかる時間が 60 分以上かかる場合 がある。その場合、 SCVMM のジョブがタイムアウトで異常終了するので注意が必要 テンプレートで使用している仮想 Disk が、 Shielding Data File 内で指定した Disk 名と バージョンの条件を満たしていない場合、 Shielded VM の作成に失敗するので注意
- 36. VM 、テンプレートともに、プロパティから確認可能 36 VMのプロパティ テンプレートのプロパティ
- 37. 37 Shielded VMを検証する際は、環境を構成するすべての Windows Server 2016 TP2 で 最新の Windows Updateを適用すること 冗長化構成は TP2 では構成不可
- 38.
- 39. 39 Shielded VMは、仮想Disk の暗号化を基軸にした画期的なセキュリティーソリューション です これにより『仮想 Disk そのもの』の持ち去りから発生する情報漏えいを、未然に防止で きます Hyper-V ベースの Service Provider Cloud を展開している場合、 Shielded VM を導入する ことにより、顧客に堅牢なセキュリティーという付加価値を提供することも可能です System Center Virtual Machine Manager を合わせて使用する事により、 Shielded VM の 展開もより簡単に実施可能です 機会がありましたら、ぜひ一度テストをしてみてください
- 40. 40 Shielded VMsand Guarded Fabric Validation Guide for Windows Server 2016 https://gallery.technet.microsoft.com/Shielded-VMs-and-Guarded-44176db3 Harden the Fabric: Protecting Tenant Secrets in Hyper-V http://channel9.msdn.com/Events/Ignite/2015/BRK3457 Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは http://www.atmarkit.co.jp/ait/articles/1506/15/news009.html
- 41.