Hyper-V mit Host Guardian Service absichern

Isoliert

Hyper-V ist heute aus der Virtualisierung von Windows-Umgebungen kaum mehr wegzudenken. In vielen Fällen werden die Maschinen jedoch ohne weitere Schutzmaßnahmen betrieben und sind so offen für unterschiedliche Angriffe aus verschiedenen Richtungen. Der Security-Tipp in diesem Monat ermöglicht Ihnen einen Einblick in den bereits 2016 eingeführten Host Guardian Service von Microsoft und zeigt, wie Sie Ihre Hyper-V-Umgebung effektiv absichern.
Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator dreht sich der Schwerpunkt um das Thema "Server- und ... (mehr)

Der Betrieb von Hyper-V in Unternehmen erlaubt die Virtualisierung und damit auch Skalierung an­gebotener Dienste. Hyper-V-Cluster erhöhen dabei die Verfügbarkeit der einzelnen VMs. Allerdings öffnet der Betrieb auch Möglichkeiten für Angreifer, um von nur einem Host unterschiedliche Dienste anzugreifen, die sonst auf unterschiedlichen Bare-Metal-Maschinen liegen würden. Unterschiedliche Administratorgruppen benötigen Zugriff auf Hyper-V-Hosts.

Je nach Größe Ihres Unternehmens haben Sie etwa Netzwerk-, Backup- oder Speicheradministratoren. Damit sind auch alle Hyper-V-VMs für diese Gruppen zugänglich. Allein der Zugriff auf das virtuelle Festplattenimage in Form von VHD-Dateien genügt, um den in der VM angebotenen Dienst zu kompromittieren. Ein Debugger ermöglicht über VM-Introspection den Blick in die laufenden Maschinen und die darin angebotenen Dienste. Schadsoftware auf dem Host gefährdet damit auch alle laufenden virtuellen Maschinen.

Microsoft verspricht unter dem Begriff "Abgeschirmte VMs" den Schutz der virtuellen Maschinen auf Basis kryptografischer Verfahren und stellt dabei auch die Sicherheit der Host-Systeme auf die Probe. Bereits seit Windows Server 2016 können Sie die dafür benötigte Rolle "Host Guardian Service" (HGS) installieren. Diese ermöglicht Attestation- und Key-Protec-

tion-Services. Bei Attestation handelt es sich um die Zertifizierung der Vertrauenswürdigkeit und Sicherheit der Host-Systeme, sogenannter "Guarded Hosts".

Der Key-Protection-Service verwaltet die kryptografischen Schlüssel, die für den Betrieb der VMs notwendig sind, etwa zur Entschlüsselung der VHDs. So entsteht gemeinsam mit dem seit Windows 10 eingeführten Virtual Secure Mode und einem virtuellen TPM die "Guarded Fabric" für VMs. Dabei empfiehlt Microsoft die redundante Auslegung des HGS auf einem Cluster mit mindestens drei Servern. So stellt der IT-Verantwortliche sicher, dass der

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020