Menyebarkan virtualisasi perusahaan tepercaya di Azure Stack HCI
Berlaku untuk: Azure Stack HCI, versi 22H2
Topik ini memberikan panduan tentang cara merencanakan, mengonfigurasi, dan menyebarkan infrastruktur yang sangat aman, yang menggunakan virtualisasi perusahaan tepercaya pada sistem operasi Azure Stack HCI. Manfaatkan investasi Azure Stack HCI Anda untuk menjalankan beban kerja yang aman pada perangkat keras yang menggunakan keamanan berbasis virtualisasi (VBS) dan layanan cloud hybrid melalui Pusat Admin Windows dan portal Azure.
Gambaran Umum
VBS adalah komponen utama dari investasi keamanan di Azure Stack HCI untuk melindungi host dan mesin virtual (VM) dari ancaman keamanan. Misalnya, Security Technical Implementation Guide (STIG), yang diterbitkan sebagai alat untuk meningkatkan keamanan sistem informasi Departemen Pertahanan (DoD), mencantumkan VBS dan Hypervisor-Protected Code Integrity (HVCI) sebagai persyaratan keamanan umum. Sangat penting untuk menggunakan perangkat keras host yang diaktifkan untuk VBS dan HVCI untuk melindungi beban kerja pada VM, karena host yang disusupi tidak dapat menjamin perlindungan VM.
VBS menggunakan fitur virtualisasi perangkat keras untuk membuat dan mengisolasi wilayah memori yang aman dari sistem operasi. Anda dapat menggunakan Virtual Secure Mode (VSM) di Windows untuk menghosting sejumlah solusi keamanan guna meningkatkan perlindungan dari kerentanan sistem operasi dan eksploitasi berbahaya secara signifikan.
VBS menggunakan hypervisor Windows untuk membuat dan mengelola batas-batas keamanan dalam perangkat lunak sistem operasi, menegakkan pembatasan untuk melindungi sumber daya sistem yang vital, serta melindungi aset keamanan, seperti info masuk pengguna yang diautentikasi. Dengan VBS, bahkan jika malware mendapatkan akses ke kernel sistem operasi, Anda dapat sangat membatasi dan membatasi kemungkinan eksploitasi, karena hypervisor mencegah malware mengeksekusi kode atau mengakses rahasia platform.
Hypervisor, tingkat perangkat lunak sistem dengan hak istimewa paling banyak, menetapkan dan menegakkan izin halaman di semua memori sistem. Sementara di VSM, halaman hanya dapat dijalankan setelah melewati pemeriksaan integritas kode. Bahkan jika kerentanan, seperti luapan buffer yang dapat memungkinkan malware untuk mencoba memodifikasi memori terjadi, halaman kode tidak dapat dimodifikasi, dan memori yang dimodifikasi tidak dapat dijalankan. VBS dan HVCI secara signifikan memperkuat penegakan kebijakan integritas kode. Semua driver mode kernel dan biner diperiksa sebelum dapat dimulai, dan driver atau file sistem yang tidak ditandatangani dicegah agar tidak dapat dimuat ke dalam memori sistem.
Menyebarkan virtualisasi perusahaan tepercaya
Bagian ini menjelaskan pada tingkat tinggi cara memperoleh perangkat keras untuk menyebarkan infrastruktur yang sangat aman yang menggunakan virtualisasi perusahaan tepercaya di Azure Stack HCI dan Pusat Admin Windows untuk manajemen.
Langkah 1: Memperoleh perangkat keras untuk virtualisasi perusahaan tepercaya di Azure Stack HCI
Pertama, Anda harus mendapatkan perangkat keras. Cara termudah untuk melakukannya adalah dengan menemukan mitra perangkat keras Microsoft pilihan Anda di Katalog Azure Stack HCI dan membeli sistem terintegrasi dengan sistem operasi Azure Stack HCI yang sudah diinstal sebelumnya. Di katalog, Anda dapat memfilter untuk melihat perangkat keras vendor yang dioptimalkan untuk jenis beban kerja ini.
Jika tidak, Anda harus menyebarkan sistem operasi Azure Stack HCI pada perangkat keras Anda sendiri. Untuk detail tentang opsi penerapan Azure Stack HCI dan menginstal Pusat Admin Windows, lihat Menerapkan sistem operasi Azure Stack HCI.
Selanjutnya, gunakan Pusat Admin Windows untuk membuat kluster Azure Stack HCI.
Semua perangkat keras mitra untuk Azure Stack HCI disertifikasi dengan Kualifikasi Tambahan Jaminan Perangkat Keras. Proses kualifikasi menguji semua fungsi VBS yang diperlukan. Namun, VBS dan HVCI tidak diaktifkan secara otomatis di Azure Stack HCI. Untuk informasi selengkapnya tentang Kualifikasi Tambahan Jaminan Perangkat Keras, lihat "Jaminan Perangkat Keras" di bagian Sistem dalam Katalog Windows Server.
Peringatan
HVCI mungkin tidak kompatibel dengan perangkat keras yang tidak tercantum dalam Katalog Azure Stack HCI. Kami sangat menyarankan untuk menggunakan perangkat keras yang divalidasi Azure Stack HCI dari mitra kami untuk infrastruktur virtualisasi perusahaan tepercaya.
Langkah 2: Mengaktifkan CORS
Aktifkan HVCI pada perangkat keras server dan VM Anda. Untuk mengetahui detailnya, lihat Mengaktifkan perlindungan integritas kode berbasis virtualisasi.
Langkah 3: Menyiapkan Azure Security Center di Pusat Admin Windows
Di Pusat Admin Windows, siapkan Azure Security Center untuk menambahkan perlindungan ancaman dan menilai postur keamanan beban kerja Anda dengan cepat.
Untuk mempelajari selengkapnya, lihat Melindungi sumber daya Pusat Admin Windows dengan Security Center.
Untuk memulai dengan Security Center:
- Anda memerlukan langganan untuk Microsoft Azure. Jika tidak memiliki langganan, Anda dapat mendaftar coba gratis.
- Tingkat harga gratis dari Security Center diaktifkan pada semua langganan Azure Anda saat ini setelah Anda mengunjungi dasbor Azure Security Center di portal Azure, atau mengaktifkannya secara terprogram melalui API. Untuk memanfaatkan kemampuan deteksi ancaman dan manajemen keamanan tingkat lanjut, Anda harus mengaktifkan Azure Defender. Anda dapat menggunakan Azure Defender secara gratis selama 30 hari. Untuk informasi selengkapnya, lihat Harga Security Center.
- Jika Anda siap mengaktifkan Azure Defender sekarang, lihat Mulai cepat: Menyiapkan Azure Security Center yang akan memberi Anda panduan langkah demi langkah.
Anda juga dapat menggunakan Pusat Admin Windows untuk menyiapkan layanan hybrid Azure tambahan, seperti Backup, Sinkronisasi File, Site Recovery, VPN Titik-ke-Situs, dan Update Management.
Langkah berikutnya
Untuk informasi selengkapnya terkait virtualisasi perusahaan tepercaya, lihat: