Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Hyper-V komputer virtual (VM) generasi 2 menyediakan fitur keamanan yang kuat yang dirancang untuk melindungi data sensitif dan mencegah akses atau perusakan yang tidak sah. Artikel ini menjelajahi pengaturan keamanan yang tersedia di Hyper-V Manager untuk VM generasi 2 dan menunjukkan cara mengonfigurasinya. Pelajari bagaimana fitur-fitur ini dapat membantu melindungi VM Anda dari ancaman dan memastikan kepatuhan terhadap praktik terbaik keamanan.
Fitur keamanan yang tersedia untuk VM generasi 2 di Hyper-V meliputi:
- Boot Aman.
- Dukungan enkripsi untuk Modul Platform Tepercaya (TPM), migrasi langsung, dan status tersimpan.
- VM Terlindung
- Host Guardian Service (HGS).
Fitur keamanan ini dirancang untuk membantu melindungi data dan status komputer virtual. Anda dapat melindungi Mesin Virtual dari inspeksi, pencurian, dan perubahan baik dari malware yang mungkin berjalan pada komputer induk maupun dari administrator pusat data. Tingkat keamanan yang Anda dapatkan tergantung pada perangkat keras host yang Anda jalankan, pembuatan komputer virtual, dan apakah Anda mengatur pendamping Host Guardian Service (HGS), yang mengotorisasi host untuk memulai VM terlindungi.
Layanan Wali Host pertama kali diperkenalkan di Windows Server 2016. Ini mengidentifikasi host Hyper-V yang sah dan memungkinkan mereka menjalankan serangkaian VM terlindungi. Anda paling sering mengaktifkan Layanan Wali Host untuk pusat data, tetapi Anda juga dapat membuat VM terlindungi untuk menjalankannya secara lokal tanpa menyiapkan Layanan Wali Host. Anda nantinya dapat mendistribusikan mesin virtual terlindungi ke Host Guardian Service.
Untuk mempelajari bagaimana Anda dapat membuat VM Anda lebih aman dengan Host Guardian Service, lihat Guarded Fabric dan Shielded VM dan Harden the Fabric: Melindungi Rahasia Penyewa di Hyper-V (video Ignite).
Secure Boot (Pengaktifan Aman)
Boot Aman adalah fitur yang tersedia dengan VM generasi 2 yang membantu mencegah firmware yang tidak sah, sistem operasi, atau driver Unified Extensible Firmware Interface (UEFI) (juga dikenal sebagai opsi ROM) agar tidak berjalan pada waktu boot. Boot Aman diaktifkan secara default. Anda dapat menggunakan boot aman dengan VM generasi 2 yang menjalankan sistem operasi distribusi Windows atau Linux.
Ada tiga templat berbeda yang tersedia, tergantung pada sistem operasi dan konfigurasi VM. Tabel berikut mencantumkan masing-masing templat ini dan mengacu pada sertifikat yang Perlu Anda verifikasi integritas proses boot:
| Nama templat | Compatibility |
|---|---|
| Microsoft Windows | Sistem operasi Windows. |
| Otoritas Sertifikat Microsoft UEFI | Sistem operasi distribusi Linux. |
| Open Source Shielded VM | VM terlindung berbasis Linux. |
Dukungan enkripsi
komputer virtual Hyper-V Generasi 2 menawarkan kemampuan enkripsi kuat yang memberikan beberapa lapisan perlindungan untuk infrastruktur virtual Anda. Dukungan enkripsi mencakup tiga area penting: fungsionalitas TPM (Modul Platform Tepercaya), lalu lintas jaringan migrasi langsung, dan data status tersimpan. Fitur keamanan ini bekerja sama untuk menciptakan pertahanan komprehensif terhadap akses yang tidak sah dan pelanggaran data, memastikan bahwa informasi sensitif tetap terlindungi baik saat tidak aktif maupun saat transit.
Fitur TPM (vTPM) virtual mewakili kemajuan signifikan dalam arsitektur keamanan VM. Dengan menambahkan vTPM ke komputer virtual Generasi 2, Anda mengaktifkan sistem operasi tamu untuk menggunakan fungsi keamanan berbasis perangkat keras yang mirip dengan fungsi yang tersedia pada komputer fisik. Chip keamanan virtual ini memungkinkan OS tamu untuk mengenkripsi seluruh disk komputer virtual menggunakan Enkripsi Drive BitLocker, menciptakan lapisan perlindungan tambahan terhadap akses yang tidak sah. vTPM juga dapat mendukung teknologi keamanan lain yang membutuhkan TPM, menjadikannya komponen penting untuk lingkungan perusahaan yang memerlukan kepatuhan ketat terhadap standar dan peraturan keamanan.
Anda dapat memigrasikan komputer virtual dengan TPM virtual yang diaktifkan ke host apa pun yang menjalankan versi Windows Server atau Windows yang didukung. Jika Anda memigrasikannya ke host lain, Anda mungkin tidak dapat memulainya. Anda harus memperbarui Pelindung Kunci untuk komputer virtual tersebut untuk mengotorisasi host baru untuk menjalankan komputer virtual. Untuk informasi selengkapnya, lihat Guarded Fabric dan Shielded VMs dan Persyaratan sistem untuk Hyper-V di Windows Server.
Kebijakan Keamanan di Hyper-V Manager
Komputer virtual terlindungi mewakili tingkat keamanan tertinggi yang tersedia untuk Hyper-V VM Generasi 2, memberikan perlindungan komprehensif terhadap ancaman eksternal dan serangan akses istimewa. Saat mengaktifkan perisai pada komputer virtual, Anda membuat lingkungan yang diperkeras yang mengenkripsi lalu lintas status dan migrasi VM sambil membatasi akses administratif ke fungsi VM penting. Perlindungan ini melampaui langkah-langkah keamanan tradisional dengan mencegah administrator pusat data dan malware tingkat host mengakses memori VM, status tersimpan, atau lalu lintas jaringan selama operasi migrasi langsung.
Fitur perisai secara otomatis memberlakukan beberapa persyaratan keamanan, termasuk Boot Aman, pengaktifan TPM, dan enkripsi status tersimpan dan lalu lintas migrasi. Selain itu, VM terlindungi menonaktifkan kemampuan manajemen tertentu seperti koneksi konsol, PowerShell Direct, dan komponen integrasi tertentu yang berpotensi dieksploitasi penyerang. Pendekatan ini menciptakan model keamanan pertahanan mendalam di mana komputer virtual menjadi buram secara efektif ke sistem host, memastikan bahwa beban kerja sensitif tetap terlindungi bahkan di lingkungan hosting yang disusupi. Organisasi dapat menyebarkan VM terlindungi dengan Host Guardian Service untuk implementasi skala perusahaan atau menjalankannya secara lokal untuk keamanan yang ditingkatkan dalam penyebaran yang lebih kecil.
Anda dapat menjalankan komputer virtual terlindungi secara lokal tanpa menyiapkan Layanan Wali Host. Jika Anda memigrasikannya ke host lain, Anda mungkin tidak dapat memulainya. Anda harus memperbarui Pelindung Kunci untuk komputer virtual tersebut untuk mengotorisasi host baru untuk menjalankan komputer virtual. Untuk informasi selengkapnya, lihat Guarded Fabric dan Shielded VM.
Konten terkait
Untuk informasi lebih lanjut, baca artikel berikut: