Considerações das filiais

Este artigo descreve práticas recomendadas para a execução de máquinas virtuais blindadas em filiais e em outros cenários remotos em que os hosts do Hyper-V podem ter períodos de tempo com conectividade limitada para HGS.

Configurações de fallback

A partir da versão 1709 do Windows Server, você pode configurar um conjunto adicional de URLs do Serviço Guardião de Host em hosts Hyper-V para uso quando o HGS primário não responder. Isso permite que você execute um cluster HGS local, que é usado como um servidor primário para melhorar o desempenho, com a capacidade de fazer fallback para o HGS do datacenter corporativo se os servidores locais estiverem inativos.

Para usar a opção de fallback, você precisará configurar dois servidores HGS. Eles podem executar o Windows Server 2019 ou o Windows Server 2016 e fazer parte dos mesmos clusters ou diferentes. Se forem clusters diferentes, você desejará estabelecer práticas operacionais para garantir que as políticas de atestado estejam em sincronia entre os dois servidores. Ambos precisam ser capazes de autorizar corretamente o host Hyper-V para executar VMs blindadas e ter o material de chave necessário para iniciar as VMs blindadas. Você pode optar por ter um par de certificados compartilhados de criptografia e assinatura entre os dois clusters ou usar certificados separados e configurar a VM blindada do HGS para autorizar os dois guardiões (pares de certificados de criptografia/assinatura) no arquivo de dados de blindagem.

Em seguida, atualize seus hosts Hyper-V para o Windows Server versão 1709 ou o Windows Server 2019 e execute o seguinte comando:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Para desconfigurar um servidor de fallback, basta omitir ambos os parâmetros de fallback:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Para que o host Hyper-V passe o atestado com os servidores primário e de fallback, você precisará garantir que suas informações de atestado sejam atualizadas com os dois clusters HGS. Além disso, os certificados usados para descriptografar o TPM da máquina virtual precisam estar disponíveis em ambos os clusters HGS. Você pode configurar cada HGS com certificados diferentes e configurar a VM para confiar em ambos ou adicionar um conjunto compartilhado de certificados a ambos os clusters HGS.

Para obter informações adicionais sobre como configurar o HGS em uma filial usando URLs de fallback, confira a postagem no blog Suporte aprimorado a filiais para VMs blindadas no Windows Server, versão 1709.

Modo offline

O modo offline permite que sua VM blindada seja ativada quando o HGS não puder ser alcançado, desde que a configuração de segurança do host Hyper-V não tenha sido alterada. O modo offline funciona armazenando em cache uma versão especial do protetor de chave TPM da VM no host Hyper-V. O protetor de chave é criptografado para a configuração de segurança atual do host (usando a chave de identidade de Segurança Baseada em Virtualização). Se o host não conseguir se comunicar com o HGS e sua configuração de segurança não tiver sido alterada, ele poderá usar o protetor de chave armazenado em cache para iniciar a VM blindada. Quando as configurações de segurança forem alteradas no sistema, como uma nova política de integridade de código sendo aplicada ou a Inicialização Segura sendo desabilitada, os protetores de chave armazenados em cache serão invalidados e o host terá que atestar com um HGS antes que qualquer VM blindada possa ser iniciada offline novamente.

O modo offline requer o build 17609 do Insider Preview ou mais recente para o cluster do Serviço Guardião de Host e o host Hyper-V. Ele é controlado por uma política no HGS, que está desabilitada por padrão. Para habilitar o suporte para o modo offline, execute o seguinte comando em um nó HGS:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Como os protetores de chave em cache são exclusivos para cada VM blindada, você precisará desligar totalmente (não reiniciar) e iniciar suas VMs blindadas para obter um protetor de chave em cache depois que essa configuração for habilitada no HGS. Se a VM blindada migrar para um host Hyper-V executando uma versão mais antiga do Windows Server ou obter um novo protetor de chave de uma versão mais antiga do HGS, ela não poderá ser iniciada no modo offline, mas poderá continuar em execução no modo online quando o acesso ao HGS estiver disponível.