Skenario - Menyebarkan host yang dijaga dan komputer virtual terlindungi di VMM

Artikel ini memberikan gambaran umum tentang menyebarkan host yang dijaga Hyper-V dan komputer virtual terlindungi di kain komputasi System Center - Virtual Machine Manager (VMM).

Fabric yang dijaga memberikan perlindungan tambahan untuk VM untuk mencegah perusakan dan pencurian oleh administrator dan malware berbahaya. Sebagai penyedia layanan cloud atau administrator cloud privat, Anda dapat menyebarkan fabric yang dijaga yang biasanya terdiri dari server yang menjalankan layanan wali host (HGS), satu atau beberapa server host Hyper-V yang dijaga, dan satu atau beberapa VM terlindungi yang berjalan pada host tersebut. Pelajari lebih lanjut tentang kain yang dijaga.

Mengapa saya perlu melindungi VM?

Komputer virtual berisi data dan konfigurasi sensitif yang mungkin tidak ingin dilihat oleh pemilik VM administrator fabric. Namun, karena semua data untuk VM disimpan dalam file, data dapat dengan mudah disalin dan diperiksa oleh malware atau administrator berbahaya.

VM terlindungi di Windows Server membantu mencegah serangan tersebut dengan membuktikan secara ketat kesehatan host Hyper-V sebelum booting VM, memastikan VM hanya dapat dimulai di pusat data yang diotorisasi oleh pemilik VM, dan memungkinkan OS tamu untuk mengenkripsi datanya sendiri dengan menggunakan TPM virtual baru. Pemilik VM dapat memilih dari dua jenis perlindungan berikut saat membuat VM yang sensitif terhadap keamanan:

• Enkripsi Didukung: Ideal untuk skenario cloud privat perusahaan di mana enkripsi data tidak aktif dan dalam penerbangan diperlukan, tetapi administrator fabric masih tepercaya. Konsol VM dan kenyamanan manajemen lainnya tetap tersedia untuk administrator fabric.
• Terlindungi: Opsi penyebaran yang paling aman, perisai mencegah administrator fabric terhubung ke konsol VM atau memodifikasi aspek keamanan konfigurasi VM. Pemilik VM hanya dapat mengakses VM melalui alat manajemen jarak jauh yang mereka pilih untuk diaktifkan. Ini direkomendasikan untuk penyewa yang menjalankan beban kerja sensitif pada infrastruktur publik atau bersama.

Mengelola kain yang dijaga dengan VMM

Infrastruktur fabric yang dijaga inti (terdiri dari satu atau beberapa host Hyper-V yang dijaga, Host Guardian Service, dan artefak yang diperlukan untuk membuat VM terlindungi) disertakan dengan versi Windows Server yang berlaku dan harus dikonfigurasi sesuai dengan dokumentasi fabric yang dijaga. Setelah disiapkan, Anda dapat secara opsional menggunakan System Center - Virtual Machine Manager untuk menyederhanakan manajemen fabric yang dijaga.

VMM dapat digunakan untuk:

• Provisikan dan kelola host yang dijaga di fabric VMM: Anda dapat menambahkan dan mengelola host yang dijaga ke fabric VMM. Host yang dijaga adalah server Hyper-V yang:
  • Memenuhi prasyarat host yang dijaga.
  • Diotorisasi oleh Host Guardian Service untuk fabric untuk menjalankan VM terlindungi. Admin HGS menentukan persyaratan bagi host untuk berhasil membuktikan dan menjadi "dijaga".
  • Ditandai sebagai dijaga di VMM dengan mengonfigurasinya untuk menggunakan URL HGS yang sama dengan yang ditentukan dalam pengaturan VMM global.
• Konfigurasikan hard disk virtual terlindungi dan secara opsional templat VM: Disk templat yang ditandatangani (VHDX) yang digunakan untuk menyebarkan VM terlindungi baru dapat disimpan di pustaka VMM untuk memudahkan penyebaran. Anda kemudian dapat menggunakan VHDX ini dalam templat VM.
• Menyediakan dan mengelola VM terlindungi: VMM mendukung siklus hidup penuh VM terlindungi. Drive ini termasuk:
  • Membuat VM terlindung baru dari disk templat yang ditandatangani (VHDX), dan secara opsional menggunakan templat VM.
  • Mengonversi VM yang ada menjadi VM terlindungi.

Langkah berikutnya

• Menyediakan host yang dijaga di fabric VMM