保護されたファブリックとシールドされた VM の計画ガイド (テナント向け)

このトピックでは、コンプライアンスとセキュリティを向上させるために仮想マシン (VM) を保護する VM 所有者を対象として説明します。 VM がホスティング プロバイダーの保護されたファブリックまたはプライベートに保護されたファブリックのどちらで実行されているかにかかわらず、VM 所有者は、シールドされた VM のセキュリティ レベルをコントロールする必要があります。これには、必要に応じて暗号化を解除する機能が含まれます。

シールドされた VM を使用する場合は、次の 3 つの領域を考慮する必要があります。

  • VM のセキュリティ レベル
  • 保護に使用される暗号化キー
  • シールド データ—シールドされた VM の作成に使用される機密情報

VM のセキュリティ レベル

シールドされた VM をデプロイする場合は、次の 2 つのセキュリティ レベルのいずれかを選択する必要があります。

  • [シールド]
  • 暗号化をサポート

シールドされた VM と暗号化がサポートされる VM のどちらにも仮想 TPM がアタッチされ、Windows を実行する VM は BitLocker によって保護されます。 主な違いは、シールドされた VM ではファブリック管理者によるアクセスがブロックされるのに対し、暗号化がサポートされる VM では、ファブリック管理者が通常の VM と同じレベルのアクセスを許可されることです。 これらの違いの詳細については、「保護されたファブリックとシールドされた VM の概要」を参照してください。

侵害されたファブリック (侵害された管理者を含む) から VM を保護する場合は、[シールドされた VM] を選択します。 それらは、ファブリック管理者とファブリック自体が信頼されていない環境で使用する必要があります。 保存時の暗号化と、送信中の VM の暗号化 (ライブ マイグレーション中など) の両方が必要なコンプライアンス水準を満たしたい場合は、[暗号化がサポートされる VM] を選択します。

暗号化がサポートされる VM は、ファブリック管理者が完全に信頼されていても、暗号化が引き続き要件になっている環境に最適です。

保護されたファブリック上で、または同じ Hyper-V ホスト上でも、通常の VM、シールドされた VM、暗号化がサポートされる VM を組み合わせて実行できます。

VM がシールドされているか、暗号化がサポートされているかは、VM の作成時に選択されたシールド データによって決まります。 VM 所有者は、シールド データを作成するときにセキュリティ レベルを構成します (「シールド データ」セクションを参照してください)。 この選択を行った後は、仮想化ファブリックに VM が残っている間は変更できないことに注意してください。

シールドされた VM に使用される暗号化キー

シールドされた VM は、次の方法でのみ解読できる暗号化されたディスクとその他の暗号化された要素を使用して、仮想化ファブリック攻撃ベクトルから保護されます。

  • 所有者キー – これは、VM 所有者によって管理される暗号化キーであり、通常は回復またはトラブルシューティングの最後の手段として使用されます。 VM 所有者は、セキュリティで保護された場所に所有者キーを保持する責任を負います。
  • 1 つまたは複数のガーディアン (ホスト ガーディアン キー) – 各ガーディアンは、所有者がシールドされた VM の実行を承認する仮想化ファブリックを表します。 多くの場合、企業はプライマリとディザスター リカバリー (DR) の両方の仮想化ファブリックを用意しており、シールドされた VM が両方で実行されることを承認します。 場合によっては、セカンダリ (DR) ファブリックがパブリック クラウド プロバイダーによってホストされることがあります。 保護されたファブリックの秘密キーは、仮想化ファブリックにのみ保持されますが、その公開キーはダウンロードしてガーディアンに含めることができます。

所有者キーを作成する方法を教えてください。 所有者キーは、2 つの証明書によって表されます。 暗号化用の証明書と署名用の証明書です。 独自の PKI インフラストラクチャを使用してこれらの 2 つの証明書を作成するか、公開証明機関 (CA) から SSL 証明書を取得することができます。 テストを目的とする場合は、Windows 10 または Windows Server 2016 以降の任意のコンピューターで自己署名証明書を作成することもできます。

所有者キーはいくつ必要ですか? 1 つの所有者キーまたは複数の所有者キーを使用できます。 ベスト プラクティスとしては、同じセキュリティ、信頼、またはリスクのレベルを共有する VM のグループおよび管理者のコントロールのために 1 つの所有者キーを使用することをお勧めします。 ドメインに参加しているすべてのシールドされた VM 用に 1 つの所有者キーを共有し、ドメイン管理者にその所有者キーを管理を任せることができます。

ホスト ガーディアンに独自のキーを使用できますか? はい。ホスティング プロバイダーに "独自のキーを持ち込む" ことができ、そのキーをシールドされた VM 用に使用することができます。 これにより、遵守する必要がある特定のセキュリティまたは規制がある場合に、ホスティング プロバイダーのキーを使用する代わりに、自社の特定のキーを使用できるようになります。 キーの検疫のために、ホスト ガーディアン キーは、所有者キーと異なる必要があります。

シールド データ

シールドデータには、シールドされた VM または暗号化がサポートされる VM をデプロイするために必要なシークレットが含まれています。 また、通常の VM をシールドされた VM に変換するときにも使用されます。

シールド データは、シールド データ ファイル ウィザードを使用して作成され、VM 所有者が保護されたファブリックにアップロードする PDK ファイルに格納されます。

シールドされた VM は、侵害された仮想化ファブリックからの攻撃を防ぐのに役立ちます。そのため、管理者のパスワード、ドメイン参加資格情報、RDP 証明書など、機密性の高い初期化データを、仮想化ファブリック自体またはその管理者に開示することなく渡すための安全メカニズムが必要です。 さらに、シールド データには次のものが含まれます。

  1. セキュリティ レベル – シールドまたは暗号化のサポート
  2. 所有者と、VM を実行できる信頼されたホスト ガーディアンの一覧
  3. 仮想マシンの初期化データ (unattend.xml、RDP 証明書)
  4. 仮想化環境で VM を作成するための、信頼された署名済みテンプレート ディスクの一覧

シールドされた VM または暗号化がサポートされる VM を作成したり、既存の VM を変換したりするときに、機密情報の入力を求められるのではなく、シールド データを選択するように求められます。

必要なシールド データ ファイルの数はいくつですか? 1 つのシールド データ ファイルを使用してすべてのシールドされた VM を作成できます。 ただし、特定のシールドされた VM で 4 つの項目のいずれかが異なっている必要がある場合は、追加のシールド データ ファイルが必要です。 たとえば、IT 部門用に 1 つのシールド データ ファイルがあり、初期管理者パスワードと RDP 証明書が異なっているために、人事部用に別のシールド データ ファイルがある場合があります。

シールドされた VM ごとに個別のシールド データ ファイルを使用できますが、それは必ずしも最適な選択ではなく、適切な理由で実行する必要があります。 たとえば、すべてのシールドされた VM に異なる管理者パスワードが必要な場合は、代わりに、Microsoft のローカル管理者パスワード ソリューション (LAPS) などのパスワード管理サービスやツールを使用することを検討してください。

仮想化ファブリックでシールドされた VM を作成する

仮想化ファブリックにシールドされた VM を作成するには、いくつかのオプションがあります (以下はシールドされた VM と暗号化がサポートされる VM の両方に関連します)。

  1. 環境内にシールドされた VM を作成し、仮想化ファブリックにアップロードする
  2. 仮想化ファブリックで署名済みのテンプレートから新しいシールドされた VM を作成する
  3. 既存の VM をシールドする (既存の VM は第 2 世代である必要があり、Windows Server 2012 以降を実行している必要があります)

テンプレートから新しい VM を作成するのが通常の方法です。 ただし、新しいシールドされた VM の作成に使用するテンプレート ディスクは仮想化ファブリックに存在するため、悪意のあるファブリック管理者またはファブリックで実行されているマルウェアによって改ざんされていないことを確認するために、追加の対策が必要になります。 この問題は、署名付きテンプレート ディスクを使用して解決できます。署名付きテンプレート ディスクとそのディスク署名は、信頼された管理者または VM 所有者によって作成されます。 シールドされた VM が作成されるときには、テンプレート ディスクの署名が、指定されたシールド データ ファイルに含まれる署名と比較されます。 いずれかのシールド データ ファイルの署名がテンプレート ディスクの署名と一致する場合、デプロイ プロセスは続行されます。 一致するものが見つからない場合は、信頼できないテンプレート ディスクが原因で VM シークレットが侵害されないようにするために、デプロイ プロセスが中止されます。

署名付きテンプレート ディスクを使用してシールドされた VM を作成する場合、次の 2 つのオプションを使用できます。

  1. 仮想化プロバイダーによって提供される既存の署名済みテンプレート ディスクを使用する。 この場合、仮想化プロバイダーが署名付きテンプレート ディスクを保持します。
  2. 署名されたテンプレート ディスクを仮想化ファブリックにアップロードする。 VM 所有者が、署名されたテンプレート ディスクを保持する責任を負います。