Nasazení důvěryhodné podnikové virtualizace v Azure Stack HCI
Platí pro: Azure Stack HCI verze 22H2
Toto téma obsahuje pokyny k plánování, konfiguraci a nasazení vysoce zabezpečené infrastruktury, která používá důvěryhodnou podnikovou virtualizaci v operačním systému Azure Stack HCI. Využijte investici do Azure Stack HCI ke spouštění zabezpečených úloh na hardwaru, který využívá zabezpečení založené na virtualizaci (VBS) a hybridní cloudové služby prostřednictvím Centra pro správu Windows a webu Azure Portal.
Přehled
VBS je klíčovou součástí investic do zabezpečení ve službě Azure Stack HCI za účelem ochrany hostitelů a virtuálních počítačů před bezpečnostními hrozbami. Například příručka STIG (Security Technical Implementation Guide), která je publikovaná jako nástroj pro zlepšení zabezpečení informačních systémů ministerstva obrany (DoD), uvádí seznam VBS a HVCI (Hypervisor-Protected Code Integrity) jako obecné požadavky na zabezpečení. K ochraně úloh na virtuálních počítačích je nutné použít hostitelský hardware, který je povolený pro VBS a HVCI, protože ohrožený hostitel nemůže zaručit ochranu virtuálních počítačů.
VBS používá funkce virtualizace hardwaru k vytvoření a izolaci zabezpečené oblasti paměti od operačního systému. Virtuální zabezpečený režim (VSM) ve Windows můžete použít k hostování řady řešení zabezpečení, která výrazně zvyšují ochranu před ohroženími zabezpečení operačního systému a škodlivým zneužitím.
VBS používá hypervisor Windows k vytvoření a správě hranic zabezpečení v softwaru operačního systému, vynucení omezení pro ochranu důležitých systémových prostředků a ochranu prostředků zabezpečení, jako jsou ověřené přihlašovací údaje uživatele. S VBS, i když malware získá přístup k jádru operačního systému, můžete výrazně omezit a obsahovat možné zneužití, protože hypervisor brání malwaru ve spouštění kódu nebo přístupu k tajným kódům platformy.
Hypervisor, nejvíce privilegovaná úroveň systémového softwaru, nastavuje a vynucuje oprávnění stránky napříč všemi systémovými paměťmi. V systému VSM se stránky můžou spouštět pouze po předání kontrol integrity kódu. I když dojde k ohrožení zabezpečení, jako je přetečení vyrovnávací paměti, které by mohlo umožnit pokus o změnu paměti malwarem, nelze upravit znakové stránky a upravenou paměť nelze spustit. VBS a HVCI výrazně posiluje vynucování zásad integrity kódu. Před spuštěním se kontrolují všechny ovladače a binární soubory režimu jádra a nepodepsané ovladače nebo systémové soubory se nenačtou do systémové paměti.
Nasazení důvěryhodné podnikové virtualizace
Tato část popisuje na vysoké úrovni, jak získat hardware pro nasazení vysoce zabezpečené infrastruktury, která využívá důvěryhodnou podnikovou virtualizaci ve službě Azure Stack HCI a Windows Admin Center pro správu.
Krok 1: Získání hardwaru pro důvěryhodnou podnikovou virtualizaci v Azure Stack HCI
Nejprve budete muset získat hardware. Nejjednodušší způsob, jak to udělat, je vyhledat preferovaného hardwarového partnera Microsoftu v katalogu Azure Stack HCI a zakoupit integrovaný systém s předinstalovaným operačním systémem Azure Stack HCI. V katalogu můžete filtrovat a zobrazit hardware dodavatele, který je optimalizovaný pro tento typ úlohy.
Jinak budete muset nasadit operační systém Azure Stack HCI na vlastní hardware. Podrobnosti o možnostech nasazení Azure Stack HCI a instalaci Centra pro správu Windows najdete v tématu Nasazení operačního systému Azure Stack HCI.
Dále pomocí Centra pro správu Windows vytvořte cluster Azure Stack HCI.
Veškerý partnerový hardware pro Azure Stack HCI je certifikovaný pomocí dodatečné kvalifikace Hardware Assurance. Testy procesu kvalifikace pro všechny požadované funkce VBS . V Azure Stack HCI se ale VBS a HVCI automaticky nepovolují. Další informace o dodatečné kvalifikaci Hardware Assurance naleznete v části "Hardware Assurance" v části Systémy v katalogu Systému Windows Server.
Upozorňující
HVCI může být nekompatibilní s hardwarovými zařízeními, která nejsou uvedená v katalogu Azure Stack HCI. Důrazně doporučujeme používat ověřený hardware Azure Stack HCI od našich partnerů pro důvěryhodnou podnikovou virtualizační infrastrukturu.
Krok 2: Povolení HVCI
Povolte HVCI na hardwaru serveru a virtuálních počítačích. Podrobnosti najdete v tématu Povolení ochrany kódu na základě virtualizace.
Krok 3: Nastavení služby Azure Security Center ve Windows Admin Center
Ve Windows Admin Center nastavte Službu Azure Security Center tak, aby přidala ochranu před hrozbami a rychle posoudila stav zabezpečení vašich úloh.
Další informace najdete v tématu Ochrana prostředků Centra pro správu Windows pomocí služby Security Center.
Začínáme se službou Security Center:
- Potřebujete předplatné Microsoft Azure. Pokud předplatné nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Cenová úroveň Free služby Security Center je povolená pro všechna vaše aktuální předplatná Azure, jakmile navštívíte řídicí panel služby Azure Security Center na webu Azure Portal, nebo ji povolíte prostřednictvím kódu programu prostřednictvím rozhraní API. Pokud chcete využít pokročilé možnosti správy zabezpečení a detekce hrozeb, musíte povolit Azure Defender. Azure Defender můžete používat zdarma po dobu 30 dnů. Další informace najdete v tématu Ceny služby Security Center.
- Pokud jste připravení povolit Azure Defender, přečtěte si článek Rychlý start: Nastavení služby Azure Security Center , které vás provede jednotlivými kroky.
Windows Admin Center můžete také použít k nastavení dalších hybridních služeb Azure, jako je zálohování, Synchronizace souborů, Site Recovery, vpn typu point-to-site a správa aktualizací.
Další kroky
Další informace související s důvěryhodnou podnikovou virtualizací najdete tady: