Рекомендации для филиалов

В этой статье описаны рекомендации по запуску экранированных виртуальных машин в филиалах и других удаленных сценариях, в которых узлы Hyper-V могут иметь периоды времени с ограниченным подключением к HGS.

Резервная конфигурация

Начиная с Windows Server версии 1709, можно настроить дополнительный набор URL-адресов службы защиты узлов на узлах Hyper-V, если основной HGS не отвечает. Это позволяет запускать локальный кластер HGS, который используется в качестве основного сервера для повышения производительности с возможностью вернуться к HGS корпоративного центра обработки данных, если локальные серверы отключены.

Чтобы использовать резервный вариант, необходимо настроить два сервера HGS. Они могут запускать Windows Server 2019 или Windows Server 2016 и быть частью одного или нескольких кластеров. Если они являются разными кластерами, необходимо установить операционные методики, чтобы обеспечить синхронизацию политик аттестации между двумя серверами. Они оба должны иметь возможность правильно авторизовать узел Hyper-V для запуска экранированных виртуальных машин и иметь ключ, необходимый для запуска экранированных виртуальных машин. Вы можете выбрать пару общих сертификатов шифрования и подписывания между двумя кластерами или использовать отдельные сертификаты и настроить экранированную виртуальную машину HGS для авторизации обоих хранителей (пары сертификатов шифрования и подписывания) в файле данных экранирования.

Затем обновите узлы Hyper-V до Windows Server версии 1709 или Windows Server 2019 и выполните следующую команду:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Чтобы не настроить резервный сервер, просто опустим оба резервных параметра:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Чтобы узел Hyper-V прошел аттестацию как с основными, так и резервными серверами, необходимо убедиться, что данные аттестации актуальны как с кластерами HGS. Кроме того, сертификаты, используемые для расшифровки доверенного платформенного модуля виртуальной машины, должны быть доступны в обоих кластерах HGS. Вы можете настроить каждый HGS с различными сертификатами и настроить виртуальную машину для доверия обоим или добавить общий набор сертификатов в оба кластера HGS.

Дополнительные сведения о настройке HGS в филиале с помощью резервных URL-адресов см. в записи блога о поддержке экранированных виртуальных машин в Windows Server версии 1709.

Автономный режим

Автономный режим позволяет экранируемой виртуальной машине включаться, если не удается достичь HGS, если конфигурация безопасности узла Hyper-V не изменилась. В автономном режиме выполняется кэширование специальной версии защиты ключа доверенного платформенного модуля виртуальной машины на узле Hyper-V. Средство защиты ключей шифруется до текущей конфигурации безопасности узла (с помощью ключа удостоверения безопасности на основе виртуализации). Если узел не может взаимодействовать с HGS и его конфигурацией безопасности не изменился, он сможет использовать кэшированный средство защиты ключей для запуска экранированного виртуальной машины. При изменении параметров безопасности в системе, таких как новая политика целостности кода, применяемая или отключаемая безопасная загрузка, кэшированные средства защиты ключей будут недействительными, а узел должен будет подтвердить наличие HGS, прежде чем все экранированные виртуальные машины могут быть запущены в автономном режиме.

В автономном режиме требуется предварительная версия сборки 17609 или более поздней версии для кластера службы защиты узлов и узла Hyper-V. Он управляется политикой в HGS, которая по умолчанию отключена. Чтобы включить поддержку автономного режима, выполните следующую команду на узле HGS:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Так как кэшируемые средства защиты ключей уникальны для каждой экранируемой виртуальной машины, необходимо полностью завершить работу (не перезапустить) и запустить экранированные виртуальные машины, чтобы получить кэшируемый предохранитель ключей после включения этого параметра в HGS. Если экранированная виртуальная машина переносится на узел Hyper-V с более старой версией Windows Server или получает новый защищенный ключ из более старой версии HGS, он не сможет запускаться в автономном режиме, но может продолжать работать в режиме в сети, когда доступ к HGS доступен.