Megbízható vállalati virtualizálás üzembe helyezése az Azure Stack HCI-ben
A következőkre vonatkozik: Azure Stack HCI, 22H2-es verzió
Ez a témakör útmutatást nyújt a megbízható vállalati virtualizációt használó, az Azure Stack HCI operációs rendszerén megbízható nagyvállalati virtualizálást használó infrastruktúra tervezéséhez, konfigurálásához és üzembe helyezéséhez. Az Azure Stack HCI-befektetésével biztonságos számítási feladatokat futtathat virtualizációalapú biztonsági (VBS) és hibrid felhőszolgáltatásokat használó hardvereken a Windows Felügyeleti központban és az Azure Portalon.
Áttekintés
A VBS az Azure Stack HCI biztonsági befektetéseinek kulcsfontosságú összetevője a gazdagépek és virtuális gépek (VM-ek) biztonsági fenyegetések elleni védelme érdekében. A Védelmi Minisztérium (DoD) információs rendszerei biztonságának javítására szolgáló eszközként közzétett biztonsági műszaki megvalósítási útmutató (STIG) például általános biztonsági követelményekként sorolja fel a VBS-t és a hipervizor által védett kódintegritást (HVCI). A VBS és a HVCI számára engedélyezett gazdagéphardver használata elengedhetetlen a virtuális gépek számítási feladatainak védelméhez, mivel a feltört gazdagépek nem tudják garantálni a virtuális gépek védelmét.
A VBS hardveres virtualizálási funkciókkal hoz létre és különít el egy biztonságos memóriaterületet az operációs rendszertől. A Windows virtuális biztonsági módjával (VSM) számos biztonsági megoldást üzemeltethet, hogy jelentősen növelje az operációs rendszer biztonsági rései és a rosszindulatú biztonsági rések elleni védelmet.
A VBS a Windows-hipervizor használatával hoz létre és kezel biztonsági határokat az operációsrendszer-szoftverekben, korlátozásokat kényszerít ki a létfontosságú rendszererőforrások védelmére, és védi a biztonsági eszközöket, például a hitelesített felhasználói hitelesítő adatokat. A VBS esetén még akkor is, ha a kártevők hozzáférnek az operációs rendszer kerneléhez, nagy mértékben korlátozhatja és tartalmazhatja a lehetséges kihasználtságokat, mivel a hipervizor megakadályozza, hogy a kártevők kódokat hajtsanak végre vagy hozzáférjenek a platform titkos kulcsaihoz.
A hipervizor, a rendszerszoftverek legjogosabb szintje, beállítja és kikényszeríti az oldalengedélyeket az összes rendszermemóriában. A VSM-ben a lapok csak a kódintegritási ellenőrzések átadása után hajthatók végre. Még akkor sem módosíthatók a kódlapok, ha egy biztonsági rés, például egy puffertúllépés, amely lehetővé teheti a kártevők számára a memória módosításának kísérletét, a kódlapok nem módosíthatók, és a módosított memória nem hajtható végre. A VBS és a HVCI jelentősen erősíti a kódintegritási szabályzatok kényszerítését. A rendszer minden kernelmódú illesztőprogramot és bináris fájlt ellenőriz, mielőtt elindulhat, és az aláíratlan illesztőprogramok vagy rendszerfájlok nem tölthetők be a rendszermemóriába.
Megbízható vállalati virtualizálás üzembe helyezése
Ez a szakasz magas szinten ismerteti, hogyan szerezhet be hardvert egy megbízható nagyvállalati virtualizálást használó magas szintű infrastruktúra üzembe helyezéséhez az Azure Stack HCI-n és a Windows Felügyeleti központban a felügyelethez.
1. lépés: Hardver beszerzése megbízható vállalati virtualizáláshoz az Azure Stack HCI-n
Először hardvert kell beszereznie. Ennek legegyszerűbb módja, ha megkeresi az előnyben részesített Microsoft-hardverpartnert az Azure Stack HCI-katalógusban , és megvásárol egy integrált rendszert az előre telepített Azure Stack HCI operációs rendszerrel. A katalógusban szűrhet az ilyen típusú számítási feladatokhoz optimalizált szállítói hardverek megtekintésére.
Ellenkező esetben az Azure Stack HCI operációs rendszert a saját hardverén kell üzembe helyeznie. Az Azure Stack HCI telepítési lehetőségeiről és a Windows Felügyeleti központ telepítéséről az Azure Stack HCI operációs rendszerének üzembe helyezése című témakörben olvashat.
Ezután hozzon létre egy Azure Stack HCI-fürtöt a Windows Felügyeleti központban.
Az Azure Stack HCI összes partnerhardvere hardvergarancia kiegészítő minősítéssel rendelkezik. A minősítési folyamat tesztelése az összes szükséges VBS-funkcióhoz . A VBS és a HVCI azonban nem engedélyezett automatikusan az Azure Stack HCI-ben. A Hardvergarancia kiegészítő minősítésével kapcsolatos további információkért lásd a Windows Server katalógus Rendszerek területén található "Hardvergarancia" című témakört.
Figyelmeztetés
Előfordulhat, hogy a HVCI nem kompatibilis az Azure Stack HCI-katalógusban nem szereplő hardvereszközökkel. Erősen javasoljuk, hogy megbízható vállalati virtualizálási infrastruktúrához használjunk Azure Stack HCI által ellenőrzött hardvert a partnereinktől.
2. lépés: A HVCI engedélyezése
Engedélyezze a HVCI-t a kiszolgálói hardvereken és virtuális gépeken. További információ: A kódintegritás virtualizáláson alapuló védelmének engedélyezése.
3. lépés: Az Azure Security Center beállítása a Windows Felügyeleti központban
A Windows Felügyeleti központban állítsa be az Azure Security Centert fenyegetésvédelem hozzáadásához és a számítási feladatok biztonsági helyzetének gyors felméréséhez.
További információ: A Windows Felügyeleti központ erőforrásainak védelme a Security Centerrel.
A Security Center használatának első lépései:
- Ehhez egy Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- A Security Center ingyenes tarifacsomagja az összes jelenlegi Azure-előfizetésén engedélyezve van, miután felkeresi az Azure Security Center irányítópultját az Azure Portalon, vagy programozott módon engedélyezi azt AZ API-n keresztül. A fejlett biztonságkezelési és fenyegetésészlelési képességek kihasználásához engedélyeznie kell az Azure Defendert. Az Azure Defendert 30 napig ingyenesen használhatja. További információkért lásd a Security Center díjszabását.
- Ha készen áll az Azure Defender engedélyezésére, olvassa el a rövid útmutatót: Az Azure Security Center beállítása a lépések végrehajtásához.
A Windows Felügyeleti központ segítségével további hibrid Azure-szolgáltatásokat is beállíthat, például a Biztonsági mentést, a Fájlszinkronizálást, a Site Recoveryt, a pont–hely VPN-t és az Update Managementet.
Következő lépések
A megbízható vállalati virtualizálással kapcsolatos további információkért lásd: