Geschütztes Fabric und abgeschirmte VMs: Planungshandbuch für Mandanten

Dieses Thema richtet sich an VM-Besitzer, die ihre virtuellen Computer (VMs) zum Zweck der Compliance und Sicherheit schützen möchten. Unabhängig davon, ob die VMs im geschützten Fabric eines Hostinganbieters oder in einem privaten geschützten Fabric ausgeführt werden, müssen VM-Besitzer die Sicherheitsstufe ihrer abgeschirmten VMs steuern – dies umfasst auch die Fähigkeit, sie bei Bedarf zu entschlüsseln.

Beim Verwenden von abgeschirmten VMs müssen drei Bereiche berücksichtigt werden:

  • Die Sicherheitsstufe für die VMs
  • Die kryptografischen Schlüssel, die zu ihrem Schutz verwendet werden
  • Geschützte Daten: vertrauliche Informationen, die beim Erstellen abgeschirmter VMs verwendet werden

Sicherheitsstufe für die VMs

Bei der Bereitstellung abgeschirmter VMs muss eine von zwei Sicherheitsstufen ausgewählt werden:

  • Geschützt
  • Verschlüsselungsunterstützung

Sowohl an abgeschirmte VMs als auch an VMs mit Verschlüsselungsunterstützung ist ein virtuelles Trusted Platform Module (TPM) angefügt, und VMs, auf denen Windows ausgeführt wird, sind durch BitLocker geschützt. Der wesentliche Unterschied besteht darin, dass abgeschirmte VMs den Zugriff durch Fabricadministratoren blockieren, während VMs mit Verschlüsselungsunterstützung Fabricadministratoren dieselbe Zugriffsebene gestatten, die sie auch auf einer normalen VM hätten. Weitere Details zu diesen Unterschieden finden Sie unter Übersicht über geschütztes Fabric und abgeschirmte VMs.

Wählen Sie Abgeschirmte VMs aus, wenn Sie die VM vor einem kompromittierten Fabric schützen müssen (einschließlich kompromittierter Administratoren). Solche VMs sollten in Umgebungen verwendet werden, in denen Fabricadministratoren und dem Fabric selbst nicht vertraut wird. Wählen Sie VMs mit Verschlüsselungsunterstützung aus, wenn Sie Complianceanforderungen erfüllen müssen, die sowohl eine Verschlüsselung im Ruhezustand als auch eine Verschlüsselung von verbundenen VMs (z. B. während einer Livemigration) erfordern.

VMs mit Verschlüsselungsunterstützung eignen sich ideal für Umgebungen, in denen Fabricadministratoren vollständig vertraut wird, die Verschlüsselung aber weiterhin eine Anforderung ist.

Sie können eine Kombination aus normalen VMs, abgeschirmten VMs und VMs mit Verschlüsselungsunterstützung in einem geschützten Fabric und sogar auf ein und demselben Hyper-V-Host ausführen.

Ob eine VM abgeschirmt ist oder Verschlüsselungsunterstützung bietet, wird durch die geschützten Daten bestimmt, die beim Erstellen der VM ausgewählt werden. VM-Besitzer konfigurieren die Sicherheitsstufe beim Erstellen der geschützten Daten (siehe Abschnitt Geschützte Daten). Beachten Sie, dass diese Auswahl nicht geändert werden kann, solange die VM im Virtualisierungsfabric verbleibt.

Für abgeschirmte VMs verwendete Kryptografieschlüssel

Abgeschirmte VMs werden mit verschlüsselten Datenträgern und verschiedenen anderen Verschlüsselungselementen vor Angriffsvektoren in einem Virtualisierungsfabric geschützt. Diese Datenträger und Elemente können nur mit Folgendem entschlüsselt werden:

  • Besitzerschlüssel: Dies ist ein Kryptografieschlüssel, der vom VM-Besitzer verwaltet und in der Regel als letzte Maßnahme zur Wiederherstellung oder Problembehandlung verwendet wird. VM-Besitzer sind dafür verantwortlich, dass ihre Besitzerschlüssel an einem sicheren Speicherort aufbewahrt werden.
  • Mindestens eine Überwachung (Hostüberwachungsschlüssel): Jeder Wächter repräsentiert ein Virtualisierungsfabric, in dem ein Besitzer die Ausführung geschützter VMs autorisiert hat. Unternehmen verfügen häufig über ein primäres Virtualisierungsfabric und ein Virtualisierungsfabric für die Notfallwiederherstellung und autorisieren ihre abgeschirmten VMs in der Regel für die Ausführung in beiden Fabrics. In einigen Fällen wird das sekundäre Fabric für die Notfallwiederherstellung von einem öffentlichen Cloudanbieter gehostet. Die privaten Schlüssel für jedes geschützte Fabric werden nur im Virtualisierungsfabric verwaltet, während die öffentlichen Schlüssel heruntergeladen werden können und im zugehörigen Überwachungsdienst enthalten sind.

Wie werden Besitzerschlüssel erstellt? Ein Besitzerschlüssel wird durch zwei Zertifikate repräsentiert: ein Zertifikat für die Verschlüsselung und ein Zertifikat für die Signatur. Sie können diese beiden Zertifikate mithilfe Ihrer eigenen PKI-Infrastruktur erstellen oder SSL-Zertifikate von einer öffentlichen Zertifizierungsstelle (Certificate Authority, CA) abrufen. Zu Testzwecken können Sie auch ein selbstsigniertes Zertifikat auf jedem Computer erstellen, auf dem Windows 10 oder höher oder Windows Server 2016 oder höher ausgeführt wird.

Wie viele Besitzerschlüssel sollten Sie haben? Sie können einen einzelnen oder mehrere Besitzerschlüssel verwenden. Als Best Practice empfiehlt sich die Verwendung eines einzelnen Besitzerschlüssels für eine Gruppe von VMs mit derselben Sicherheits-, Vertrauens- oder Risikostufe und für die administrative Kontrolle. Sie können einen einzelnen Besitzerschlüssel auf Ihren sämtlichen in die Domäne eingebundenen abgeschirmten VMs nutzen und den Besitzerschlüssel für die Verwaltung durch die Domänenadministratoren hinterlegen.

Kann ich meine eigenen Schlüssel für die Hostüberwachung verwenden? Ja, Sie können dem Hostinganbieter eigene Schlüssel zur Verfügung stellen und diese für Ihre abgeschirmten VMs verwenden. Dadurch können Sie Ihre spezifischen Schlüssel verwenden (im Gegensatz zu Hostinganbieterschlüsseln), wenn Sie bestimmte Sicherheitsanforderungen oder andere Vorschriften einhalten müssen. Aus Gründen der Schlüsselhygiene sollten sich die Hostüberwachungsschlüssel von den Besitzerschlüsseln unterscheiden.

Geschützte Daten

Geschützte Daten enthalten die Geheimnisse, die zum Bereitstellen von abgeschirmten VMs oder VMs mit Verschlüsselungsunterstützung erforderlich sind. Sie werden auch beim Konvertieren von normalen VMs zu abgeschirmten VMs verwendet.

Geschützte Daten werden mithilfe des Assistenten für geschützte Datendateien erstellt und in PDK-Dateien gespeichert, die VM-Besitzer in das geschützte Fabric hochladen.

Abgeschirmte VMs helfen beim Schutz vor Angriffen aus einem kompromittierten Virtualisierungsfabric. Daher wird ein sicherer Mechanismus benötigt, um vertrauliche Initialisierungsdaten zu übergeben – z. B. das Administratorkennwort, die Anmeldeinformationen für den Domänenbeitritt oder RDP-Zertifikate –, ohne dass diese dem Virtualisierungsfabric selbst oder den Fabricadministratoren angezeigt werden. Darüber hinaus enthalten geschützte Daten die folgenden vier Elemente:

  1. Sicherheitsstufe: abgeschirmt oder mit Verschlüsselungsunterstützung
  2. Besitzer und Liste vertrauenswürdiger Hostüberwachungen, in denen die VM ausgeführt werden kann
  3. Initialisierungsdaten für virtuelle Computer (unattend.xml, RDP-Zertifikat)
  4. Liste der vertrauenswürdigen signierten Vorlagendatenträger zum Erstellen der VM in der Virtualisierungsumgebung

Wenn Sie eine abgeschirmte VM oder eine VM mit Verschlüsselungsunterstützung erstellen oder eine vorhandene VM konvertieren, werden Sie nicht aufgefordert, vertrauliche Informationen einzugeben, sondern Sie werden aufgefordert, die geschützten Daten auszuwählen.

Wie viele geschützte Datendateien werden benötigt? Eine einzige geschützte Datendatei kann für alle abgeschirmten VMs verwendet werden. Wenn jedoch eins der vier Elemente für eine bestimmte abgeschirmte VM anders konfiguriert werden muss, ist eine zusätzliche geschützte Datendatei erforderlich. Ein Beispiel: Sie richten eine geschützte Datendatei für Ihre IT-Abteilung und eine andere geschützte Datendatei für die Personalabteilung ein, weil das anfängliche Administratorkennwort und die RDP-Zertifikate dieser Abteilungen unterschiedlich sind.

Die Verwendung separater geschützter Datendateien für jede abgeschirmte VM ist zwar möglich, aber nicht unbedingt die optimale Wahl und sollte aus den richtigen Gründen erfolgen. Wenn beispielsweise für jede abgeschirmte VM ein anderes Administratorkennwort erforderlich ist, erwägen Sie stattdessen einen Kennwortverwaltungsdienst oder ein Tool wie die Local Administrator Password Solution (LAPS) von Microsoft.

Erstellen einer abgeschirmten VM in einem Virtualisierungsfabric

Es gibt mehrere Optionen zum Erstellen einer abgeschirmten VM in einem Virtualisierungsfabric (Folgendes gilt sowohl für abgeschirmte VMs als auch für VMs mit Verschlüsselungsunterstützung):

  1. Erstellen einer abgeschirmten VM in Ihrer Umgebung und Hochladen der VM in das Virtualisierungsfabric
  2. Erstellen einer neuen abgeschirmten VM aus einer signierten Vorlage im Virtualisierungsfabric
  3. Schützen einer vorhandenen VM (die vorhandene VM muss Generation 2 sein und Windows Server 2012 oder höher ausführen)

Das Erstellen neuer VMs aus einer Vorlage ist die gängige Praxis. Da sich jedoch der Vorlagendatenträger, der zum Erstellen neuer abgeschirmter VMs verwendet wird, im Virtualisierungsfabric befindet, sind zusätzliche Maßnahmen erforderlich, um sicherzustellen, dass der Datenträger nicht durch einen böswilligen Fabricadministrator oder durch im Fabric ausgeführte Schadsoftware manipuliert wurde. Dieses Problem wird durch die Verwendung signierter Vorlagendatenträger gelöst: Diese Datenträger und ihre Datenträgersignaturen werden von vertrauenswürdigen Administratoren oder dem VM-Besitzer erstellt. Bei der Erstellung einer abgeschirmten VM wird die Signatur des Vorlagendatenträgers mit den Signaturen verglichen, die in der angegebenen geschützten Datendatei enthalten sind. Wenn eine der Signaturen in der Datendatei mit der Signatur des Vorlagendatenträgers übereinstimmt, wird der Bereitstellungsprozess fortgesetzt. Wenn keine Übereinstimmung gefunden werden kann, wird der Bereitstellungsprozess abgebrochen. So wird sichergestellt, dass VM-Geheimnisse nicht aufgrund eines nicht vertrauenswürdigen Vorlagendatenträgers kompromittiert werden.

Bei der Verwendung signierter Vorlagendatenträger zum Erstellen abgeschirmter VMs stehen zwei Optionen zur Verfügung:

  1. Verwenden Sie einen vorhandenen signierten Vorlagendatenträger, der von Ihrem Virtualisierungsanbieter bereitgestellt wird. In diesem Fall verwaltet der Virtualisierungsanbieter die signierten Vorlagendatenträger.
  2. Laden Sie einen signierten Vorlagendatenträger in das Virtualisierungsfabric hoch. Der VM-Besitzer ist für die Verwaltung signierter Vorlagendatenträger verantwortlich.