Vertrouwde bedrijfsvirtualisatie implementeren in Azure Stack HCI
Van toepassing op: Azure Stack HCI, versies 22H2 en 21H2
Dit onderwerp bevat richtlijnen voor het plannen, configureren en implementeren van een zeer veilige infrastructuur die gebruikmaakt van vertrouwde bedrijfsvirtualisatie op het Azure Stack HCI-besturingssysteem. Maak gebruik van uw investering in Azure Stack HCI om beveiligde workloads uit te voeren op hardware die gebruikmaakt van beveiliging op basis van virtualisatie (VBS) en hybride cloudservices via Windows Admin Center en de Azure Portal.
Overzicht
VBS is een belangrijk onderdeel van de beveiligingsinvesteringen in Azure Stack HCI om hosts en virtuele machines (VM's) te beschermen tegen beveiligingsrisico's. De Security Technical Implementation Guide (STIG), die wordt gepubliceerd als een hulpprogramma voor het verbeteren van de beveiliging van DoD-informatiesystemen (Department of Defense), vermeldt VBS en Hypervisor-Protected Code Integrity (HVCI) als algemene beveiligingsvereisten. Het is noodzakelijk om hosthardware te gebruiken die is ingeschakeld voor VBS en HVCI om workloads op VM's te beveiligen, omdat een geïnfecteerde host geen VM-beveiliging kan garanderen.
VBS maakt gebruik van hardwarevirtualisatiefuncties om een beveiligd geheugengebied te maken en te isoleren van het besturingssysteem. U kunt virtuele veilige modus (VSM) in Windows gebruiken om een aantal beveiligingsoplossingen te hosten om de beveiliging tegen beveiligingsproblemen van het besturingssysteem en schadelijke aanvallen aanzienlijk te verbeteren.
VBS maakt gebruik van de Windows-hypervisor voor het maken en beheren van beveiligingsgrenzen in besturingssysteemsoftware, het afdwingen van beperkingen om vitale systeembronnen te beschermen en beveiligingsassets, zoals geverifieerde gebruikersreferenties, te beschermen. Met VBS kunt u, zelfs als malware toegang krijgt tot de kernel van het besturingssysteem, mogelijke aanvallen aanzienlijk beperken en insluiten, omdat de hypervisor voorkomt dat malware code uitvoert of toegang krijgt tot platformgeheimen.
Met de hypervisor, het meest bevoegde niveau van systeemsoftware, worden paginamachtigingen ingesteld en afgedwongen voor alle systeemgeheugens. In VSM kunnen pagina's alleen worden uitgevoerd nadat code-integriteitscontroles zijn doorgegeven. Zelfs als er een beveiligingsprobleem optreedt, zoals een bufferoverloop waardoor malware kan proberen het geheugen te wijzigen, kunnen codepagina's niet worden gewijzigd en kan het gewijzigde geheugen niet worden uitgevoerd. VBS en HVCI versterken het afdwingen van code-integriteitsbeleid aanzienlijk. Alle stuurprogramma's en binaire bestanden van de kernelmodus worden gecontroleerd voordat ze kunnen worden gestart en niet-ondertekende stuurprogramma's of systeembestanden kunnen niet in het systeemgeheugen worden geladen.
Vertrouwde bedrijfsvirtualisatie implementeren
In deze sectie wordt op hoog niveau beschreven hoe u hardware kunt verkrijgen voor het implementeren van een zeer veilige infrastructuur die gebruikmaakt van vertrouwde bedrijfsvirtualisatie op Azure Stack HCI en Windows Admin Center voor beheer.
Stap 1: Hardware aanschaffen voor vertrouwde bedrijfsvirtualisatie in Azure Stack HCI
Eerst moet u hardware aanschaffen. De eenvoudigste manier om dit te doen, is door uw favoriete Microsoft-hardwarepartner te zoeken in de Azure Stack HCI-catalogus en een geïntegreerd systeem aan te schaffen waarop het Azure Stack HCI-besturingssysteem vooraf is geïnstalleerd. In de catalogus kunt u filteren om de hardware van de leverancier te zien die is geoptimaliseerd voor dit type workload.
Anders moet u het Azure Stack HCI-besturingssysteem implementeren op uw eigen hardware. Zie Het Azure Stack HCI-besturingssysteem implementeren voor meer informatie over de implementatieopties voor Azure Stack HCI en het installeren van Windows Admin Center.
Gebruik vervolgens Windows Admin Center om een Azure Stack HCI-cluster te maken.
Alle partnerhardware voor Azure Stack HCI is gecertificeerd met de Aanvullende kwalificatie voor Hardware Assurance. Het kwalificatieproces test op alle vereiste VBS-functionaliteit . VBS en HVCI worden echter niet automatisch ingeschakeld in Azure Stack HCI. Zie Hardware Assurance onder Systemen in de Windows Server-catalogus voor meer informatie over de Aanvullende kwalificatie hardwarecontrole.
Waarschuwing
HVCI is mogelijk niet compatibel met hardwareapparaten die niet worden vermeld in de Azure Stack HCI-catalogus. We raden u ten zeerste aan om azure Stack HCI-gevalideerde hardware van onze partners te gebruiken voor vertrouwde bedrijfsvirtualisatie-infrastructuur.
Stap 2: HVCI inschakelen
Schakel HVCI in op uw serverhardware en VM's. Zie Op virtualisatie gebaseerde beveiliging van code-integriteit inschakelen voor meer informatie.
Stap 3: Azure Security Center instellen in Windows Admin Center
Stel in Windows Admin Center Azure Security Center in om bedreigingsbeveiliging toe te voegen en snel de beveiligingsstatus van uw workloads te beoordelen.
Zie Windows Admin Center-resources beveiligen met Security Center voor meer informatie.
Ga als volgende aan de slag met Security Center:
- U hebt een abonnement op Microsoft Azure nodig. Als u geen abonnement hebt, kunt u zich registreren voor een gratis proefversie.
- De gratis prijscategorie van Security Center wordt ingeschakeld voor al uw huidige Azure-abonnementen zodra u het dashboard Azure Security Center in de Azure Portal bezoekt of programmatisch inschakelt via API. Als u wilt profiteren van geavanceerd beveiligingsbeheer en mogelijkheden voor het detecteren van bedreigingen, moet u Azure Defender inschakelen. U kunt Azure Defender 30 dagen gratis gebruiken. Zie Prijzen van Security Center voor meer informatie.
- Als u klaar bent om Azure Defender in te schakelen, raadpleegt u Quickstart: Azure Security Center instellen om de stappen te doorlopen.
U kunt Windows Admin Center ook gebruiken om aanvullende hybride Azure-services in te stellen, zoals back-up, File Sync, Site Recovery, punt-naar-site-VPN en Updatebeheer.
Volgende stappen
Zie voor meer informatie met betrekking tot vertrouwde bedrijfsvirtualisatie:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor