Escenario: Implementación de hosts protegidos y máquinas virtuales blindadas en VMM
En este artículo, se proporciona información general sobre la implementación de hosts protegidos de Hyper-V y máquinas virtuales blindadas en un tejido de proceso de System Center Virtual Machine Manager (VMM).
Los tejidos protegidos proporcionan protecciones adicionales para las máquinas virtuales a fin de evitar alteraciones y robos por parte de administradores malintencionados y malware. Como proveedor de servicios en la nube o administrador de nube privada, puedes implementar un tejido protegido que normalmente consta de un servidor que ejecuta el Servicio de protección de host (HGS), uno o varios servidores host de Hyper-V protegidos y una o varias máquinas virtuales blindadas que se ejecutan en esos hosts. Más información sobre los tejidos protegidos
¿Por qué necesito proteger las máquinas virtuales?
Las máquinas virtuales contienen información confidencial y la configuración que el propietario de la máquina virtual no desea que un administrador de tejido vea. Sin embargo, dado que todos los datos de las máquinas virtuales se almacenan en archivos, los datos se pueden copiar e inspeccionar fácilmente mediante malware o un administrador malintencionado.
Las máquinas virtuales blindadas de Windows Server ayudan a evitar estos ataques autentificando rigurosamente el estado de un host de Hyper-V antes de arrancar una máquina virtual. De este modo, se garantiza que la máquina virtual solo la puede iniciar su propietario en centros de datos autorizados y permite que el sistema operativo invitado cifre sus propios datos mediante un TPM virtual nuevo. El propietario de la máquina virtual puede seleccionar entre los dos tipos de protección siguientes al crear una máquina virtual sensible a la seguridad:
- Cifrado admitido: muy conveniente para escenarios de nube privada de empresa donde es necesario el cifrado de datos en reposo y en ejecución, pero los administradores del tejido aún son de confianza. La consola de máquina virtual y otras ventajas de la administración siguen estando disponibles para los administradores del tejido.
- Blindada: la opción de implementación más segura, un blindaje que impide que los administradores de tejido se conecten a la consola de la máquina virtual o modifiquen los aspectos de seguridad de la configuración de la máquina virtual. Los propietarios de máquinas virtuales solo pueden acceder a la máquina virtual a través de las herramientas de administración remota que elijan habilitar. Esto se recomienda para los inquilinos que ejecutan cargas de trabajo confidenciales en la infraestructura pública o compartida.
Administración de un tejido protegido con VMM
La infraestructura principal del tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el servicio de protección de host y los artefactos necesarios para crear máquinas virtuales protegidas) se incluye con la versión de Windows Server 2016 y posterior y se debe configurar de acuerdo con la documentación del tejido protegido. Una vez configurado, opcionalmente puedes usar System Center Virtual Machine Manager para simplificar la administración del tejido protegido.
La infraestructura principal de tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el Servicio de protección de host y los artefactos necesarios para crear máquinas virtuales protegidas) se incluye con la versión de Windows Server correspondiente y se debe configurar de acuerdo con la documentación de tejido protegido. Una vez configurado, opcionalmente puedes usar System Center Virtual Machine Manager para simplificar la administración del tejido protegido.
VMM puede usarse para:
- Aprovisionar y administrar los hosts protegidos en el tejido de VMM: puedes agregar hosts protegidos al tejido de VMM y administrarlos. Un host protegido es un servidor de Hyper-V que:
- Cumple con los requisitos previos de host protegido.
- Está autorizado por el servicio de protección de host para que el tejido ejecute máquinas virtuales blindadas. El administrador del HGS determina los requisitos para que los hosts autentifiquen correctamente y pasen a estar protegidos.
- Se marca como protegido en el VMM configurándolo para usar las mismas direcciones URL del HGS que las especificadas en la configuración global del VMM.
- Configura un disco duro virtual blindado y, opcionalmente, una plantilla de máquina virtual: los discos de la plantilla firmados (VHDX) usados para implementar nuevas máquinas virtuales blindadas se pueden almacenar en la biblioteca del VMM para facilitar la implementación. A continuación, puedes usar este VHDX en una plantilla de máquina virtual.
- Aprovisionamiento y administración de máquinas virtuales blindadas: VMM admite el ciclo de vida completo de las máquinas virtuales blindadas. Esto incluye:
- Creación de nuevas máquinas virtuales blindadas a partir de un disco de plantilla firmado (VHDX) y, opcionalmente, mediante una plantilla de máquina virtual.
- Conversión de las máquinas virtuales existentes en máquinas virtuales blindadas.