Hyper-V 第 2 世代仮想マシン (VM) は、機密データを保護し、不正アクセスや改ざんを防ぐために設計された堅牢なセキュリティ機能を提供します。 この記事では、第 2 世代 VM の Hyper-V Manager で使用できるセキュリティ設定について説明し、それらを構成する方法について説明します。 これらの機能を使用して、VM を脅威から保護し、セキュリティのベスト プラクティスに確実に準拠する方法について説明します。
Hyper-V の第 2 世代 VM で使用できるセキュリティ機能は次のとおりです。
- セキュア ブート。
- トラステッド プラットフォーム モジュール (TPM)、ライブ マイグレーション、保存された状態の暗号化サポート。
- シールドされた VM。
- ホスト ガーディアン サービス (HGS)。
これらのセキュリティ機能は、仮想マシンのデータと状態を保護するために設計されています。 ホストで実行される可能性があるマルウェアとデータセンター管理者の両方から、VM を検査、盗難、改ざんから保護できます。 セキュリティのレベルは、実行するホスト ハードウェア、仮想マシンの生成、シールドされた VM を開始するホストを承認するコンパニオン ホスト ガーディアン サービス (HGS) を設定するかどうかによって異なります。
ホスト ガーディアン サービスは、Windows Server 2016 で初めて導入されました。 正当な Hyper-V ホストを識別し、一連のシールドされた VM を実行できるようにします。 最も一般的に、データセンターに対してホスト ガーディアン サービスを有効にしますが、ホスト ガーディアン サービスを設定せずに、シールドされた VM を作成してローカルで実行することもできます。 シールドされた仮想マシンは、後でホスト ガーディアン サービスに配布できます。
ホスト ガーディアン サービスを使用して VM のセキュリティを強化する方法については、「 保護されたファブリックとシールドされた VM」および 「 ファブリックを強化する: Hyper-V でのテナント シークレットの保護 (Ignite ビデオ)」を参照してください。
セキュア ブート
セキュア ブートは、第 2 世代 VM で使用できる機能で、未承認のファームウェア、オペレーティング システム、または Unified Extensible Firmware Interface (UEFI) ドライバー (オプション ROM とも呼ばれます) が起動時に実行されないようにするのに役立ちます。 セキュア ブートは既定で有効になっています。 Windows または Linux ディストリビューション オペレーティング システムを実行する第 2 世代 VM でセキュア ブートを使用できます。
VM のオペレーティング システムと構成に応じて、3 つの異なるテンプレートを使用できます。 次の表に、これらの各テンプレートを示し、ブート プロセスの整合性を確認するために必要な証明書を示します。
| テンプレート名 | 互換性 |
|---|---|
| Microsoft Windows | Windows オペレーティング システム。 |
| Microsoft UEFI 証明機関 | Linux ディストリビューション オペレーティング システム。 |
| オープン ソースのシールドされた VM | Linux ベースのシールドされた VM。 |
暗号化のサポート
Hyper-V 第 2 世代仮想マシンは、仮想化されたインフラストラクチャに対して複数の保護レイヤーを提供する堅牢な暗号化機能を提供します。 暗号化のサポートには、TPM (トラステッド プラットフォーム モジュール) 機能、ライブ マイグレーション ネットワーク トラフィック、保存された状態データの 3 つの重要な領域が含まれます。 これらのセキュリティ機能は連携して、不正アクセスやデータ侵害に対する包括的な防御を実現し、保存時と転送中の両方で機密情報を保護します。
仮想化 TPM (vTPM) 機能は、VM セキュリティ アーキテクチャの大幅な進歩を表します。 第 2 世代仮想マシンに vTPM を追加すると、ゲスト オペレーティング システムで、物理マシンで使用できる機能と同様のハードウェア ベースのセキュリティ機能を使用できるようになります。 この仮想化されたセキュリティ チップを使用すると、ゲスト OS は BitLocker ドライブ暗号化を使用して仮想マシン ディスク全体を暗号化でき、未承認のアクセスに対する追加の保護層が作成されます。 また、vTPM は TPM を必要とする他のセキュリティ テクノロジをサポートできるため、セキュリティ標準と規制への厳密な準拠を必要とするエンタープライズ環境に不可欠なコンポーネントになります。
仮想 TPM が有効になっている仮想マシンは、サポートされているバージョンの Windows Server または Windows を実行する任意のホストに移行できます。 別のホストに移行すると、起動できない可能性があります。 新しいホストで仮想マシンを実行することを承認するために、その仮想マシンのキーの保護機能を更新する必要があります。 詳細については、「保護されたファブリックとシールドされた VM」および「Windows Server 上の Hyper-V のシステム要件」 を参照してください。
Hyper-V マネージャーのセキュリティ ポリシー
シールドされた仮想マシンは、Hyper-V 第 2 世代 VM で使用できる最高レベルのセキュリティを表し、外部の脅威と特権アクセス攻撃の両方に対する包括的な保護を提供します。 仮想マシンでシールドを有効にすると、重要な VM 機能への管理アクセスを制限しながら、VM の状態と移行トラフィックを暗号化する強化された環境を作成します。 この保護は、データセンター管理者やホスト レベルのマルウェアでも、ライブ マイグレーション操作中に VM のメモリ、保存された状態、またはネットワーク トラフィックにアクセスできないようにすることで、従来のセキュリティ対策を超えて拡張されます。
シールド機能では、セキュア ブート、TPM の有効化、保存された状態と移行トラフィックの暗号化など、いくつかのセキュリティ要件が自動的に適用されます。 さらに、シールドされた VM では、コンソール接続、PowerShell Direct、攻撃者が悪用する可能性がある特定の統合コンポーネントなどの特定の管理機能が無効になります。 このアプローチにより、仮想マシンがホスト システムに対して効果的に不透明になる多層防御セキュリティ モデルが作成され、侵害されたホスティング環境でも機密性の高いワークロードが確実に保護されます。 組織は、エンタープライズ規模の実装用に Host Guardian Service を使用してシールドされた VM をデプロイしたり、小規模なデプロイでセキュリティを強化するためにローカルで実行したりできます。
ホスト ガーディアン サービスを設定せずに、シールドされた仮想マシンをローカルで実行できます。 別のホストに移行すると、起動できない可能性があります。 新しいホストで仮想マシンを実行することを承認するために、その仮想マシンのキーの保護機能を更新する必要があります。 詳細については、「保護されたファブリックとシールドされた VM」を参照してください。
関連コンテンツ
詳細については、次の記事を参照してください。