Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Hyper-V virtuální počítače generace 2 poskytují robustní funkce zabezpečení navržené tak, aby chránily citlivá data a zabránily neoprávněnému přístupu nebo manipulaci. Tento článek popisuje nastavení zabezpečení dostupná v Hyper-V Manageru pro virtuální počítače 2. generace a ukazuje, jak je nakonfigurovat. Zjistěte, jak tyto funkce pomáhají chránit virtuální počítače před hrozbami a zajistit dodržování osvědčených postupů zabezpečení.
Mezi dostupné funkce zabezpečení pro virtuální počítače generace 2 v Hyper-V patří:
- Zabezpečené spouštění.
- Podpora šifrování pro čip TPM (Trusted Platform Module), migrace za provozu a uložený stav systému.
- Chráněné virtuální počítače.
- Služba Strážce hostitele (HGS).
Tyto funkce zabezpečení jsou navržené tak, aby pomáhaly chránit data a stav virtuálního počítače. Virtuální počítače můžete chránit před kontrolou, krádeží a manipulací jak ze strany malwaru, který může běžet na hostiteli, tak i ze strany správců datových center. Úroveň zabezpečení, kterou získáte, závisí na hostitelském hardwaru, který spouštíte, generaci virtuálních počítačů a na tom, jestli jste nastavili doprovodnou službu Strážce hostitele (HGS), která autorizuje hostitele ke spuštění stíněných virtuálních počítačů.
Služba Strážce hostitele byla poprvé představena ve Windows Serveru 2016. Identifikuje legitimní hostitele Hyper-V a umožňuje jim spouštět sadu stíněných virtuálních počítačů. Službu Strážce hostitele byste nejčastěji povolili pro datové centrum, ale můžete také vytvořit chráněný virtuální počítač, který ho bude spouštět místně bez nastavení služby Strážce hostitele. Později můžete stíněný virtuální počítač distribuovat na službu Strážce hostitele.
Informace o tom, jak můžete zajistit lepší zabezpečení virtuálních počítačů pomocí služby Strážce hostitele, najdete v tématu Strážené prostředky infrastruktury a chráněné virtuální počítače a posílení zabezpečení prostředků infrastruktury: Ochrana tajných kódů tenantů ve Hyper-V (video Ignite).
Zabezpečené spouštění
Zabezpečené spouštění je funkce, která je dostupná u virtuálních počítačů generace 2, která pomáhá zabránit neoprávněnému spuštění firmwaru, operačních systémů nebo ovladačů UEFI (Unified Extensible Firmware Interface) (označovaných také jako možnosti ROM) v době spuštění. Zabezpečené spouštění je ve výchozím nastavení povolené. Zabezpečené spouštění můžete použít s virtuálními počítači generace 2, na kterých běží operační systémy distribuce Windows nebo Linuxu.
V závislosti na operačním systému a konfiguraci virtuálního počítače jsou k dispozici tři různé šablony. Následující tabulka uvádí každou z těchto šablon a odkazuje na certifikáty, které potřebujete k ověření integrity procesu spouštění:
| Název šablony | Compatibility |
|---|---|
| Microsoft Windows | Operační systémy Windows. |
| Certifikační autorita UEFI od Microsoftu | Linuxové distribuční operační systémy. |
| Opensourcový stíněný virtuální počítač | Chráněné virtuální počítače založené na Linuxu. |
Podpora šifrování
Hyper-V virtuální počítače generace 2 nabízejí robustní možnosti šifrování, které poskytují více vrstev ochrany pro virtualizovanou infrastrukturu. Podpora šifrování zahrnuje tři důležité oblasti: funkce TPM (Trusted Platform Module), síťový provoz u živé migrace a uložená stavová data. Tyto funkce zabezpečení spolupracují a vytvářejí komplexní ochranu před neoprávněným přístupem a porušením zabezpečení dat a zajišťují, aby citlivé informace zůstaly chráněné v klidovém stavu i během přenosu.
Virtualizovaná funkce TPM (vTPM) představuje významný pokrok v architektuře zabezpečení virtuálních počítačů. Přidáním virtuálního počítače vTPM do virtuálního počítače generace 2 povolíte hostovanému operačnímu systému používat funkce zabezpečení založené na hardwaru podobné těm funkcím dostupným na fyzických počítačích. Tento virtualizovaný čip zabezpečení umožňuje hostovanému operačnímu systému šifrovat celý disk virtuálního počítače pomocí nástroje BitLocker Drive Encryption a vytvořit další vrstvu ochrany proti neoprávněnému přístupu. Virtuální počítač vTPM může také podporovat další technologie zabezpečení, které potřebují čip TPM, což je základní komponenta pro podniková prostředí, která vyžadují striktní dodržování standardů zabezpečení a předpisů.
Virtuální počítač s povoleným virtuálním čipem TPM můžete migrovat na libovolného hostitele, na kterém běží podporovaná verze Windows Serveru nebo Windows. Pokud ho migrujete na jiného hostitele, možná ho nebudete moct spustit. Pokud chcete novému hostiteli autorizovat spuštění virtuálního počítače, musíte pro tento virtuální počítač aktualizovat ochranu klíčů. Další informace najdete v tématu Strážená infrastruktura a stíněné virtuální počítače a požadavky na systém pro Hyper-V na Windows Serveru.
Zásady zabezpečení v Hyper-V Manageru
Chráněné virtuální počítače představují nejvyšší úroveň zabezpečení, která je k dispozici pro virtuální počítače Hyper-V generace 2 a poskytuje komplexní ochranu před externími hrozbami i útoky s privilegovaným přístupem. Když povolíte stínění na virtuálním počítači, vytvoříte posílené prostředí, které šifruje provoz stavu a migrace virtuálního počítače a zároveň omezí přístup správce k důležitým funkcím virtuálního počítače. Tato ochrana přesahuje tradiční bezpečnostní opatření tím, že brání správcům datacenter a malwaru na úrovni hostitele v přístupu k paměti, uloženému stavu nebo síťovému provozu virtuálního počítače během operací migrace za provozu.
Funkce stínění automaticky vynucuje několik bezpečnostních požadavků, včetně funkce Secure Boot, aktivace TPM a šifrování uložených stavů a dat přenosu během migrace. Chráněné virtuální počítače navíc zakazují určité možnosti správy, jako jsou připojení ke konzole, PowerShell Direct a konkrétní integrační komponenty, které by útočníci mohli potenciálně zneužít. Tento přístup vytvoří model zabezpečení s hloubkovou ochranou, ve kterém se virtuální počítač stává efektivně neprůhledným pro hostitelský systém a zajišťuje, že citlivé úlohy zůstávají chráněny i ve zkompromitovaných hostitelských prostředích. Organizace můžou nasadit chráněné virtuální počítače se službou Strážce hostitele pro implementace na podnikové úrovni nebo je spouštět místně pro lepší zabezpečení v menších nasazeních.
Chráněný virtuální počítač můžete spustit místně bez nastavení služby Strážce hostitele. Pokud ho migrujete na jiného hostitele, možná ho nebudete moct spustit. Pokud chcete novému hostiteli autorizovat spuštění virtuálního počítače, musíte pro tento virtuální počítač aktualizovat ochranu klíčů. Další informace najdete v tématu Strážená infrastruktura a stíněné virtuální počítače.
Související obsah
Další informace najdete v následujících článcích: