次の方法で共有

シナリオ - VMM で保護されたホストとシールドされた仮想マシンを展開する

  • [アーティクル]

この記事では、System Center Virtual Machine Manager (VMM) コンピューティング ファブリックに Hyper-V で保護されたホストとシールドされた仮想マシンを展開する方法の概要について説明します。

保護されたファブリックは、悪意のある管理者やマルウェアによる改ざんや盗難を防ぐために、VM に追加の保護を提供します。 クラウド サービス プロバイダーまたはプライベート クラウド管理者は、通常、ホスト ガーディアン サービス (HGS) を実行しているサーバー、1 つ以上の保護された Hyper-V ホスト サーバー、およびそれらのホストで実行されている 1 つ以上のシールドされた VM で構成される保護されたファブリックを展開できます。 保護されたファブリックの詳細については、こちらを参照してください

VM を保護する必要がある理由

仮想マシンには、VM 所有者がファブリック管理者に表示させたくない機密データと構成が含まれています。 ただし、VM のすべてのデータはファイルに格納されるため、マルウェアや悪意のある管理者がデータを簡単にコピーして検査できます。

Windows Server のシールドされた VM は、VM を起動する前に Hyper-V ホストの正常性を厳密に証明し、VM 所有者によって承認されたデータセンターでのみ VM を起動できるようにし、ゲスト OS が新しい仮想 TPM を使用して独自のデータを暗号化できるようにすることで、このような攻撃を防ぐのに役立ちます。 VM 所有者は、セキュリティに依存する VM を作成するときに、次の 2 種類の保護から選択できます。

  • 暗号化をサポート: 企業のプライベート クラウド シナリオに最適です。保存時および送信中のデータの暗号化は必要ですが、ファブリック管理者は引き続き信頼されます。 VM コンソールおよびその他の管理上の利便性は、ファブリック管理者が引き続き使用できます。
  • シールド: 最も安全なデプロイ オプションであるシールドにより、ファブリック管理者が VM コンソールに接続したり、VM 構成のセキュリティ面を変更したりできなくなります。 VM 所有者は、有効にすることを選択したリモート管理ツールを使用してのみ VM にアクセスできます。 これは、パブリックまたは共有インフラストラクチャで機密性の高いワークロードを実行しているテナントに推奨されます。

VMM を使用して保護されたファブリックを管理する

コア保護されたファブリック インフラストラクチャ (1 つ以上の保護された Hyper-V ホスト、ホスト ガーディアン サービス、シールドされた VM の作成に必要な成果物で構成) は Windows Server 2016 以降に含まれており、 保護されたファブリックドキュメントに従って構成する必要があります。 セットアップが完了したら、必要に応じて System Center Virtual Machine Manager を使用して、保護されたファブリックの管理を簡略化できます。

コア保護されたファブリック インフラストラクチャ (1 つ以上の保護された Hyper-V ホスト、ホスト ガーディアン サービス、シールドされた VM の作成に必要な成果物) は、該当する Windows Server バージョンに含まれており、 保護されたファブリックドキュメントに従って構成する必要があります。 セットアップが完了したら、必要に応じて System Center Virtual Machine Manager を使用して、保護されたファブリックの管理を簡略化できます。

VMM は次の用途に使用できます。

  • VMM ファブリックで保護されたホストをプロビジョニングおよび管理する: 保護されたホストを VMM ファブリックに追加および管理できます。 保護されたホストは、次の Hyper-V サーバーです。
    • に準拠したホストの前提条件を満たしています
    • ファブリックがシールドされた VM を実行することがホスト ガーディアン サービスによって承認されます。 HGS 管理者は、ホストが正常に構成証明を行い、 を守るための要件を決定
    • グローバル VMM 設定で指定されているものと同じ HGS URL を使用するように構成することで、VMM で保護済みとしてマークされます。
  • シールドされた仮想ハード ディスクと必要に応じて VM テンプレートを構成します: 新しいシールドされた VM の展開に使用される署名付きテンプレート ディスク (VHDX) を VMM ライブラリに格納して、簡単に展開できます。 その後、VM テンプレートでこの VHDX を使用できます。
  • シールドされた VM のプロビジョニングと管理: VMM では、シールドされた VM の完全なライフサイクルがサポートされます。 これには次のものが含まれます
    • 署名されたテンプレート ディスク (VHDX) から新しいシールドされた VM を作成し、必要に応じて VM テンプレートを使用します。
    • 既存の VM をシールドされた VM に変換する。

次のステップ

VMM ファブリックで保護されたホストをプロビジョニングする