Introducción al inicio seguro de máquinas virtuales de Azure Arc en Azure Stack HCI, versión 23H2
Se aplica a: Azure Stack HCI, versión 23H2
En este artículo se presenta el inicio de confianza para máquinas virtuales (VM) de Azure Arc en Azure Stack HCI, versión 23H2. Puede crear una máquina virtual de Arc de inicio seguro mediante Azure Portal o mediante Interfaz de la línea de comandos de Azure (CLI).
Introducción
El inicio seguro para máquinas virtuales de Azure Arc admite el arranque seguro, el módulo de plataforma segura (vTPM) y la transferencia de estado vTPM cuando una máquina virtual migra o conmuta por error dentro de un clúster.
El inicio de confianza es un tipo de seguridad que se puede especificar al crear máquinas virtuales de Arc en Azure Stack HCI. Para más información, consulte Inicio seguro para máquinas virtuales de Azure Arc en Azure Stack HCI.
Funcionalidades y ventajas
| Funcionalidad | Prestación |
|---|---|
| Arranque seguro | Ayuda a reducir el riesgo de malware (rootkits) durante el arranque comprobando que los componentes de arranque están firmados por editores de confianza. |
| vTPM | Versión virtualizada de un TPM de hardware que actúa como almacén dedicado para claves, certificados y secretos. |
| Transferencia de estado de vTPM | Conserva vTPM cuando la máquina virtual migra o conmuta por error dentro de un clúster. |
| Seguridad basada en virtualización (VBS) | El invitado en la máquina virtual puede crear regiones aisladas de memoria mediante la compatibilidad con VBS. |
Nota:
La comprobación de la integridad del arranque invitado de la máquina virtual no está disponible.
Guía
IgvmAgent es un componente que se instala en todos los nodos del clúster de Azure Stack HCI. Habilita la compatibilidad con máquinas virtuales aisladas, como máquinas virtuales de Arc de inicio seguro, por ejemplo.
Como parte de la creación de máquinas virtuales de Arc de inicio seguro, Hyper-V crea archivos de máquina virtual en disco para almacenar el estado de la máquina virtual. De forma predeterminada, el acceso a esos archivos de máquina virtual está restringido a los administradores del servidor host. Los administradores de host deben asegurarse de que la ubicación donde se almacenan los archivos de máquina virtual siempre permanece adecuadamente restringida al acceso.
El tráfico de red de migración en vivo de la máquina virtual no está cifrado. Se recomienda encarecidamente habilitar una tecnología de cifrado de capa de red, como IPsec, para proteger el tráfico de red de migración en vivo.
Imágenes de sistema operativo invitado
Se admiten las siguientes imágenes del sistema operativo invitado de máquina virtual de Azure Marketplace. La imagen de máquina virtual se puede crear mediante Azure Portal o la CLI de Azure.
Para más información, consulte Creación de una imagen de máquina virtual de Azure Stack HCI mediante Azure Marketplace.
| Nombre | Publicador | Oferta | SKU | Número de versión |
|---|---|---|---|---|
| Windows 11 Empresas multisesión, versión 22H2: Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Empresas multisesión, versión 22H2 + Aplicaciones Microsoft 365 (versión preliminar): Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Empresas multisesión, versión 21H2: Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Empresas multisesión, versión 21H2 + Aplicaciones Microsoft 365- Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Nota:
No se admiten imágenes de invitado de máquina virtual obtenidas fuera de Azure Marketplace.
Pasos siguientes
- Implementación de máquinas virtuales de Arc de inicio seguro.