随着Windows Server 2019,微软将增强其在Windows Server 2016中引入的屏蔽虚拟机安全控制的弹性和冗余。
屏蔽虚拟机最初提供了一种通过将虚拟机资产与虚拟机监控程序基础设施隔离来保护虚拟机资产的方法,还可以帮助向审计人员证明系统已经得到了充分的隔离和控制。现在,windows Server 2019中的屏蔽VM增强提供了实时故障恢复配置和基于主机和策略的安全改进。
主机密钥认证
在Windows Server 2016下,密钥认证基于可信平台模块(trusted platform module, TPM)加密处理器和微软Active Directory认证。这两种方法都是很好的解决方案,但是当涉及到可扩展性和冗余性时,它们受到了限制。
添加到Windows Server 2019的主机密钥认证提供了一个基于证书的解决方案,允许组织使用标准的证书存储机制存储密钥。希望将屏蔽的vm隔离到基于tpm的系统的组织可以继续使用基于tpm的认证。
主机密钥认证不再受Active Directory或基于tpm环境的范围限制,它为屏蔽虚拟机开辟了新的场景。这包括扩大屏蔽虚拟机的规模以及改进屏蔽虚拟机的冗余。
退回的配置
在Windows Server 2016中引入了主机保护服务(HGS),用于配置保护主机和屏蔽虚拟机,并提供运行屏蔽虚拟机所需的认证和密钥保护。当HGS无法访问,并且一个被屏蔽的VM系统需要引导时,Windows Server 2019中的故障恢复配置为HGS冗余提供了一个额外的层。可以将屏蔽VM环境配置为拥有一个主HGS服务器和一个辅助HGS服务器,这样,如果主HGS服务器关闭,屏蔽VM就会到达辅助HGS服务器,对引导进程进行身份验证。
这可以解决远程/分支办公室的情况,即严重停机导致服务器关闭,重新启动时本地HGS服务器还没有联机或可能处于严重故障状态,但远程办公室需要启动并运行其系统。
使用故障恢复配置,当分支办公室系统尝试到本地HGS服务器进行身份验证并失败时,系统将跨WAN到达主数据中心HGS服务器进行身份验证,以便引导可以继续进行。这种弹性是可选的配置。
改进了屏蔽虚拟机的工具和策略
Windows Server 2019中的屏蔽VM包括许多可用的工具和策略的改进。