Escenario: Implementación de hosts protegidos y máquinas virtuales blindadas en VMM
En este artículo se proporciona información general sobre la implementación de hosts protegidos de Hyper-V y máquinas virtuales blindadas en un tejido de proceso de System Center Virtual Machine Manager (VMM).
Los tejidos protegidos proporcionan protecciones adicionales para las máquinas virtuales para evitar alteraciones y robos por parte de administradores malintencionados y malware. Como proveedor de servicios en la nube o administrador de nube privada, puede implementar un tejido protegido que normalmente consta de un servidor que ejecuta el Servicio de protección de host (HGS), uno o varios servidores host de Hyper-V protegidos y una o varias máquinas virtuales blindadas que se ejecutan en esos hosts. Obtenga más información sobre los tejidos protegidos.
¿Por qué necesito proteger las máquinas virtuales?
Las máquinas virtuales contienen datos confidenciales y la configuración que el propietario de la máquina virtual no desea que un administrador de tejido vea. Sin embargo, dado que todos los datos de las máquinas virtuales se almacenan en archivos, los datos se pueden copiar e inspeccionar fácilmente mediante malware o un administrador malintencionado.
Las máquinas virtuales blindadas de Windows Server ayudan a evitar estos ataques atestiguando rigurosamente el estado de un host de Hyper-V antes de arrancar una máquina virtual, lo que garantiza que la máquina virtual solo se puede iniciar en centros de datos autorizados por el propietario de la máquina virtual y permitir que el sistema operativo invitado cifre sus propios datos mediante un TPM virtual nuevo. El propietario de la máquina virtual puede seleccionar entre los dos tipos de protección siguientes al crear una máquina virtual sensible a la seguridad:
- Cifrado admitido: muy conveniente para escenarios de nube privada de empresa donde es necesario el cifrado de datos en reposo y en ejecución, pero los administradores del tejido aún son de confianza. La consola de máquina virtual y otras comodidades de administración siguen estando disponibles para los administradores del tejido.
- Blindada: la opción de implementación más segura, blindaje impide que los administradores de tejido se conecten a la consola de máquina virtual o modifiquen los aspectos de seguridad de la configuración de la máquina virtual. Los propietarios de máquinas virtuales solo pueden acceder a la máquina virtual a través de herramientas de administración remota que eligen habilitar. Esto se recomienda para los inquilinos que ejecutan cargas de trabajo confidenciales en la infraestructura pública o compartida.
Administración de un tejido protegido con VMM
La infraestructura principal del tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el servicio de protección de host y los artefactos necesarios para crear máquinas virtuales blindadas) se incluye con Windows Server 2016 y versiones posteriores y debe configurarse según la documentación del tejido protegido. Una vez configurado, opcionalmente puede usar System Center Virtual Machine Manager para simplificar la administración del tejido protegido.
La infraestructura principal del tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el servicio de protección de host y los artefactos necesarios para crear máquinas virtuales blindadas) se incluye con la versión de Windows Server aplicable y debe configurarse según la documentación del tejido protegido. Una vez configurado, opcionalmente puede usar System Center Virtual Machine Manager para simplificar la administración del tejido protegido.
VMM se puede usar para:
- Aprovisionar y administrar hosts protegidos en el tejido de VMM: puede agregar y administrar hosts protegidos al tejido de VMM. Un host protegido es un servidor de Hyper-V que:
- Cumple los requisitos previos del host protegido.
- Está autorizado por el servicio de protección de host para que el tejido ejecute máquinas virtuales blindadas. El administrador de HGS determina los requisitos para que los hosts atestiguan correctamente y se protejan.
- Se marca como protegido en VMM configurándolo para usar las mismas direcciones URL de HGS que las especificadas en la configuración global de VMM.
- Configure un disco duro virtual blindado y, opcionalmente, una plantilla de máquina virtual: los discos de plantilla firmados (VHDX) usados para implementar nuevas máquinas virtuales blindadas se pueden almacenar en la biblioteca VMM para facilitar la implementación. A continuación, puede usar este VHDX en una plantilla de máquina virtual.
- Aprovisionamiento y administración de máquinas virtuales blindadas: VMM admite el ciclo de vida completo de las máquinas virtuales blindadas. Esto incluye:
- Creación de máquinas virtuales blindadas a partir de un disco de plantilla firmado (VHDX) y, opcionalmente, mediante una plantilla de máquina virtual.
- Conversión de las máquinas virtuales existentes en máquinas virtuales blindadas.