지사 고려 사항
이 문서는 HGS에 대해 Hyper-V 호스트의 연결이 제한된 시간이 있을 수 있는 지사 및 기타 원격 시나리오에서 보호된 가상 머신을 실행하는 모범 사례를 설명합니다.
대체 구성
Windows Server 버전 1709부터 기본 HGS에서 응답하지 않는 경우 사용할 Hyper-V 호스트에서 추가 호스트 보호 서비스 URL 집합을 구성할 수 있습니다. 이렇게 하면 로컬 서버가 다운된 경우 회사 데이터 센터의 HGS로 대체되는 기능을 사용해서 성능을 향상하기 위해 주 서버로 사용되는 로컬 HGS 클러스터를 실행할 수 있습니다.
대체 옵션을 사용하기 위해서는 두 개의 HGS 서버를 설정해야 합니다. Windows Server 2019 또는 Windows Server 2016을 실행할 수 있으며 동일하거나 다른 클러스터의 일부일 수 있습니다. 클러스터가 서로 다른 경우 두 개의 서버 간에 증명 정책이 동기화되도록 운영 사례를 설정하려고 합니다. 둘 모두 보호된 VM을 실행하도록 Hyper-V 호스트에 올바르게 권한을 부여하고 보호된 VM을 시작하는 데 필요한 핵심 자료를 가질 수 있어야 합니다. 두 개의 클러스터 간에 공유 암호화 및 서명 인증서 쌍을 포함하도록 선택하거나 별도의 인증서를 사용하고 보호 데이터 파일에서 두 보호자(암호화/서명 인증서 쌍)에게 권한을 부여하도록 HGS 보호 VM을 구성할 수 있습니다.
그런 다음 Hyper-V 호스트를 Windows Server 버전 1709 또는 Windows Server 2019로 업그레이드하여 다음 명령을 실행합니다.
# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
대체 서버를 구성 해제하려면 두 개의 대체 매개 변수를 모두 생략하기만 하면됩니다.
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'
Hyper-V 호스트가 주 서버와 대체 서버 모두에 증명을 전달하려면 증명 정보가 두 개의 HGS 클러스터를 모두 사용하여 최신 상태인지 확인해야 합니다. 또한 가상 머신의 TPM을 해독하는 데 사용되는 인증서는 두 개의 HGS 클러스터에서 모두 사용할 수 있어야 합니다. 서로 다른 인증서를 사용하여 각 HGS를 구성하고 두 개의 인증서를 모두 신뢰하도록 VM을 구성하거나 두 개의 HGS 클러스터에 공유 인증서 집합을 추가할 수 있습니다.
대체 URL을 사용하여 지점의 HGS를 구성하는 방법에 대한 자세한 내용은 Windows Server, 버전 1709의 보호된 VM에 대한 향상된 지점 지원 블로그 게시물을 참조하세요.
오프라인 모드
오프라인 모드는 보호된 VM이 Hyper-V 호스트의 보안 구성이 변경되지 않은 경우 HGS에 연결할 수 없을 때 보호된 VM을 켤 수 있도록 합니다. 오프라인 모드는 Hyper-V 호스트에서 특수 버전의 VM TPM 키 보호기를 캐싱함으로써 작동합니다. 키 보호기는 가상화 기반의 보안 ID 키를 사용하여 호스트의 현재 보안 구성으로 암호화됩니다. 호스트에서 HGS와 통신할 수 없고 해당 보안 구성이 변경되지 않은 경우 캐시된 키 보호기를 사용하여 보호된 VM을 시작할 수 있습니다. 시스템에서 새 코드 무결성 정책을 적용하거나 보안 부팅을 사용하지 않도록 설정하면 캐시된 키 보호기가 무효화되며 호스트가 HGS로 증명해야 보호된 VM을 오프라인으로 다시 시작할 수 있습니다.
오프라인 모드에서는 Host Guardian Service 클러스터와 Hyper-V 호스트 모두에 대해 Insider Preview 빌드 17609 이상이 필요합니다. 기본적으로 사용하지 않도록 설정되는 HGS에 대한 정책에서 이를 제어합니다. 오프라인 모드를 지원하도록 설정하려면 HGS 노드에서 다음 명령을 실행합니다.
Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true
캐시 가능한 키 보호기는 보호된 각 VM에 고유하므로 HGS에서 이 설정을 사용하도록 설정한 후 완전히 종료(다시 시작하지 않음)하고 보호된 VM을 시작해서 캐시 가능한 키 보호기를 가져와야 합니다. 보호된 VM이 이전 버전의 Windows Server를 실행하는 Hyper-V 호스트로 마이그레이션하거나 이전 버전의 HGS에서 새로운 키 보호기를 가져오는 경우 오프라인 모드에서 시작할 수 없지만 HGS에 대한 액세스를 사용할 수 있는 경우 온라인 모드에서 계속 실행할 수 있습니다.