Distribuire la virtualizzazione aziendale affidabile su Azure Stack HCI
Si applica a: Azure Stack HCI, versione 22H2
Questo argomento fornisce indicazioni su come pianificare, configurare e distribuire un'infrastruttura altamente sicura che usa la virtualizzazione aziendale attendibile nel sistema operativo Azure Stack HCI. Sfruttare gli investimenti di Azure Stack HCI per eseguire carichi di lavoro sicuri su hardware che usano la sicurezza basata su virtualizzazione e i servizi cloud ibridi tramite Windows Admin Center e il portale di Azure.
Panoramica
La sicurezza basata su virtualizzazione è un componente fondamentale degli investimenti per la sicurezza in Azure Stack HCI per proteggere gli host e le macchine virtuali dalle minacce alla sicurezza. Ad esempio, la Guida all'implementazione tecnica della sicurezza (STIG), pubblicata come strumento per migliorare la sicurezza dei sistemi informativi DoD (Department of Defense), elenca VBS e Hypervisor-Protected Code Integrity (HVCI) come requisiti di sicurezza generali. È fondamentale usare l'hardware host abilitato per la sicurezza basata su HVCI e VBS per proteggere i carichi di lavoro nelle macchine virtuali, perché un host compromesso non può garantire la protezione delle macchine virtuali.
La sicurezza basata su virtualizzazione usa le funzionalità di virtualizzazione hardware per creare e isolare un'area sicura di memoria dal sistema operativo. È possibile usare la modalità di protezione virtuale (VSM) in Windows per ospitare una serie di soluzioni di sicurezza per aumentare notevolmente la protezione dalle vulnerabilità del sistema operativo e dagli exploit dannosi.
VbS usa l'hypervisor di Windows per creare e gestire i limiti di sicurezza nel software del sistema operativo, applicare restrizioni per proteggere le risorse di sistema vitali e proteggere gli asset di sicurezza, ad esempio le credenziali utente autenticate. Con vbs, anche se il malware ottiene l'accesso al kernel del sistema operativo, è possibile limitare notevolmente e contenere possibili exploit, perché l'hypervisor impedisce al malware di eseguire codice o accedere ai segreti della piattaforma.
L'hypervisor, il livello di software di sistema più privilegiato, imposta e applica le autorizzazioni di pagina in tutta la memoria di sistema. Mentre in VSM, le pagine possono essere eseguite solo dopo aver superato i controlli di integrità del codice. Anche se si verifica una vulnerabilità, ad esempio un overflow del buffer che potrebbe consentire al malware di tentare di modificare la memoria, non è possibile modificare le tabelle codici e non è possibile eseguire la memoria modificata. VBS e HVCI rafforzano significativamente l'applicazione dei criteri di integrità del codice. Tutti i driver e i file binari in modalità kernel vengono controllati prima di poter avviare e i driver o i file di sistema non firmati non possono essere caricati nella memoria di sistema.
Distribuire la virtualizzazione aziendale attendibile
Questa sezione descrive a livello generale come acquisire hardware per distribuire un'infrastruttura altamente sicura che usa la virtualizzazione aziendale attendibile in Azure Stack HCI e Windows Admin Center per la gestione.
Passaggio 1: Acquisire l'hardware per la virtualizzazione aziendale attendibile in Azure Stack HCI
Prima di tutto, dovrai procurarti l'hardware. Il modo più semplice per eseguire questa operazione consiste nell'individuare il partner hardware Microsoft preferito nel catalogo di Azure Stack HCI e acquistare un sistema integrato con il sistema operativo Azure Stack HCI preinstallato. Nel catalogo è possibile filtrare per visualizzare l'hardware del fornitore ottimizzato per questo tipo di carico di lavoro.
In caso contrario, sarà necessario distribuire il sistema operativo Azure Stack HCI nel proprio hardware. Per informazioni dettagliate sulle opzioni di distribuzione di Azure Stack HCI e sull'installazione di Windows Admin Center, vedere Distribuire il sistema operativo Azure Stack HCI.
Usare quindi Windows Admin Center per creare un cluster Azure Stack HCI.
Tutto l'hardware partner per Azure Stack HCI è certificato con la qualifica aggiuntiva Hardware Assurance. Il processo di qualificazione verifica tutte le funzionalità vbs necessarie. Tuttavia, la sicurezza basata su HVCI e la sicurezza basata su HVCI non vengono abilitate automaticamente in Azure Stack HCI. Per altre informazioni sulla qualifica aggiuntiva di Hardware Assurance, vedere "Hardware Assurance" in Sistemi nel catalogo di Windows Server.
Avviso
HVCI potrebbe non essere compatibile con i dispositivi hardware non elencati nel catalogo di Azure Stack HCI. È consigliabile usare l'hardware convalidato di Azure Stack HCI dai partner per l'infrastruttura di virtualizzazione aziendale attendibile.
Passaggio 2: Abilitare HVCI
Abilitare HVCI nell'hardware del server e nelle macchine virtuali. Per informazioni dettagliate, vedere Abilitare la protezione basata su virtualizzazione dell'integrità del codice.
Passaggio 3: Configurare Centro sicurezza di Azure in Windows Admin Center
In Windows Admin Center configurare Centro sicurezza di Azure per aggiungere la protezione dalle minacce e valutare rapidamente il comportamento di sicurezza dei carichi di lavoro.
Per altre informazioni, vedere Proteggere le risorse di Windows Admin Center con il Centro sicurezza.
Per iniziare a usare il Centro sicurezza:
- È necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere una versione di valutazione gratuita.
- Il piano tariffario gratuito del Centro sicurezza è abilitato in tutte le sottoscrizioni di Azure correnti dopo aver visitato il dashboard Centro sicurezza di Azure nel portale di Azure oppure abilitarlo a livello di codice tramite API. Per sfruttare i vantaggi delle funzionalità avanzate di gestione della sicurezza e rilevamento delle minacce, è necessario abilitare Azure Defender. È possibile usare Gratuitamente Azure Defender per 30 giorni. Per altre informazioni, vedere Prezzi del Centro sicurezza.
- Se si è pronti per abilitare Azure Defender, vedere Avvio rapido: Configurazione Centro sicurezza di Azure per completare i passaggi.
È anche possibile usare Windows Admin Center per configurare servizi ibridi di Azure aggiuntivi, ad esempio Backup, Sincronizzazione file, Site Recovery, VPN da punto a sito e Gestione aggiornamenti.
Passaggi successivi
Per altre informazioni relative alla virtualizzazione aziendale attendibile, vedere: