Windows Server 2019 Hyper-V millora la seguretat dels servidors virtuals

Dins de Windows Server 2019 s’inclou la solució d’infraestructura Hyper-Convergent que permet implementar entorns virtualizats i arquitectures Cloud a través de la consolidació de recursos de computació, emmagatzematge i xarxes definides per software en un clúster d’alt rendiment que redunda en una reducció de costos. La solució d’infraestructura Hyper-Convergent de Windows Server inclou diverses funcionalitats com Hyper-V, Failover Clustering, Storage Spaces Direct, Software Defined Networking, l’eina Windows Admin Center per a gestió centralitzada de clústers i servidors Windows i l’eina de connexió amb Azure hybrid services.

El rol de Hyper-V de Windows Server 2019 permet implementar un entorn de computació virtualitzat en el qual es poden crear i gestionar servidors virtuals. Hyper-V millora i optimitza la infraestructura hardware existent i permet crear i gestionar un entorn Cloud privat. Els serveis de IT sota demanda es gestionen d’una manera flexible amb recursos compartits que s’ajusten a les necessitats de demanda canviants. Windows Server Hyper-V inclou funcionalitats avançades de virtualització d’emmagatzematge i xarxes, Disaster recovery, còpia de seguretat i virtual desktop infrastructure (VDI).

Dins de Windows Server Hyper-V 2019 s’introdueixen millores en seguretat per a optimitzar l’ús de servidors virtuals blindats en oficines remotes. Les noves funcionalitats fallback HGS i mode offline permeten les connexions intermitents entre hosts Hyper-V remots i el servei Host Guardian. Fallback HGS permet configurar un segon grup de URLs per a Hyper-V en el cas que el servidor HGS primari no estigui disponible. El mode Offline permet arrencar servidors virtuals blindats fins i tot quan el servei HGS no està disponible.

Configuració Fallback

A partir de la versió Windows Server versió 1709 és possible afegir un segon grup de URLs del servei Host Guardian en hosts Hyper-V quan el servei primari HGS no està disponible. Aquesta funcionalitat permet executar un clúster local HGS clúster que s’utilitza com a servidor primari per a un millor rendiment amb capacitat de fallback al HGS corporatiu del centre de dades quan els servidors locals no estan disponibles.

Per a utilitzar la funcionalitat de fallback és necessari configurar 2 servidors HGS amb Windows Server 2019 o Windows Server 2016 que poden formar part del mateix clúster o de diferents clústers. En el cas que estiguin en clústers diferents és necessari establir pràctiques operatives per a garantir que les polítiques d’atestació estiguin sincronitzades en els 2 servidors. Els 2 servidors autoritzen  els hosts Hyper-V executar servidors virtuals blindats i iniciar els servidors virtuals blindats. En la configuració de certificats és possible utilitzar 2 certificats de signatura i encriptació compartits entre els 2 clústers o bé usar certificats diferents i configurar un servidor virtual blindat HGS per a autoritzar tots dos guardians (paris de certificats de signatura i encriptació) en el fitxer de dades de blindatge. Per a desconfigurar el fallback server és necessari eliminar els paràmetres de fallback.

Perquè els hosts Hyper-V puguin passar l’atestació al servidor primari i servidor de fallback és necessari garantir que la informació d’atestació està actualitzada en els clústers HGS. Addicionalment els certificats utilitzats per a desxifrar el TPM dels servidors virtuals és necessari que estiguin disponibles en tots dos clústers HGS. Cada HGS pot estar configurat amb certificats diferents amb un servidor virtual que atorgui confiança a tots dos o bé afegir un grup de certificats compartits en tots dos clústers HGS.

Mode Offline

El mode Offline permet arrencar servidors virtuals blindats quan el HGS no està disponible amb el requisit que la configuració de seguretat no hagi canviat en el host Hyper-V. El mode Offline funciona a través de l’emmagatzematge en cache d’una clau TPM del VM en el host Hyper-V. La clau s’encripta amb la configuració actual de seguretat del host utilitzant la clau d’identitat de seguretat de virtualització. Si el host Hyper-V no és capaç de comunicar-se amb el HGS i la configuració de seguretat no ha canviat pot utilitzar el protector de clau en cache per a iniciar el servidor virtual blindat. Quan es canvia la configuració de seguretat en el sistema el protector de clau en cache queda invalidat i el host deurà atestar amb el HGS abans de poder iniciar novament un servidor virtual blindat en manera offline.

El mode Offline requereix la versió Windows Server Insider Preview build 17609 o superior en el clúster del servei Host Guardian i el host Hyper-V. El mode Offline està deshabilitat per defecte i pot activar-se a través d’una política en el HGS.

Millores en la resolució de incidències

L’anàlisi i resolució d’incidències en servidors virtuals blindats ha millorat a través de les noves eines VMConnect Enhanced Session Mode i PowerShell Direct. Aquestes eines són de gran utilitat quan s’ha perdut la connectivitat amb els servidors virtuals i és necessari actualitzar la configuració per a restablir l’accés.

Aquestes funcionalitats estan disponibles automàticament quan un servidor virtual blindat és configurat en un host Hyper-V que executi Windows Server versió 1803 o superior.

 

» Pot sol·licitar més informació a través del formulari de contacte

Publicat a Novetats