Windows Server 2019 Hyper-V mejora la seguridad de los servidores virtuales

Dentro de Windows Server 2019 se incluye la solución de infraestructura Hyper-Convergente que permite implementar entornos virtualizados y arquitecturas Cloud a través de la consolidación de recursos de computación, almacenamiento y redes definidas por software en un clúster de alto rendimiento que redunda en una reducción de costes. La solución de infraestructura Hyper-Convergente de Windows Server incluye varias funcionalidades como Hyper-V, Failover Clustering, Storage Spaces Direct, Software Defined Networking, la herramienta Windows Admin Center para gestión centralizada de clústers y servidores Windows y la herramienta de conexión con Azure hybrid services.

El rol de Hyper-V de Windows Server 2019 permite implementar un entorno de computación virtualizado en el que se pueden crear y gestionar servidores virtuales. Hyper-V mejora y optimiza la infraestructura hardware existente y permite crear y gestionar un entorno Cloud privado. Los servicios de IT bajo demanda se gestionan de una manera flexible con recursos compartidos que se ajustan a las necesidades de demanda cambiantes. Windows Server Hyper-V incluye funcionalidades avanzadas de virtualización de almacenamiento y redes, Disaster recovery, backup y virtual desktop infrastructure (VDI).

Dentro de Windows Server Hyper-V 2019 se introducen mejoras en seguridad para optimizar el uso de servidores virtuales blindados en oficinas remotas. Las nuevas funcionalidades fallback HGS y modo offline permiten las conexiones intermitentes entre hosts Hyper-V remotos y el servicio Host Guardian. Fallback HGS permite configurar un segundo grupo de URLs para Hyper-V en el caso de que el servidor HGS primario no esté disponible. El modo Offline permite arrancar servidores virtuales blindados incluso cuando el servicio HGS no está disponible.

Configuración Fallback

A partir de la versión Windows Server version 1709 es posible añadir un segundo grupo de URLs del servicio Host Guardian en hosts Hyper-V cuando el servicio primario HGS no está disponible. Esta funcionalidad permite ejecutar un clúster local HGS clúster que se utiliza como servidor primario para un mejor rendimiento con capacidad de fallback al HGS corporativo del centro de datos cuando los servidores locales no están disponibles.

Para utilizar la funcionalidad de fallback es necesario configurar 2 servidores HGS con Windows Server 2019 o Windows Server 2016 que pueden formar parte del mismo clúster o de diferentes clústeres. En el caso de que estén en clústeres distintos es necesario establecer prácticas operativas para garantizar que las políticas de atestación estén sincronizadas en los 2 servidores. Los 2 servidores autorizan a los hosts Hyper-V ejecutar servidores virtuales blindados e iniciar los servidores virtuales blindados. En la configuración de certificados es posible utilizar 2 certificados de firma y encriptación compartidos entre los 2 clústeres o bien usar certificados distintos y configurar un servidor virtual blindado HGS para autorizar a ambos guardianes (pares de certificados de firma y encriptación) en el fichero de datos de blindaje. Para desconfigurar el fallback server es necesario eliminar los parámetros de fallback.

Para que los hosts Hyper-V puedan pasar la atestación al servidor primario y servidor de fallback es necesario garantizar que la información de atestación está actualizada en los clústeres HGS. Adicionalmente los certificados utilizados para descifrar el TPM de los servidores virtuales es necesario que estén disponibles en ambos clústeres HGS. Cada HGS puede estar configurado con certificados distintos con un servidor virtual que otorgue confianza a ambos o bien añadir un grupo de certificados compartidos en ambos clústeres HGS.

Modo Offline

El modo Offline permite arrancar servidores virtuales blindados cuando el HGS no está disponible con el requisito de que la configuración de seguridad no haya cambiado en el host Hyper-V. El modo Offline funciona a través del almacenamiento en cache de una clave TPM del VM en el host Hyper-V. La clave se encripta con la configuración actual de seguridad del host utilizando la clave de identidad de seguridad de virtualización. Si el host Hyper-V no es capaz de comunicarse con el HGS y la configuración de seguridad no ha cambiado puede utilizar el protector de clave en cache para iniciar el servidor virtual blindado. Cuando se cambia la configuración de seguridad en el sistema el protector de clave en cache queda invalidado y el host deberá atestar con el HGS antes de poder iniciar nuevamente un servidor virtual blindado en modo offline.

El modo Offline requiere la versión Windows Server Insider Preview build 17609 o superior en el clúster del servicio Host Guardian y el host Hyper-V. El modo Offline está deshabilitado por defecto y puede activarse a través de una política en el HGS.

Mejoras en resolución de incidencias

El análisis y resolución de incidencias en servidores virtuales blindados ha mejorado a través de las nuevas herramientas VMConnect Enhanced Session Mode y PowerShell Direct. Estas herramientas son de gran utilidad cuando se ha perdido la conectividad con los servidores virtuales y es necesario actualizar la configuración para restablecer el acceso.

Estas funcionalidades están disponibles automáticamente cuando un servidor virtual blindado es configurado en un host Hyper-V que ejecute Windows Server version 1803 o superior.

 

» Puede solicitar más información a través del  formulario de contacto

Publicado en Novedades