Wdrażanie zaufanej wirtualizacji przedsiębiorstwa w usłudze Azure Stack HCI
Dotyczy: Azure Stack HCI, wersja 22H2
Ten temat zawiera wskazówki dotyczące planowania, konfigurowania i wdrażania wysoce bezpiecznej infrastruktury korzystającej z zaufanej wirtualizacji przedsiębiorstwa w systemie operacyjnym Azure Stack HCI. Skorzystaj z inwestycji w rozwiązanie Azure Stack HCI, aby uruchomić bezpieczne obciążenia na sprzęcie korzystającym z zabezpieczeń opartych na wirtualizacji (VBS) i hybrydowych usług w chmurze za pośrednictwem Centrum administracyjnego systemu Windows i witryny Azure Portal.
Omówienie
VBS to kluczowy składnik inwestycji w zabezpieczenia w usłudze Azure Stack HCI w celu ochrony hostów i maszyn wirtualnych przed zagrożeniami bezpieczeństwa. Na przykład przewodnik po implementacji technicznej zabezpieczeń (STIG), który jest publikowany jako narzędzie zwiększające bezpieczeństwo systemów informacyjnych Departamentu Obrony (DoD), zawiera listę VBS i Hypervisor-Protected Code Integrity (HVCI) jako ogólne wymagania dotyczące zabezpieczeń. Należy używać sprzętu hosta, który jest włączony dla vbS i HVCI w celu ochrony obciążeń na maszynach wirtualnych, ponieważ naruszony host nie może zagwarantować ochrony maszyn wirtualnych.
Język VBS używa funkcji wirtualizacji sprzętu do tworzenia i izolowania bezpiecznego regionu pamięci z systemu operacyjnego. Za pomocą wirtualnego trybu bezpiecznego (VSM) w systemie Windows można hostować wiele rozwiązań zabezpieczeń w celu znacznego zwiększenia ochrony przed lukami w zabezpieczeniach systemu operacyjnego i złośliwymi programami wykorzystującymi luki w zabezpieczeniach.
VbS używa funkcji hypervisor systemu Windows do tworzenia granic zabezpieczeń i zarządzania nimi w oprogramowaniu systemu operacyjnego, wymuszania ograniczeń w celu ochrony ważnych zasobów systemowych i ochrony zasobów zabezpieczeń, takich jak uwierzytelnione poświadczenia użytkownika. W języku VBS, nawet jeśli złośliwe oprogramowanie uzyskuje dostęp do jądra systemu operacyjnego, można znacznie ograniczyć i zawierać możliwe luki w zabezpieczeniach, ponieważ funkcja hypervisor uniemożliwia złośliwemu oprogramowaniu wykonywanie kodu lub uzyskiwanie dostępu do wpisów tajnych platformy.
Funkcja hypervisor, najbardziej uprzywilejowany poziom oprogramowania systemowego, ustawia i wymusza uprawnienia strony dla całej pamięci systemowej. W programie VSM strony mogą być wykonywane tylko po przekazaniu kontroli integralności kodu. Nawet jeśli występuje luka w zabezpieczeniach, taka jak przepełnienie buforu, które może umożliwić złośliwemu oprogramowaniu próbę zmodyfikowania pamięci, nie można modyfikować stron kodu i nie można wykonać zmodyfikowanej pamięci. VbS i HVCI znacznie wzmacniają wymuszanie zasad integralności kodu. Wszystkie sterowniki trybu jądra i pliki binarne są sprawdzane przed rozpoczęciem, a niepodpisane sterowniki lub pliki systemowe nie mogą ładować się do pamięci systemowej.
Wdrażanie zaufanej wirtualizacji przedsiębiorstwa
W tej sekcji opisano na wysokim poziomie sposób uzyskiwania sprzętu w celu wdrożenia wysoce bezpiecznej infrastruktury korzystającej z zaufanej wirtualizacji przedsiębiorstwa w usługach Azure Stack HCI i Windows Admin Center na potrzeby zarządzania.
Krok 1. Uzyskiwanie sprzętu na potrzeby zaufanej wirtualizacji przedsiębiorstwa w usłudze Azure Stack HCI
Najpierw należy zakupić sprzęt. Najprostszym sposobem, aby to zrobić, jest zlokalizowanie preferowanego partnera sprzętu firmy Microsoft w katalogu azure Stack HCI i zakup zintegrowanego systemu z wstępnie zainstalowanym systemem operacyjnym Azure Stack HCI. W wykazie można filtrować, aby wyświetlić sprzęt dostawcy zoptymalizowany pod kątem tego typu obciążenia.
W przeciwnym razie należy wdrożyć system operacyjny Azure Stack HCI na własnym sprzęcie. Aby uzyskać szczegółowe informacje na temat opcji wdrażania rozwiązania Azure Stack HCI i instalowania centrum administracyjnego systemu Windows, zobacz Wdrażanie systemu operacyjnego Azure Stack HCI.
Następnie użyj centrum administracyjnego systemu Windows do utworzenia klastra usługi Azure Stack HCI.
Wszystkie urządzenia partnerskie dla usługi Azure Stack HCI są certyfikowane z dodatkową kwalifikacją pakietu Hardware Assurance. Testy procesu kwalifikacji dla wszystkich wymaganych funkcji VBS . Jednak vbS i HVCI nie są automatycznie włączone w usłudze Azure Stack HCI. Aby uzyskać więcej informacji na temat dodatkowej kwalifikacji pakietu Hardware Assurance, zobacz "Hardware Assurance" w obszarze Systemy w katalogu systemu Windows Server.
Ostrzeżenie
Infrastruktura HVCI może być niezgodna z urządzeniami sprzętowymi, które nie są wymienione w wykazie rozwiązania Azure Stack HCI. Zdecydowanie zalecamy korzystanie ze sprzętu zweryfikowanego przez usługę Azure Stack HCI od naszych partnerów w przypadku zaufanej infrastruktury wirtualizacji przedsiębiorstwa.
Krok 2. Włączanie interfejsu HVCI
Włącz sieć HVCI na sprzęcie serwera i maszynach wirtualnych. Aby uzyskać szczegółowe informacje, zobacz Włączanie ochrony opartej na wirtualizacji integralności kodu.
Krok 3. Konfigurowanie usługi Azure Security Center w Centrum administracyjnym systemu Windows
W centrum administracyjnym systemu Windows skonfiguruj usługę Azure Security Center , aby dodać ochronę przed zagrożeniami i szybko ocenić stan zabezpieczeń obciążeń.
Aby dowiedzieć się więcej, zobacz Ochrona zasobów usługi Windows Admin Center za pomocą usługi Security Center.
Aby rozpocząć pracę z usługą Security Center:
- Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji, możesz zarejestrować się w celu uzyskania bezpłatnej wersji próbnej.
- Bezpłatna warstwa cenowa usługi Security Center jest włączona na wszystkich bieżących subskrypcjach platformy Azure po przejściu do pulpitu nawigacyjnego usługi Azure Security Center w witrynie Azure Portal lub włączeniu jej programowo za pośrednictwem interfejsu API. Aby korzystać z zaawansowanych funkcji zarządzania zabezpieczeniami i wykrywania zagrożeń, musisz włączyć usługę Azure Defender. Bezpłatnie możesz korzystać z usługi Azure Defender przez 30 dni. Aby uzyskać więcej informacji, zobacz Cennik usługi Security Center.
- Jeśli wszystko będzie gotowe do włączenia usługi Azure Defender, zobacz Szybki start: konfigurowanie usługi Azure Security Center w celu wykonania kroków.
Centrum administracyjne systemu Windows umożliwia również skonfigurowanie dodatkowych usług hybrydowych platformy Azure, takich jak kopia zapasowa, synchronizacja plików, usługa Site Recovery, sieć VPN typu punkt-lokacja i rozwiązanie Update Management.
Następne kroki
Aby uzyskać więcej informacji dotyczących zaufanej wirtualizacji przedsiębiorstwa, zobacz: