Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Interact2015:Host Guardian Service ってなに?(仮)

5,243 views

Published on

What's Host Guardian Service for Interact × Cloud Samurai Roadshow in Japan

Published in: Technology
  • Be the first to comment

Interact2015:Host Guardian Service ってなに?(仮)

  1. 1. Interact × Cloud Samurai Roadshow 2015/07/11 System Center User Group Japan 後藤 諭史(Satoshi GOTO)
  2. 2.  後藤 諭史( Satoshi GOTO )  某 ISP 所属。  仮想化製品が主な専門分野です。  Microsoft MVP - System Center Cloud and Datacenter Management (Jul.2012 - Jun.2016)  TwitterとBlogはこちら ◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます) 2
  3. 3.  セッションの目的 ◦ Windows Server 2016 にて実装される新たなセキュリティー機能 『 Shielded VM 』と、必須サービスである『 Host Guardian Service 』の 機能をご理解いただく。 ◦ 『 Shielded VM 』で保護されるもの、並びに実装上のポイントをご理解い ただく。  セッションのゴール ◦ 『 Shielded VM 』 がどのようなセキュリティー保護機能を提供するかを 説明できる。 3
  4. 4.  Shielded VM と Host Guardian Service ってなに?  Host Guardian Service の実装  Host Guardian Service with SCVMM  まとめ 4
  5. 5. 本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。 あくまで個人の意見/見解であり、所属する会社/組織及びマイクロソフト社とは『まったく/なにも/全 然』関係がございません。 所属する会社/組織/マイクロソフト社の正式な回答/見解ではない事に留意してください。 また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不 利益について、発表者は一切の責任を負う事はできませんのでご了承ください。 5
  6. 6. 本セッションは Windows Server 2016 Technical Preview 2 (#10074) および System Center 2016 Technical Preview 2 Virtual Machine Manager (#3.2.9234.0) での検証結果を基に記載していま す。 今後、仕様および機能は変更される可能性があります。 6
  7. 7. 7
  8. 8. 8  物理サーバーと仮想サーバーでは、考慮しなくてはいけない範囲が異なる 管理者 物理マシン 仮想マシン サーバー管理者 Yes Yes ストレージ管理者 No Yes ネットワーク管理者 No Yes バックアップオペレーター No Yes 仮想化ホスト管理者 No Yes 仮想サーバーの場合、サーバー(仮想マシン)管理者以外がアクセス可能である場合がある
  9. 9. 9 管理者 物理マシン 仮想マシン サーバー管理者 Yes Yes ストレージ管理者 No Yes ネットワーク管理者 No Yes バックアップオペレーター No Yes 仮想化ホスト管理者 No Yes サーバー管理者以外、データへのアクセス不可能となる。 問題解決 No No No No
  10. 10. 10 仮想ディスクを暗号化したら、 仮想マシンを起動できなくないか? というか、どうやって暗号化するの?
  11. 11. 11  Windows Server 2016 で実装される Host Guardian Service と Windows Server 2016 Hyper-V が連携して実現する、仮想マシンの暗号化ソリューション  仮想マシンには仮想 Trusted Platform Module(TPM) が提供され、vTPM を利用した BitLocker ドライブ暗号化にて、起動ドライブを含むすべての仮想ディスクの保護を実施  仮想マシンの起動キーは Host Guardian Service サーバーで管理され、 Hyper-V ホスト からのキー取得要求を精査し、問題なければキーを発行する  キーを要求する Hyper-V ホストの証明方式 (Attestation Mode) は 『 Hardware Rooted Attestation 』と『 Administrative Based Attestation 』の 2 方式から 選択して実装する
  12. 12. 12  仮想ディスク BitLocker によるディスク暗号化  コンソール Hyper-V マネージャ、SCVMM からの コンソール接続が不可に(操作は全て リモートデスクトップにて実施)  ゲストサービス経由のファイルコピー コピー不可
  13. 13. 13  Enter-PSSession 管理者アカウント、パスワードが判れば Guarded Host からリモート実行可能
  14. 14. 14
  15. 15. 15  Hardware Rooted Attestation (H/W-Trusted) ◦ Hyper-V ホストに H/W(TPM 2.0,UEFI 2.3.1) の実装が必要 ◦ Hardware ベースとなるため、 Hyper-V ホストのPlatform ID をHost Guardian Service に登録する必要あり ◦ コンフィグレーションは複雑になる ◦ サービスプロバイダー向けの実装  Administrative Based Attestation (Admin-Trusted) ◦ AD 間の信頼関係とセキュリティー設定が必要 ◦ コンピューターアカウントをセキュリティーグループに登録し、設定を実施 ◦ 特別な H/W を必要とせず、すべて S/W 設定で実装可能 ◦ 簡単に実装可能 ◦ PoC や 社内システムとして利用する場合を想定
  16. 16. - Domain Controller - Host Guardian Service ・ Attestation Server ・ Key Protection Server Physical or Virtual Domain Controller 16 Internet Virtual Machine Manager Hyper-V Hosts for Shielded VM Shielded VMs Physical Server - Hyper-V host - Remote Server Administration Tools Host Guardian Service contoso-hgs.com Hoster Active Directory contoso.com Tenant Infrastructure fabrikam.com 信頼関係 Service Provider Infrastructure
  17. 17. 17 Attestation Service (IIS WebApp) Key Protection Service (IIS WebApp) Guarded Host (Hyper-V Host) Host Guardian Service node ① Shielded VM 起動 ② Attestation Clientが 認証処理開始 Attestation Protocol REST API ③ Kerberosサービスチケット をホストが提出 ④ グループメンバー を検証 ⑤ 証明書発行
  18. 18. 18  Windows Server 2016 TP2 必須  役割として、以下のものを導入 ◦ Host Guardian Service 同時に以下のものが自動的に導入  .Net Framework 4.6  Active Directory Domain Service  Failover Clustering  Web Server(IIS)  Windows Process Autentication
  19. 19. 19  Windows Server 2016 TP2 必須  役割として、以下のものを導入 ◦ Hyper-V  機能として、以下のものを導入 ◦ Host Guardian Hyper-V Support ◦ Remote Service Administration Tools → Shielded VM Tools
  20. 20. 20  System Center TP2 VMM にて、 HGS に対応  PowerShellだけでも HGS は実装可能 であるため、オプション扱い  Hyper-V ホストのプロパティで設定  Shielded VMのテンプレート展開も可能
  21. 21. 21  Gen2 VM であること  パーティションテーブルが GPT であること  Secure Boot が有効であること  Shielded VM にインストールする OS は Windows Server 2016 TP2 または Windows Server 2012 R2 であること
  22. 22. 22  Host Guardian Service の役割インストール  Host Guardian Service のセットアップ( Install-HgsServer ) ◦ HGS 用 Active Directory Domain Service も、このタイミングでセットアップ  Host Guardian Service の初期化( Initialize-HgsServer ) ◦ HGS Cluster のセットアップも実施  Attestation Mode の設定( Register-HgsAttestation )  Guarded Host のドメインと信頼関係設定  セキュリティーグループの設定とAttestation ポリシーの設定  Key Protection Server 用の証明書の発行  Key Protection Server 用 Web サイトの SSL 設定  Key Protection Server の設定( Register-HgsKeyProtection )  Guarded Host の設定( Import-HgsGuardian / New-HgsKeyProtector)
  23. 23. 23
  24. 24. 24  Attestation Server と Key Protection Server のURL をグローバル設定として一括設定可能 ◦ SCVMM を使用しない場合、各 Guarded Host で『 Set-HgsClientConfiguration 』 Cmdlet にて Attestation Server と Key Protection Server のURL を設定する必要あり → この設定を実施しないと、Live Migration や import/export でエラーが発生する  SCVMM を利用して、Shielded VM をテンプレートから展開することが可能 ◦ 但し、Shielded VM 用にカスタマイズ(署名)した VHDX ファイルが必要になる  テンプレート展開時、パスワードなどの機密情報を VMM コンソール上で入力不要になる ◦ 事前に Unattend.xml を作成、Shielding Data File (.PDK) に組み込むことで実現  Shielding Data File で使用可能な VHDX ファイルを指定することにより、無許可で変更 (もしくは改ざん)された Disk でShielded VM を展開することを防止
  25. 25.  『 Setting 』 → 『 Host Guardian Server Settings 』からグローバル設定として設定  各 Hyper-V ホスト( Guarded Host )から個別設定も可能 → H/W-Trasted の場合は、個別設定をしなければいけない項目が存在 25
  26. 26.  ホストのプロパティで、Guarded Hostとして動作可能かを確認 26
  27. 27. 27  Windows Server 2016 TP2 ないしは Windows Server 2012 R2 のインストール ISO から 初期イメージを抽出(注 1 ) → イメージ抽出は『 Convert-WindowsImage.ps1 』を使用(注 2 )  抽出したイメージに BitLocker の役割を導入( Add-WindowsFeature -Vhd )  テンプレート用 Disk 署名用証明書を生成  TemplateDiskWizard.exe を使用して、テンプレート用 Disk に署名  署名済みテンプレート用 Disk を SCVMM のライブラリにコピー  署名済みテンプレート用 Disk の Volume Signature Catalog(.vsc) を作成 ( Get-SCVolumeSignatureCatalog )  署名済みテンプレート用 Disk を使用して、仮想マシンテンプレートを作成
  28. 28. 28  テンプレート用 Disk 署名ツール  署名する証明書と Disk の名前、バージョンを指定して実行  ここで指定した証明書、 Disk 名等がテンプレート用 Disk の識別子として使用される
  29. 29. 29  (注 1 ) TP2 では、Sysprep 済み カスタム VM からテンプレートを作成不可 → Sysprep 済み Disk を TemplateDiskWizard.exe で署名しようとするとエラーが発生 → Step-by-Step ガイド (Ver.1.3) には『 TP2 に限っては、イメージ抽出が必要』と記載  (注 2 ) Convert-WindowsImage.ps1 は、英語環境のみ動作? → 日本語環境で実行するとエラー発生、英語環境では正常終了
  30. 30. 30  VM 作成用の Unattend.xml を作成 ◦ 以下のものを Unattend.xml 内で指定可能  Administrator パスワード  ドメイン参加する場合のドメイン名、および参加するためのユーザー名/パスワード  リモートデスクトップ接続の有効化  Windows Firewall 設定  コンピューター名( SCVMM 側からの設定を引き継ぐことも可能)  タイムゾーン( SCVMM 側からの設定を引き継ぐことも可能)  その他言語設定等  Shielding Data File (.PDK) の作成
  31. 31. 31  テンプレートから Shielded VM を展開する際に使用する、 Unattend.xml などを指定した Shielding Data File (.PDK) を作成するためのツール  テンプレート展開時に使用するテンプレート用 Disk を、 Volume Signature Catalog(.VSC) ファイルを使用して 指定する  バージョンに関しては、『 Equals 』『 Grater than 』 『 At least 』が指定可能で、条件に一致した Disk を 使用可能
  32. 32. 32  パスワード、ファイヤーウォール設定などのセットアップ情報が記載された Unattend.xml と同時配布するファイルを指定。以下の例ではリモートデスクトップ用の証明書を配布  Win32_TSGeneralSetting を設定すると、以下のようにRDP接続時の証明書を設定可能
  33. 33. 33  OS 設定の項目で、設定可能な項目が通常のテンプレート展開時と比べて少なくなってい ることが確認できる これは、パスワード等の機密情報を入力できないようにするための処置 通常展開時 Shielded VM 展開時
  34. 34. 34  次の画面で、 VM 管理者が作成したShielding Data File (.PDK) を指定する画面になるので、 あらかじめ作成した pdk ファイルを指定する パスワード等は、すべて pdk の設定が反映される
  35. 35. 35  SCVMMを使用したテンプレート展開をする場合、 IP Pool からの静的 IP Address が設定 不可 → VMMコンソール上、 IP Address が割り当てられているようにみえるが、実際には 設定されていない →別途 DHCP Serverが必要  Guarded Host の Disk I/O 性能によっては、VM 作成にかかる時間が 60 分以上かかる場合 がある。その場合、 SCVMM のジョブがタイムアウトで異常終了するので注意が必要  テンプレートで使用している仮想 Disk が、 Shielding Data File 内で指定した Disk 名と バージョンの条件を満たしていない場合、 Shielded VM の作成に失敗するので注意
  36. 36.  VM 、テンプレートともに、プロパティから確認可能 36 VM のプロパティ テンプレートのプロパティ
  37. 37. 37  Shielded VM を検証する際は、環境を構成するすべての Windows Server 2016 TP2 で 最新の Windows Updateを適用すること  冗長化構成は TP2 では構成不可
  38. 38. 38
  39. 39. 39  Shielded VMは、仮想 Disk の暗号化を基軸にした画期的なセキュリティーソリューション です これにより『仮想 Disk そのもの』の持ち去りから発生する情報漏えいを、未然に防止で きます  Hyper-V ベースの Service Provider Cloud を展開している場合、 Shielded VM を導入する ことにより、顧客に堅牢なセキュリティーという付加価値を提供することも可能です  System Center Virtual Machine Manager を合わせて使用する事により、 Shielded VM の 展開もより簡単に実施可能です  機会がありましたら、ぜひ一度テストをしてみてください
  40. 40. 40  Shielded VMs and Guarded Fabric Validation Guide for Windows Server 2016 https://gallery.technet.microsoft.com/Shielded-VMs-and-Guarded-44176db3  Harden the Fabric: Protecting Tenant Secrets in Hyper-V http://channel9.msdn.com/Events/Ignite/2015/BRK3457  Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは http://www.atmarkit.co.jp/ait/articles/1506/15/news009.html
  41. 41. 41

×