Vertrouwde bedrijfsvirtualisatie implementeren in Azure Stack HCI
Van toepassing op: Azure Stack HCI, versie 22H2
In dit onderwerp vindt u richtlijnen voor het plannen, configureren en implementeren van een zeer veilige infrastructuur die gebruikmaakt van vertrouwde bedrijfsvirtualisatie op het Azure Stack HCI-besturingssysteem. Maak gebruik van uw Azure Stack HCI-investering om beveiligde workloads uit te voeren op hardware die gebruikmaakt van beveiliging op basis van virtualisatie (VBS) en hybride cloudservices via Windows Admin Center en Azure Portal.
Overzicht
VBS is een belangrijk onderdeel van de beveiligingsinvesteringen in Azure Stack HCI om hosts en virtuele machines (VM's) te beschermen tegen beveiligingsrisico's. Bijvoorbeeld, de Security Technical Implementation Guide (STIG) die wordt gepubliceerd als een hulpprogramma om de beveiliging van DoD-informatiesystemen (Department of Defense) te verbeteren, vermeldt VBS en HvCI (Hypervisor-Protected Code Integrity) als algemene beveiligingsvereisten. Het is noodzakelijk om hosthardware te gebruiken die is ingeschakeld voor VBS en HVCI om workloads op VM's te beveiligen, omdat een geïnfecteerde host geen VM-beveiliging kan garanderen.
VBS maakt gebruik van hardwarevirtualisatiefuncties om een beveiligd geheugengebied van het besturingssysteem te maken en te isoleren. U kunt VSM (Virtual Secure Mode) in Windows gebruiken om een aantal beveiligingsoplossingen te hosten om de beveiliging tegen beveiligingsproblemen en schadelijke aanvallen van besturingssystemen aanzienlijk te verbeteren.
VBS maakt gebruik van de Windows-hypervisor voor het maken en beheren van beveiligingsgrenzen in besturingssysteemsoftware, dwing beperkingen af om essentiële systeembronnen te beveiligen en beveiligingsassets te beschermen, zoals geverifieerde gebruikersreferenties. Met VBS kunt u, zelfs als malware toegang krijgt tot de kernel van het besturingssysteem, aanzienlijk beperken en mogelijke aanvallen bevatten, omdat de hypervisor voorkomt dat malware code uitvoert of toegang krijgt tot platformgeheimen.
De hypervisor, het meest bevoegde niveau van systeemsoftware, stelt paginamachtigingen in alle systeemgeheugens in en dwingt deze af. In VSM kunnen pagina's alleen worden uitgevoerd nadat code-integriteitscontroles zijn doorgegeven. Zelfs als een beveiligingsprobleem, zoals een bufferoverloop waarmee malware kan proberen geheugen te wijzigen, zich voordoet, kunnen codepagina's niet worden gewijzigd en kan het gewijzigde geheugen niet worden uitgevoerd. VBS en HVCI versterken het afdwingen van code-integriteitsbeleid aanzienlijk. Alle stuurprogramma's en binaire bestanden van de kernelmodus worden gecontroleerd voordat ze kunnen starten en niet-ondertekende stuurprogramma's of systeembestanden kunnen niet worden geladen in het systeemgeheugen.
Vertrouwde virtualisatie van ondernemingen implementeren
In deze sectie wordt op hoog niveau beschreven hoe u hardware kunt verkrijgen om een zeer veilige infrastructuur te implementeren die gebruikmaakt van vertrouwde bedrijfsvirtualisatie in Azure Stack HCI en Windows Admin Center voor beheer.
Stap 1: Hardware verkrijgen voor vertrouwde bedrijfsvirtualisatie in Azure Stack HCI
Eerst moet u hardware aanschaffen. De eenvoudigste manier om dit te doen, is door uw favoriete Microsoft-hardwarepartner te vinden in de Azure Stack HCI-catalogus en een geïntegreerd systeem aan te schaffen met het Azure Stack HCI-besturingssysteem dat vooraf is geïnstalleerd. In de catalogus kunt u filteren om leverancierhardware te zien die is geoptimaliseerd voor dit type workload.
Anders moet u het Azure Stack HCI-besturingssysteem implementeren op uw eigen hardware. Zie Het Azure Stack HCI-besturingssysteem implementeren voor meer informatie over azure Stack HCI-implementatieopties en het installeren van het Windows-beheercentrum.
Gebruik vervolgens het Windows-beheercentrum om een Azure Stack HCI-cluster te maken.
Alle partnerhardware voor Azure Stack HCI is gecertificeerd met de Aanvullende kwalificatie voor Hardware Assurance. Het kwalificatieproces test voor alle vereiste VBS-functionaliteit . VBS en HVCI worden echter niet automatisch ingeschakeld in Azure Stack HCI. Zie 'Hardware Assurance' onder Systemen in de Windows Server-catalogus voor meer informatie over de aanvullende kwalificatie hardwarecontrole.
Waarschuwing
HVCI is mogelijk niet compatibel met hardwareapparaten die niet worden vermeld in de Azure Stack HCI-catalogus. We raden u ten zeerste aan om azure Stack HCI-gevalideerde hardware van onze partners te gebruiken voor vertrouwde virtualisatie-infrastructuur voor ondernemingen.
Stap 2: HVCI inschakelen
Schakel HVCI in op uw serverhardware en VM's. Zie Beveiliging op basis van virtualisatie van code-integriteit inschakelen voor meer informatie.
Stap 3: Azure Security Center instellen in het Windows-beheercentrum
Stel in het Windows-beheercentrum Azure Security Center in om bedreigingsbeveiliging toe te voegen en snel de beveiligingspostuur van uw workloads te beoordelen.
Zie Windows Admin Center-resources beveiligen met Security Center voor meer informatie.
Aan de slag met Security Center:
- U hebt een abonnement op Microsoft Azure nodig. Als u geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
- De gratis prijscategorie van Security Center is ingeschakeld voor al uw huidige Azure-abonnementen zodra u het Azure Security Center-dashboard in Azure Portal bezoekt of programmatisch inschakelt via API. Als u wilt profiteren van geavanceerd beveiligingsbeheer en mogelijkheden voor het detecteren van bedreigingen, moet u Azure Defender inschakelen. U kunt Azure Defender 30 dagen gratis gebruiken. Zie De prijzen van Security Center voor meer informatie.
- Als u klaar bent om Azure Defender in te schakelen, raadpleegt u de quickstart: Azure Security Center instellen om de stappen te doorlopen.
U kunt ook Windows Admin Center gebruiken om aanvullende hybride Azure-services in te stellen, zoals Back-up, File Sync, Site Recovery, Punt-naar-site-VPN en Updatebeheer.
Volgende stappen
Zie voor meer informatie over vertrouwde virtualisatie van ondernemingen: