Condividi tramite

Scenario 1: distribuire host sorvegliati e macchine virtuali schermate in VMM

  • Articolo

Questo articolo offre una panoramica della distribuzione di host sorvegliati Hyper-V e di macchine virtuali schermate in un'infrastruttura di calcolo di System Center Virtual Machine Manager (VMM).

Le infrastrutture sorvegliate offrono protezioni aggiuntive per le macchine virtuali per evitare manomissioni e furti da amministratori malintenzionati e malware. In qualità di provider di servizi cloud o amministratore del cloud privato, è possibile distribuire un'infrastruttura sorvegliata costituita in genere da un server che esegue il servizio Sorveglianza host (HGS), uno o più server host Hyper-V sorvegliati e una o più macchine virtuali schermate in esecuzione in tali host. Altre informazioni sui tessuti sorvegliati.

Perché è necessario proteggere le macchine virtuali?

Le macchine virtuali contengono dati sensibili e configurazione che il proprietario della macchina virtuale non vuole che venga visualizzato un amministratore dell'infrastruttura. Tuttavia, poiché tutti i dati per le macchine virtuali vengono archiviati nei file, i dati possono essere facilmente copiati e controllati da malware o da un amministratore malintenzionato.

Le macchine virtuali schermate in Windows Server consentono di evitare tali attacchi attestando rigorosamente l'integrità di un host Hyper-V prima di avviare una macchina virtuale, assicurandosi che la macchina virtuale possa essere avviata solo nei data center autorizzati dal proprietario della macchina virtuale e consentendo al sistema operativo guest di crittografare i propri dati usando un nuovo TPM virtuale. Il proprietario della macchina virtuale può scegliere tra i due tipi di protezione seguenti durante la creazione di una macchina virtuale sensibile alla sicurezza:

  • Crittografia supportata: ideale per gli scenari di cloud privato aziendale in cui è necessaria la crittografia dei dati inattivi e in anteprima, ma gli amministratori dell'infrastruttura sono ancora attendibili. La console della macchina virtuale e altre comodità di gestione rimangono disponibili per gli amministratori dell'infrastruttura.
  • Schermata: l'opzione di distribuzione più sicura, la schermatura impedisce agli amministratori dell'infrastruttura di connettersi alla console della macchina virtuale o di modificare gli aspetti di sicurezza della configurazione della macchina virtuale. I proprietari delle macchine virtuali possono accedere alla macchina virtuale solo tramite strumenti di gestione remota che scelgono di abilitare. Questa opzione è consigliata per i tenant che eseguono carichi di lavoro sensibili nell'infrastruttura pubblica o condivisa.

Gestire un'infrastruttura sorvegliata con VMM

L'infrastruttura di infrastruttura sorvegliata principale (costituita da uno o più host Hyper-V sorvegliati, il servizio Sorveglianza host e gli artefatti necessari per creare macchine virtuali schermate) è inclusa in Windows Server 2016 e versioni successive e deve essere configurata in base alla documentazione dell'infrastruttura sorvegliata. Dopo la configurazione, è possibile usare Facoltativamente System Center Virtual Machine Manager per semplificare la gestione dell'infrastruttura sorvegliata.

L'infrastruttura di infrastruttura sorvegliata principale (costituita da uno o più host Hyper-V sorvegliati, il servizio Sorveglianza host e gli artefatti necessari per creare macchine virtuali schermate) è inclusa nella versione di Windows Server applicabile e deve essere configurata in base alla documentazione dell'infrastruttura sorvegliata. Dopo la configurazione, è possibile usare Facoltativamente System Center Virtual Machine Manager per semplificare la gestione dell'infrastruttura sorvegliata.

VMM può essere usato per:

  • Effettuare il provisioning e gestire gli host sorvegliati nell'infrastruttura VMM: è possibile aggiungere e gestire host sorvegliati all'infrastruttura VMM. Un host sorvegliato è un server Hyper-V che:
    • Soddisfa i prerequisiti dell'host sorvegliato.
    • È autorizzato dal servizio Sorveglianza host affinché l'infrastruttura esegua macchine virtuali schermate. L'amministratore HGS determina i requisiti per gli host per attestare correttamente e diventare sorvegliati.
    • È contrassegnato come sorvegliato in VMM configurandolo per l'uso degli stessi URL HGS specificati nelle impostazioni VMM globali.
  • Configurare un disco rigido virtuale schermato e, facoltativamente, un modello di macchina virtuale: i dischi modello firmati (VHDX) usati per distribuire nuove macchine virtuali schermate possono essere archiviati nella libreria VMM per semplificare la distribuzione. È quindi possibile usare questo VHDX in un modello di macchina virtuale.
  • Effettuare il provisioning e gestire le macchine virtuali schermate: VMM supporta il ciclo di vita completo delle macchine virtuali schermate. ad esempio:
    • Creazione di nuove macchine virtuali schermate da un disco modello firmato (VHDX) e facoltativamente usando un modello di macchina virtuale.
    • Conversione delle macchine virtuali esistenti in macchine virtuali schermate.

Passaggi successivi

Effettuare il provisioning di host sorvegliati nell'infrastruttura VMM