scugj第14回勉強会:shielded vmってなに?
TRANSCRIPT
SCUGJ 第14回勉強会
2015/12/19
System Center User Group Japan
後藤諭史(Satoshi GOTO)
後藤諭史( Satoshi GOTO )
某 ISP 所属。
仮想化製品が主な専門分野です。
Microsoft MVP - System Center Cloud and Datacenter Management
(Jul.2012 - Jun.2016)
TwitterとBlogはこちら◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます)
2
3
Shielded VM って、前に聞いた
4http://www.slideshare.net/wind06106/interact-2015hostguardianservice
5
機能詳細と
管理者ビューとユーザービューの話は
60 分だと無理
6
Windows Server 2016Standard and Datacenter Editions Licensing Datasheet
http://download.microsoft.com/download/7/2/9/7290EA05-DC56-4BED-9400-138C5701F174/WS2016LicensingDatasheet.pdf
Windows Server containers とかと並ぶ新規実装機能の一つ
Datacenter Edition のみで利用可能な機能
……というわけで
SCUGJ 第14回勉強会
2015/12/19
System Center User Group Japan
後藤諭史(Satoshi GOTO)
セッションの目的◦ Windows Server 2016 にて実装される新たなセキュリティー機能である『 Shielded VM 』に関して、利用者として利用可能な機能をご理解いただく。
◦ 『 Shielded VM 』で保護されるもの、並びにポイントをご理解いただく。
セッションのゴール◦ 『 Shielded VM 』が提供するセキュリティー保護機能で、ユーザーが得られるメリットを説明できる。
8
Shielded VM ってなに?
ユーザーインターフェースと Shielded VM の展開
まとめ
9
本セッション資料ですが、個人で準備した環境において、個人的に実施した検証/結果を基に記載しています。
あくまで個人の意見/見解であり、所属する会社/組織及びマイクロソフト社とは『まったく/なにも/全然』関係がございません。
所属する会社/組織/マイクロソフト社の正式な回答/見解ではない事に留意してください。
また、本資料を閲覧した事により問題が生じた場合、または問題が発生しかけた場合、または生じた一切の不利益について、発表者は一切の責任を負う事はできませんのでご了承ください。
10
本セッションは Windows Server 2016 Technical Preview 3 (#10514) およびSystem Center 2016 Technical Preview 3 Virtual Machine Manager (#3.2.9362.0) での検証結果を基に記載しています。
今後、仕様および機能は変更される可能性があります。
11
12
13
情報システムをプライベートクラウドに移行、物理サーバーが全て VM に
財務会計データとか特許データとか重要データてんこ盛りの VM がいっぱい
セキュリティーを意識して、プライベートクラウドの管理者と VM の管理者は分離
ところが、ある日こんな事件が……
クラウド管理者権限が奪取されて、
仮想ディスクそのものが外部漏洩
14
えぇ――――っ!!
ミ~ ̄ ̄ ̄\/ ____亅
/ > ⌒ ⌒||/ (・) (・)|(6――○-○-|| つ || ___)/\ (_/ //\__/
/ \><∧/ / V||
/_/ |||⊂ニu\__/Lu⊃
| / /| / /| / /(ニフフ
フツーにマウントすれば、なか丸見え
15
Windows Server 2016 で実装される Host Guardian Service とWindows Server 2016 Hyper-V が連携して実現する、VM レベルの暗号化ソリューション
仮想マシンには仮想 Trusted Platform Module(TPM) が提供され、vTPM を利用したBitLockerドライブ暗号化にて、起動ドライブを含むすべての仮想 Diskの保護を実施
Host Guardian Service サーバー配下の Hyper-V ホストでのみ、VM が起動可能に(注:一部例外あり(後述))
BitLocker ドライブ暗号化された仮想 Disk は、別のサーバー/ PC でマウントしても読み出し不可。単純に VM に接続しても起動不可
16
17
仮想ディスク
BitLocker によるディスク暗号化
コンソール
Hyper-V マネージャ、SCVMM からのコンソール接続が不可に(操作は全てリモートデスクトップにて実施)
ゲストサービス経由のファイルコピー
コピー不可
18
Enter-PSSession
管理者アカウント、パスワードが判れば Guarded Host からリモート実行可能
19
- Domain Controller
- Host Guardian Service
・ Attestation Server
・ Key Protection Server
Physical or VirtualDomain Controller
20
Internet
Virtual Machine Manager
Hyper-V Hosts
for
Shielded VM
Shielded VMs
Physical Server
- Hyper-V host
- Remote Server
Administration Tools
Host Guardian Service
contoso-hgs3.com
Hoster Active Directory
contoso.com
Tenant Infrastructure
fabrikam.com
信頼関係
Service Provider
Infrastructure
21
System Center 2016 Virtual Machine Manager
◦ VMM コンソール
◦ VMM 管理サーバーへコンソール接続 (8100/TCP) 可能な経路が必要
Windows Azure Pack
◦ Update Rollup 7.1 以降で対応(プレビュー扱い)
◦ Web Interface によるアクセスが可能
◦ 操作が Azure (旧ポータル)ライクで簡単今回はこちらを紹介
22
Shielded VM のテンプレート展開
Shielded VM を展開する際に必要なファイルのダウンロードとアップロード
◦ Volume signature catalog (.VSC) ファイルのダウンロード
◦ Protected data file(.PDK) ファイルのアップロード
既存 VM の Shielded VM 化(既存仮想ディスクの暗号化)
◦ Windows Server 2016 TP
◦ Windows Server 2012 R2
23
※基本的には Host Guardian Service を提供するプロバイダー側にて、Shielded VM 対応VM テンプレートを準備することになるので、参考程度
Gen2 VM であること
パーティションテーブルが GPT であること
Secure Boot が有効であること
Shielded VM にインストールする OS は Windows Server 2016 TP またはWindows Server 2012 R2 であること
24
テナント側 Host Guardian Service 用証明書の作成
プロバイダー提供 Host Guardian Service 証明書の登録
Unattend.xml の作成
リモートデスクトップ接続用証明書の作成
(以上、事前準備完了済み)
Volume signature catalog (.VSC) ファイルのダウンロード
Protected data file(.PDK) ファイルの作成
◦ 使用する VM テンプレートの指定( .VSC ファイルの指定)
◦ Unattend.xml /リモートデスクトップ接続用証明書の登録
Protected data file(.PDK) ファイルのアップロード
Shielded VM の VM テンプレートからの展開
25
Shielded VM 作成用の Unattend.xml を作成
◦ 以下のものを Unattend.xml 内で指定可能
Administrator パスワード
ドメイン参加する場合のドメイン名、および参加するためのユーザー名/パスワード
リモートデスクトップ接続の有効化
Windows Firewall 設定
コンピューター名( SCVMM 側からの設定を引き継ぐことも可能)
タイムゾーン( SCVMM 側からの設定を引き継ぐことも可能)
その他言語設定等
Shielding Data File (.PDK) の作成時に指定/登録
26
27
テンプレートから Shielded VM を展開する際に使用する、Unattend.xml 等の VM を展開する際に必要な各種情報を保存したファイルのこと
ShieldingDataFileWizard.exe にて作成(当該ツールはRemote Server Administration
Tools(RSAT) にも同梱)
28
Volume Signature Catalog(.VSC) ファイルとは、プロバイダーが提供する、仮想 Disk を識別するための署名ファイルのこと
プロバイダーが提供する仮想 Disk ごとに存在
テンプレート展開時に使用するテンプレート用仮想 Disk を、.VSC ファイルを使用して指定する
作成される Protected data file(.PDK) ファイルは、ここで指定した仮想ディスク以外を使用してVM を展開することができない
29
パスワード、ファイヤーウォール設定などのセットアップ情報が記載された Unattend.xmlと同時配布するファイルを指定。
以下の例ではリモートデスクトップ用の証明書を配布
30
作成された .PDK ファイルは暗号化が実施されており、パスワード等が記載されたUnattend.xml は読み取ることが不可能となっている
31
32
アップロードした .PDK ファイルを選択
.VSC ファイルにて指定した仮想 Disk を使用した VM テンプレートを指定
33
VMM 管理サーバーにて一括管理
ユーザー側では権限がある .PDK ファイルのみ表示
34
35
アップロードした .PDK ファイルを選択
前提として、 Shielded VM の要件を満たした VM であること
36
37
インポートして起動しても、以下のようなエラーが出て、起動しません
テナント側 Host Guardian Service 用証明書が登録された Hyper-V ホストであれば、正しくエクスポートされた VM をインポートすることにより、VM を稼働させることが可能です
→ 但し、仮想ディスクから VM を新規作成したものは、上記環境でも動作不可
38
39
Shielded VMは、仮想 Disk の暗号化を基軸にした画期的なセキュリティーソリューションですこれにより『仮想 Disk そのもの』の持ち去りから発生する情報漏えいを、未然に防止できます
Windows Azure Pack を利用することにより、ユーザー視点からは『 Shielded VM である』ことを特段意識することなく、通常の VM と同じように扱うことが可能です
機会がありましたら、ぜひ一度テストをしてみてください
40
Shielded VMs and Guarded Fabric Validation Guide for Windows Server 2016 (TPM)https://gallery.technet.microsoft.com/Shielded-VMs-and-Guarded-44176db3
Shielded VMs and Guarded Fabric Validation Guide for Windows Server 2016 (Admin)https://gallery.technet.microsoft.com/Shielded-VMs-and-Guarded-8f51568f
Harden the Fabric: Protecting Tenant Secrets in Hyper-Vhttp://channel9.msdn.com/Events/Ignite/2015/BRK3457
Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとはhttp://www.atmarkit.co.jp/ait/articles/1506/15/news009.html
41