SCUGJ第14回勉強会:Shielded VMってなに?
•
2 likes•2,685 views
What's Shielded VM for 14th SCUGJ study session in Japan
Recommended
Recommended
More Related Content
What's hot
What's hot (14)
Similar to SCUGJ第14回勉強会:Shielded VMってなに?
Similar to SCUGJ第14回勉強会:Shielded VMってなに? (20)
More from wind06106
More from wind06106 (10)
SCUGJ第14回勉強会:Shielded VMってなに?
- 1. SCUGJ 第14回勉強会 2015/12/19 System Center User Group Japan 後藤 諭史(Satoshi GOTO)
- 2. 後藤 諭史( Satoshi GOTO ) 某 ISP 所属。 仮想化製品が主な専門分野です。 Microsoft MVP - System Center Cloud and Datacenter Management (Jul.2012 - Jun.2016) TwitterとBlogはこちら ◦ Twitter:@wind06106/Blog:Tech Notes(http://www.dob1.info :ドタバタしてて更新サボってます) 2
- 6. 6 Windows Server 2016Standard and Datacenter Editions Licensing Datasheet http://download.microsoft.com/download/7/2/9/7290EA05-DC56-4BED-9400-138C5701F174/WS2016LicensingDatasheet.pdf Windows Server containers と かと並ぶ新規実装機能の一つ Datacenter Edition のみで利用可 能な機能 ……というわけで
- 7. SCUGJ 第14回勉強会 2015/12/19 System Center User Group Japan 後藤 諭史(Satoshi GOTO)
- 8. セッションの目的 ◦ Windows Server 2016 にて実装される新たなセキュリティー機能である 『 Shielded VM 』に関して、利用者として利用可能な機能をご理解いただく。 ◦ 『 Shielded VM 』で保護されるもの、並びにポイントをご理解いただく。 セッションのゴール ◦ 『 Shielded VM 』 が提供するセキュリティー保護機能で、ユーザーが得ら れるメリットを説明できる。 8
- 9. Shielded VM ってなに? ユーザーインターフェースと Shielded VM の展開 まとめ 9
- 11. 本セッションは Windows Server 2016 Technical Preview 3 (#10514) および System Center 2016 Technical Preview 3 Virtual Machine Manager (#3.2.9362.0) での検証結果を基に記載してい ます。 今後、仕様および機能は変更される可能性があります。 11
- 12. 12
- 13. 13 情報システムをプライベートクラウドに移行、物理サーバーが全て VM に 財務会計データとか特許データとか重要データてんこ盛りの VM がいっぱい セキュリティーを意識して、プライベートクラウドの管理者と VM の管理者は分離 ところが、ある日こんな事件が…… クラウド管理者権限が奪取されて、 仮想ディスクそのものが外部漏洩
- 14. 14 えぇ――――っ!! ミ~ ̄ ̄ ̄\ / ____亅 / > ⌒ ⌒| |/ (・) (・)| (6――○-○-| | つ | | ___)/ \ (_/ / /\__/ / \><∧ / / V|| /_/ ||| ⊂ニu\__/Lu⊃ | / / | / / | / / (ニフフ フツーにマウントすれば、なか丸見え
- 15. 15 Windows Server 2016 で実装される Host Guardian Service と Windows Server 2016 Hyper-V が連携して実現する、VM レベルの暗号化ソリューション 仮想マシンには仮想 Trusted Platform Module(TPM) が提供され、vTPM を利用した BitLocker ドライブ暗号化にて、起動ドライブを含むすべての仮想 Diskの保護を実施 Host Guardian Service サーバー配下の Hyper-V ホストでのみ、VM が起動可能に (注:一部例外あり(後述)) BitLocker ドライブ暗号化された仮想 Disk は、別のサーバー/ PC でマウントしても読み 出し不可。単純に VM に接続しても起動不可
- 16. 16
- 17. 17 仮想ディスク BitLocker によるディスク暗号化 コンソール Hyper-V マネージャ、SCVMM からの コンソール接続が不可に(操作は全て リモートデスクトップにて実施) ゲストサービス経由のファイルコピー コピー不可
- 18. 18 Enter-PSSession 管理者アカウント、パスワードが判れば Guarded Host からリモート実行可能
- 19. 19
- 20. - Domain Controller - Host Guardian Service ・ Attestation Server ・ Key Protection Server Physical or Virtual Domain Controller 20 Internet Virtual Machine Manager Hyper-V Hosts for Shielded VM Shielded VMs Physical Server - Hyper-V host - Remote Server Administration Tools Host Guardian Service contoso-hgs3.com Hoster Active Directory contoso.com Tenant Infrastructure fabrikam.com 信頼関係 Service Provider Infrastructure
- 21. 21 System Center 2016 Virtual Machine Manager ◦ VMM コンソール ◦ VMM 管理サーバーへコンソール接続 (8100/TCP) 可能な経路が必要 Windows Azure Pack ◦ Update Rollup 7.1 以降で対応(プレビュー扱い) ◦ Web Interface によるアクセスが可能 ◦ 操作が Azure (旧ポータル)ライクで簡単 今回はこちらを紹介
- 22. 22 Shielded VM のテンプレート展開 Shielded VM を展開する際に必要なファイルのダウンロードとアップロード ◦ Volume signature catalog (.VSC) ファイルのダウンロード ◦ Protected data file(.PDK) ファイルのアップロード 既存 VM の Shielded VM 化(既存仮想ディスクの暗号化) ◦ Windows Server 2016 TP ◦ Windows Server 2012 R2
- 23. 23 ※ 基本的には Host Guardian Service を提供するプロバイダー側にて、Shielded VM 対応 VM テンプレートを準備することになるので、参考程度 Gen2 VM であること パーティションテーブルが GPT であること Secure Boot が有効であること Shielded VM にインストールする OS は Windows Server 2016 TP または Windows Server 2012 R2 であること
- 24. 24 テナント側 Host Guardian Service 用証明書の作成 プロバイダー提供 Host Guardian Service 証明書の登録 Unattend.xml の作成 リモートデスクトップ接続用証明書の作成 (以上、事前準備完了済み) Volume signature catalog (.VSC) ファイルのダウンロード Protected data file(.PDK) ファイルの作成 ◦ 使用する VM テンプレートの指定( .VSC ファイルの指定) ◦ Unattend.xml /リモートデスクトップ接続用証明書の登録 Protected data file(.PDK) ファイルのアップロード Shielded VM の VM テンプレートからの展開
- 25. 25 Shielded VM 作成用の Unattend.xml を作成 ◦ 以下のものを Unattend.xml 内で指定可能 Administrator パスワード ドメイン参加する場合のドメイン名、および参加するためのユーザー名/パスワード リモートデスクトップ接続の有効化 Windows Firewall 設定 コンピューター名( SCVMM 側からの設定を引き継ぐことも可能) タイムゾーン( SCVMM 側からの設定を引き継ぐことも可能) その他言語設定等 Shielding Data File (.PDK) の作成時に指定/登録
- 26. 26
- 27. 27 テンプレートから Shielded VM を展開する際に使用する、Unattend.xml 等の VM を展開 する際に必要な各種情報を保存した ファイルのこと ShieldingDataFileWizard.exe にて作成(当該ツールはRemote Server Administration Tools(RSAT) にも同梱)
- 28. 28 Volume Signature Catalog(.VSC) ファイルとは、 プロバイダーが提供する、仮想 Disk を識別するための 署名ファイルのこと プロバイダーが提供する仮想 Disk ごとに存在 テンプレート展開時に使用するテンプレート用 仮想 Disk を、.VSC ファイルを使用して指定する 作成される Protected data file(.PDK) ファイルは、ここ で指定した 仮想ディスク以外を使用してVM を展開する ことができない
- 29. 29 パスワード、ファイヤーウォール設定などのセットアップ情報が記載された Unattend.xml と同時配布するファイルを指定。 以下の例ではリモートデスクトップ用の証明書を配布
- 30. 30 作成された .PDK ファイルは暗号化が実施されており、パスワード等が記載された Unattend.xml は読み取ることが不可能となっている
- 31. 31
- 32. 32 アップロードした .PDK ファイルを選択 .VSC ファイルにて指定した仮想 Disk を 使用した VM テンプレートを指定
- 33. 33 VMM 管理サーバーにて一括管理 ユーザー側では 権限がある .PDK ファイルのみ表示
- 34. 34
- 35. 35 アップロードした .PDK ファイルを選択 前提として、 Shielded VM の要件を満たした VM であること
- 36. 36
- 37. 37 インポートして起動しても、以下のようなエラーが出て、起動しません テナント側 Host Guardian Service 用証明書が登録された Hyper-V ホストであれば、 正しくエクスポートされた VM をインポートすることにより、VM を稼働させることが可能です → 但し、仮想ディスクから VM を新規作成したものは、上記環境でも動作不可
- 38. 38
- 39. 39 Shielded VMは、仮想 Disk の暗号化を基軸にした画期的なセキュリティーソリューション です これにより『仮想 Disk そのもの』の持ち去りから発生する情報漏えいを、未然に防止で きます Windows Azure Pack を利用することにより、ユーザー視点からは『 Shielded VM であ る』ことを特段意識することなく、通常の VM と同じように扱うことが可能です 機会がありましたら、ぜひ一度テストをしてみてください
- 40. 40 Shielded VMs and Guarded Fabric Validation Guide for Windows Server 2016 (TPM) https://gallery.technet.microsoft.com/Shielded-VMs-and-Guarded-44176db3 Shielded VMs and Guarded Fabric Validation Guide for Windows Server 2016 (Admin) https://gallery.technet.microsoft.com/Shielded-VMs-and-Guarded-8f51568f Harden the Fabric: Protecting Tenant Secrets in Hyper-V http://channel9.msdn.com/Events/Ignite/2015/BRK3457 Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは http://www.atmarkit.co.jp/ait/articles/1506/15/news009.html
- 41. 41