Nasazení důvěryhodné podnikové virtualizace ve službě Azure Stack HCI
Platí pro: Azure Stack HCI verze 22H2 a 21H2
Toto téma obsahuje pokyny k plánování, konfiguraci a nasazení vysoce zabezpečené infrastruktury, která využívá důvěryhodnou podnikovou virtualizaci v operačním systému Azure Stack HCI. Využijte investice do Služby Azure Stack HCI ke spouštění zabezpečených úloh na hardwaru, který využívá zabezpečení založené na virtualizaci (VBS) a hybridní cloudové služby prostřednictvím Windows Admin Center a Azure Portal.
Přehled
VBS je klíčovou součástí investic do zabezpečení ve službě Azure Stack HCI pro ochranu hostitelů a virtuálních počítačů před bezpečnostními hrozbami. Například příručka STIG (Security Technical Implementation Guide), která je publikovaná jako nástroj pro zlepšení zabezpečení informačních systémů Ministerstva obrany (DoD), uvádí jako obecné požadavky na zabezpečení VBS a HVCI (Hypervisor-Protected Code Integrity). K ochraně úloh na virtuálních počítačích je nezbytné použít hostitelský hardware, který je povolený pro VBS a HVCI, protože ohrožený hostitel nemůže zaručit ochranu virtuálních počítačů.
VBS používá funkce virtualizace hardwaru k vytvoření a izolaci zabezpečené oblasti paměti od operačního systému. Virtuální zabezpečený režim (VSM) ve Windows můžete použít k hostování řady řešení zabezpečení, která výrazně zvýší ochranu před ohroženími zabezpečení operačního systému a škodlivým zneužitím.
VBS používá hypervisor Windows k vytváření a správě hranic zabezpečení v softwaru operačního systému, vynucování omezení pro ochranu důležitých systémových prostředků a k ochraně prostředků zabezpečení, jako jsou ověřené přihlašovací údaje uživatele. S VBS můžete i v případě, že malware získá přístup k jádru operačního systému, výrazně omezit a omezit možné zneužití, protože hypervisor brání malwaru v provádění kódu nebo přístupu k tajným kódům platformy.
Hypervisor, nejprivilegovanější úroveň systémového softwaru, nastavuje a vynucuje oprávnění stránky v celé systémové paměti. Ve VSM se stránky můžou spouštět pouze po provedení kontrol integrity kódu. I když dojde k ohrožení zabezpečení, jako je přetečení vyrovnávací paměti, které by mohlo umožnit malwaru pokusit se o změnu paměti, nelze změnit znakové stránky a nelze spustit upravenou paměť. VBS a HVCI výrazně posílí vynucování zásad integrity kódu. Před spuštěním se zkontrolují všechny ovladače a binární soubory v režimu jádra a nepodepsané ovladače nebo systémové soubory se nenačtou do systémové paměti.
Nasazení důvěryhodné podnikové virtualizace
Tato část popisuje na vysoké úrovni, jak získat hardware pro nasazení vysoce zabezpečené infrastruktury, která využívá důvěryhodnou podnikovou virtualizaci ve službě Azure Stack HCI a Windows Admin Center pro správu.
Krok 1: Získání hardwaru pro důvěryhodnou podnikovou virtualizaci ve službě Azure Stack HCI
Nejprve si budete muset pořídit hardware. Nejjednodušší způsob, jak to udělat, je najít svého preferovaného hardwarového partnera Microsoftu v katalogu Azure Stack HCI a zakoupit integrovaný systém s předinstalovaným operačním systémem Azure Stack HCI. V katalogu můžete filtrovat a zobrazit hardware dodavatele, který je optimalizovaný pro tento typ úloh.
V opačném případě budete muset nasadit operační systém Azure Stack HCI na vlastní hardware. Podrobnosti o možnostech nasazení služby Azure Stack HCI a instalaci Windows Admin Center najdete v tématu Nasazení operačního systému Azure Stack HCI.
Dále pomocí Windows Admin Center vytvořte cluster Azure Stack HCI.
Veškerý partnerovaný hardware pro Azure Stack HCI je certifikovaný s dodatečnou kvalifikací Hardware Assurance. Kvalifikační testy procesu pro všechny požadované funkce VBS . VBs a HVCI se ale ve službě Azure Stack HCI automaticky nepovolují. Další informace o dodatečné kvalifikaci Hardwarové záruky najdete v části Hardware Assurance v části Systémy v katalogu Windows Serveru.
Upozornění
HVCI může být nekompatibilní s hardwarovými zařízeními, která nejsou uvedená v katalogu Azure Stack HCI. Důrazně doporučujeme pro důvěryhodnou infrastrukturu virtualizace podniku používat hardware ověřený službou Azure Stack HCI od našich partnerů.
Krok 2: Povolení HVCI
Povolte HVCI na hardwaru serveru a virtuálních počítačích. Podrobnosti najdete v tématu Povolení ochrany integrity kódu na základě virtualizace.
Krok 3: Nastavení Azure Security Center v Windows Admin Center
V Windows Admin Center nastavte Azure Security Center pro přidání ochrany před hrozbami a rychlé vyhodnocení stavu zabezpečení vašich úloh.
Další informace najdete v tématu Ochrana Windows Admin Center prostředků pomocí služby Security Center.
Začínáme se službou Security Center:
- Potřebujete předplatné Microsoft Azure. Pokud předplatné nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Bezplatná cenová úroveň služby Security Center se povolí u všech vašich aktuálních předplatných Azure, jakmile navštívíte řídicí panel Azure Security Center v Azure Portal, nebo ho programově povolíte prostřednictvím rozhraní API. Pokud chcete využívat pokročilé možnosti správy zabezpečení a detekce hrozeb, musíte povolit Azure Defender. Azure Defender můžete používat zdarma po dobu 30 dnů. Další informace najdete v tématu Ceny služby Security Center.
- Pokud jste připravení povolit Azure Defender, přečtěte si rychlý start: Nastavení Azure Security Center, kde si můžete projít jednotlivé kroky.
Můžete také použít Windows Admin Center k nastavení dalších hybridních služeb Azure, jako je Zálohování, Synchronizace souborů, Site Recovery, VPN typu Point-to-Site a Update Management.
Další kroky
Další informace související s důvěryhodnou podnikovou virtualizací najdete tady:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro