Escenario: Implementación de hosts protegidos y máquinas virtuales blindadas en VMM

  • Artículo

Importante

Esta versión de Virtual Machine Manager (VMM) ha llegado al final del soporte técnico. Se recomienda actualizar a VMM 2022.

En este artículo se proporciona información general sobre cómo implementar hosts protegidos y máquinas virtuales blindadas de Hyper-V en el tejido de proceso de System Center - Virtual Machine Manager (VMM).

Los tejidos protegidos proporcionan protecciones adicionales para máquinas virtuales que evitan la alteración y el robo por parte de administradores malintencionados y malware. Como proveedor de servicios en la nube o administrador de la nube privada, puede implementar un tejido protegido que normalmente consta de un servidor que ejecuta el Servicio de protección de host (HGS), uno o más servidores host de Hyper-V protegidos y una o varias máquinas virtuales blindadas que se ejecutan en esos hosts. Más información sobre el tejido protegido.

¿Por qué es necesario proteger las máquinas virtuales?

Es posible que el propietario de la máquina virtual no quiera que un administrador de tejido vea los datos y las configuraciones confidenciales que contiene. Sin embargo, como todos los datos de las máquinas virtuales se almacenan en archivos, un administrador malintencionado o un programa de malware podrían copiar e inspeccionar los datos fácilmente.

Las máquinas virtuales blindadas de Windows Server ayudan a evitar estos ataques atestiguando rigurosamente el estado de un host de Hyper-V antes de arrancar una máquina virtual, lo que garantiza que la máquina virtual solo se puede iniciar en centros de datos autorizados por el propietario de la máquina virtual y permitir que el sistema operativo invitado cifre sus propios datos mediante un nuevo TPM virtual. Al crear una máquina virtual de seguridad, el propietario de la máquina puede seleccionar dos tipos de protección:

  • Cifrado admitido: muy conveniente para escenarios de nube privada de empresa donde es necesario el cifrado de datos en reposo y en ejecución, pero los administradores del tejido aún son de confianza. La consola de VM y otras ventajas de administración permanecen disponibles para los administradores de tejido.
  • Blindado: el blindaje, la opción de implementación más segura, impide que los administradores de tejido se conecten a la consola de VM o que modifiquen los aspectos de seguridad de la configuración de VM. Los propietarios de la máquina virtual solo pueden acceder a ella mediante herramientas de administración remota que deciden habilitar. Es la opción recomendada para los inquilinos que ejecutan cargas de trabajo confidenciales en una infraestructura pública o compartida.

Administración de un tejido protegido con VMM

La infraestructura básica de tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el servicio de protección de host y los artefactos necesarios para crear máquinas virtuales blindadas) se incluye con Windows Server 2016 y versiones posteriores y se debe configurar según la documentación del tejido protegido. Una vez configurada, puede usar opcionalmente System Center Virtual Machine Manager para simplificar la administración de tejido protegido.

La infraestructura básica de tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el servicio de protección de host y los artefactos necesarios para crear máquinas virtuales blindadas) se incluye con la versión aplicable de Windows Server y debe configurarse según la documentación del tejido protegido. Una vez configurada, puede usar opcionalmente System Center Virtual Machine Manager para simplificar la administración de tejido protegido.

VMM se puede usar para:

  • Aprovisionar y administrar hosts protegidos en el tejido de VMM: puede agregar y administrar hosts protegidos en el tejido de VMM. Un host protegido es un servidor de Hyper-V que:
    • Cumple los requisitos previos de host protegido.
    • Está autorizado por el Servicio de protección de host del tejido para ejecutar máquinas virtuales protegidas. El administrador de HGS determina los requisitos de los hosts para atestiguarlos correctamente y convertirlos en "protegidos".
    • Está marcado como protegido en VMM, al estar configurado para usar las mismas direcciones URL de HGS que las especificadas en la configuración global de VMM.
  • Configure un disco duro virtual blindado y, opcionalmente, una plantilla de máquina Virtual: los discos de plantilla firmada (VHDX) que se usan para implementar nuevas máquinas virtuales blindadas pueden almacenarse en la biblioteca VMM para facilitar la implementación. A continuación, use este VHDX en una plantilla de máquina virtual.
  • Aprovisione y administre máquinas virtuales blindadas: VMM admite el ciclo de vida completo de máquinas virtuales blindadas. Esto incluye:
    • Creación de nuevas máquinas virtuales blindadas desde un disco de plantilla firmada (VHDX) y, opcionalmente, con una plantilla de máquina Virtual.
    • Convertir las máquinas virtuales existentes en máquinas virtuales blindadas.

Pasos siguientes