Configuration d’hôtes Service Guardian dans VMM

  • Article

Important

Cette version de Virtual Machine Manager (VMM) a atteint la fin de la prise en charge. Nous vous recommandons de mettre à niveau vers VMM 2022.

Cet article explique comment déployer des hôtes Hyper-V protégés dans une infrastructure de calcul System Center - Virtual Machine Manager (VMM). En savoir plus sur la structure protégée.

Il existe deux moyens de configurer des hôtes Hyper-V protégés dans une infrastructure VMM.

  • Configurer un hôte existant comme hôte Service Guardian : vous pouvez configurer un hôte existant pour exécuter des machines virtuelles protégées.
  • Ajouter ou configurer un nouvel hôte Service Guardian : Cet hôte peut être :
    • Un ordinateur Windows Server existant (avec ou sans rôle Hyper-V)
    • Un système nu

Pour configurer des hôtes Service Guardian dans l’infrastructure VMM, procédez comme suit :

  1. Configurer les paramètres généraux SGH : VMM connecte tous les hôtes Service Guardian au même serveur SGH pour que vous puissiez migrer correctement les machines virtuelles protégées entre les hôtes. Vous spécifiez les paramètres SGH globaux qui s’appliquent à tous les hôtes protégés, et vous pouvez spécifier des paramètres spécifiques à l’hôte qui remplacent les paramètres globaux. Paramètres :

    • URL d’attestation : URL que l’hôte utilise pour se connecter au service d’attestation SGH. Ce service autorise un hôte à exécuter des machines virtuelles protégées.
    • URL du serveur de protection de clé : URL que l’hôte utilise pour récupérer la clé nécessaire pour déchiffrer les machines virtuelles. L’hôte doit passer une attestation pour pouvoir récupérer les clés.
    • Stratégies d’intégrité du code : une stratégie d’intégrité du code limite les logiciels pouvant s’exécuter sur un hôte Service Guardian. Quand SGH est configuré pour utiliser l’attestation TPM, les hôtes Service Guardian doivent être configurés pour utiliser une stratégie d’intégrité du code autorisée par le serveur SGH. Vous pouvez spécifier l’emplacement des stratégies d’intégrité du code dans VMM et les déployer sur vos hôtes. Cette option est facultative et n’est pas nécessaire pour gérer un fabric protégé.
    • Disque dur virtuel d’assistance de protection des machines virtuelles : disque dur virtuel spécialement préparé qui est utilisé pour convertir les machines virtuelles existantes en machines virtuelles protégées. Vous devez configurer ce paramètre si vous souhaitez protéger les machines virtuelles existantes.

  2. Configurer le cloud : Si l’hôte Service Guardian est inclus dans un cloud VMM, vous devez activer le cloud pour prendre en charge les machines virtuelles protégées.

Avant de commencer

Vérifiez que vous avez déployé et configuré le service Host Guardian avant de continuer. En savoir plus sur la configuration de SGH dans la documentation de Windows Server.

En outre, assurez-vous que tous les hôtes qui deviendront des hôtes protégés respectent les conditions préalables de l’hôte protégé :

  • Système d’exploitation : les serveurs hôtes doivent exécuter Windows Server Datacenter. Il est recommandé d’utiliser Server Core pour les hôtes protégés.
  • Rôle et fonctionnalités : Les serveurs hôtes doivent exécuter le rôle Hyper-V et la fonctionnalité de prise en charge Hyper-V du service Guardian hôte. La prise en charge Hyper-V du service Guardian hôte permet à l’hôte de communiquer avec SGH pour attester de son état d’intégrité et demander les clés des machines virtuelles protégées. Si votre hôte exécute Nano Server, les packages Compute, SCVMM-Package, SCVMM-Compute, SecureStartup et ShieldedVM doivent être installés.
  • Attestation du module de plateforme sécurisée (TPM) : si votre SGH est configuré pour utiliser l’attestation TPM, les serveurs hôtes doivent :
    • utiliser UEFI 2.3.1c et un module TPM 2.0 ;
    • démarrer en mode UEFI (et non en mode BIOS ou en mode « hérité ») ;
    • activer le démarrage sécurisé.
  • Inscription SGH : Les hôtes Hyper-V doivent être inscrits à SGH. La façon dont ils sont inscrits varie selon que HGS utilise l’attestation AD ou TPM. En savoir plus
  • Migration dynamique : si vous souhaitez effectuer une migration dynamique de machines virtuelles protégées, vous devez déployer au moins deux hôtes Service Guardian.
  • Domaine : les hôtes protégés et le serveur VMM doivent se trouver dans le même domaine ou dans des domaines avec une approbation bidirectionnelle.

Configurer les paramètres SGH globaux

Avant d’ajouter des hôtes protégés à votre infrastructure de calcul VMM, vous devez configurer VMM avec des informations sur le service Host Guardian (HGS) pour l’infrastructure. Le même SGH est utilisé pour tous les hôtes Service Guardian gérés par VMM.

  1. Obtenez les URL d’attestation et de protection de clé pour votre infrastructure auprès de votre administrateur SGH.

  2. Dans la console VMM, sélectionnez Paramètres>du service Guardian de l’hôte.

  3. Entrez les URL d’attestation et de protection de clé dans les champs correspondants. Pour l’instant, vous n’avez pas besoin de configurer les stratégies d’intégrité du code et les sections de disque dur virtuel d’assistance de protection des machines virtuelles.

    Capture d’écran de la fenêtre Des paramètres SGH globaux.

  4. Sélectionnez Terminer pour enregistrer la configuration.

Ajouter ou configurer un nouvel hôte Service Guardian

  1. Ajoutez l’hôte :
    • Si vous souhaitez ajouter un serveur Windows Server existant comme hôte Hyper-V protégé, ajoutez-le à l’infrastructure.
    • Si vous voulez configurer un ordinateur hôte Hyper-V à partir d’un système nu, remplissez ces conditions préalables et suivez ces instructions.

      Notes

      Vous pouvez déployer l’hôte comme protégé lorsque vous le provisionnez (Paramètres du système d’exploitationde l’Assistant > Ajout de ressources >Configurer en tant qu’hôte protégé).

  2. Passez à la section suivante pour configurer l’hôte comme hôte Service Guardian.

Configurer un hôte existant comme hôte Service Guardian

Pour configurer un hôte Hyper-V existant géré par VMM comme hôte Service Guardian, procédez comme suit :

  1. Configurez l’hôte en mode maintenance.

  2. Dans Tous les hôtes, cliquez avec le bouton droit sur l’hôte PropriétésService Guardian hôte.

    Capture d’écran de l’activation d’un hôte en tant qu’hôte protégé.

  3. Sélectionnez la fonctionnalité de prise en charge d’Hyper-V Guardian hôte pour l’activer, puis configurez l’hôte.

    Notes

    • Les URL générales du serveur d’attestation et du serveur de protection de clé sont définies sur l’hôte.
    • Si vous modifiez ces URL en dehors de la console VMM, vous devez également les mettre à jour dans VMM. Si ce n’est pas le cas, VMM ne placera pas les machines virtuelles protégées sur l’hôte tant que les URL ne correspondent pas à nouveau. Vous pouvez également décocher et case activée la case « Activer » pour reconfigurer l’hôte avec les URL configurées dans VMM.

  4. Si vous utilisez VMM pour gérer les stratégies d’intégrité du code, vous pouvez cocher la deuxième case et sélectionner la stratégie appropriée pour le système.

  5. Sélectionnez OK pour mettre à jour la configuration de l’hôte.

  6. Désactivez le mode de maintenance de l’hôte.

VMM vérifie que l’hôte réussit l’attestation lorsque vous l’ajoutez et chaque fois que l’hôte status est actualisé. VMM déploie et migre uniquement les machines virtuelles protégées sur les hôtes ayant passé une attestation. Vous pouvez vérifier l’état de l’attestation d’un hôte dans PropriétésÉtatClient HGS global.

Activer des hôtes Service Guardian sur un cloud VMM

Activez un cloud pour prendre en charge les hôtes Service Guardian :

  1. Dans la console VMM, sélectionnez Machines virtuelles et Clouds de services>. Cliquez avec le bouton droit sur le nom du cloud >>.
  2. Dans GénéralPrise en charge des machine virtuelle protégée, sélectionnez Pris en charge sur ce cloud privé.

Gérer et déployer des stratégies d’intégrité du code avec VMM

Dans les infrastructures protégées configurées pour utiliser l’attestation TPM, chaque hôte doit être configuré avec une stratégie d’intégrité du code approuvée par le Service Guardian hôte. Pour faciliter la gestion des stratégies d’intégrité du code, vous pouvez éventuellement utiliser VMM pour déployer de nouvelles stratégies ou des stratégies mises à jour sur vos hôtes Service Guardian.

Pour déployer une stratégie d’intégrité du code sur un hôte Service Guardian géré par VMM, procédez comme suit :

  1. Créez une stratégie d’intégrité du code pour chaque hôte de référence dans votre environnement. Vous aurez besoin d’une stratégie CI différente pour chaque configuration matérielle et logicielle unique de vos hôtes protégés.
  2. Stockez les stratégies d’intégrité du code dans un partage de fichiers sécurisé. Les comptes d’ordinateurs pour chaque hôte Service Guardian nécessitent l’accès en lecture au partage. Seuls les administrateurs approuvés doivent disposer d’autorisations d’accès en écriture.
  3. Dans la console VMM, sélectionnez Paramètres>du service Guardian de l’hôte.
  4. Dans la section Stratégies d’intégrité du code, sélectionnez Ajouter et spécifiez un nom convivial et le chemin d’accès à une stratégie CI. Répétez cette étape pour chaque stratégie d’intégrité du code unique. Veillez à nommer vos stratégies de manière à vous aider à identifier la stratégie à appliquer à quels hôtes. Capture d’écran de l’ajout d’une stratégie d’intégrité du code.
  5. Sélectionnez Terminer pour enregistrer la configuration.

À présent, pour chaque hôte Service Guardian, procédez comme suit pour appliquer une stratégie d’intégrité du code :

  1. Configurez l’hôte en mode maintenance.

  2. Dans Tous les hôtes, cliquez avec le bouton droit sur l’hôte PropriétésService Guardian hôte.

    Capture d’écran de l’application d’une stratégie d’intégrité du code.

  3. Sélectionnez cette option pour pouvoir configurer l’hôte avec une stratégie d’intégrité du code, puis sélectionnez la stratégie appropriée pour le système.

  4. Sélectionnez OK pour appliquer la modification de configuration. L’hôte peut être amené à redémarrer pour appliquer la nouvelle stratégie.

  5. Désactivez le mode de maintenance de l’hôte.

Avertissement

Veillez à sélectionner la stratégie d’intégrité du code appropriée pour l’hôte. Si une stratégie incompatible est appliquée à l’hôte, il est possible que certains pilotes, applications ou composants du système d’exploitation ne fonctionnent plus.

Si vous mettez à jour la stratégie d’intégrité du code dans le partage de fichiers et que vous souhaitez également mettre à jour les hôtes Service Guardian, procédez comme suit :

  1. Configurez l’hôte en mode maintenance.
  2. Dans Tous les hôtes, cliquez avec le bouton droit sur l’hôte Appliquer la dernière stratégie d’intégrité du code.
  3. Désactivez le mode de maintenance de l’hôte.

Étapes suivantes