Hyper-V mit Host Guardian Service absichern

Der Betrieb von Hyper-V in Unternehmen erlaubt die Virtualisierung und damit auch Skalierung an­gebotener Dienste. Hyper-V-Cluster erhöhen dabei die Verfügbarkeit der einzelnen VMs. Allerdings öffnet der Betrieb auch Möglichkeiten für Angreifer, um von nur einem Host unterschiedliche Dienste anzugreifen, die sonst auf unterschiedlichen Bare-Metal-Maschinen liegen würden. Unterschiedliche Administratorgruppen benötigen Zugriff auf Hyper-V-Hosts.

Je nach Größe Ihres Unternehmens haben Sie etwa Netzwerk-, Backup- oder Speicheradministratoren. Damit sind auch alle Hyper-V-VMs für diese Gruppen zugänglich. Allein der Zugriff auf das virtuelle Festplattenimage in Form von VHD-Dateien genügt, um den in der VM angebotenen Dienst zu kompromittieren. Ein Debugger ermöglicht über VM-Introspection den Blick in die laufenden Maschinen und die darin angebotenen Dienste. Schadsoftware auf dem Host gefährdet damit auch alle laufenden virtuellen Maschinen.

Microsoft verspricht unter dem Begriff "Abgeschirmte VMs" den Schutz der virtuellen Maschinen auf Basis kryptografischer Verfahren und stellt dabei auch die Sicherheit der Host-Systeme auf die Probe. Bereits seit Windows Server 2016 können Sie die dafür benötigte Rolle "Host Guardian Service" (HGS) installieren. Diese ermöglicht Attestation- und Key-Protec-

tion-Services. Bei Attestation handelt es sich um die Zertifizierung der Vertrauenswürdigkeit und Sicherheit der Host-Systeme, sogenannter "Guarded Hosts".

Der Key-Protection-Service verwaltet die kryptografischen Schlüssel, die für den Betrieb der VMs notwendig sind, etwa zur Entschlüsselung der VHDs. So entsteht gemeinsam mit dem seit Windows 10 eingeführten Virtual Secure Mode und einem virtuellen TPM die "Guarded Fabric" für VMs. Dabei empfiehlt Microsoft die redundante Auslegung des HGS auf einem Cluster mit mindestens drei Servern. So stellt der IT-Verantwortliche sicher, dass der

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.