Wdrażanie zaufanej wirtualizacji przedsiębiorstwa w usłudze Azure Stack HCI
Dotyczy: Azure Stack HCI, wersje 22H2 i 21H2
Ten temat zawiera wskazówki dotyczące planowania, konfigurowania i wdrażania wysoce bezpiecznej infrastruktury korzystającej z zaufanej wirtualizacji przedsiębiorstwa w systemie operacyjnym Azure Stack HCI. Skorzystaj z inwestycji w rozwiązanie Azure Stack HCI, aby uruchamiać bezpieczne obciążenia na sprzęcie korzystającym z zabezpieczeń opartych na wirtualizacji (VBS) i hybrydowych usług w chmurze za pośrednictwem Windows Admin Center i Azure Portal.
Omówienie
VBS to kluczowy składnik inwestycji w zabezpieczenia w usłudze Azure Stack HCI w celu ochrony hostów i maszyn wirtualnych przed zagrożeniami bezpieczeństwa. Na przykład przewodnik po implementacji technicznej zabezpieczeń (STIG), który jest publikowany jako narzędzie w celu poprawy bezpieczeństwa systemów informacyjnych Departamentu Obrony (DoD), zawiera listę VBS i Hypervisor-Protected Code Integrity (HVCI) jako ogólne wymagania dotyczące zabezpieczeń. Konieczne jest użycie sprzętu hosta, który jest włączony dla vbS i HVCI w celu ochrony obciążeń na maszynach wirtualnych, ponieważ naruszony host nie może zagwarantować ochrony maszyny wirtualnej.
Język VBS używa funkcji wirtualizacji sprzętu do tworzenia i izolowania bezpiecznego regionu pamięci z systemu operacyjnego. Można użyć wirtualnego trybu bezpiecznego (VSM) w systemie Windows do hostowania wielu rozwiązań zabezpieczeń w celu znacznego zwiększenia ochrony przed lukami w zabezpieczeniach systemu operacyjnego i złośliwymi programami wykorzystującymi luki w zabezpieczeniach.
VbS używa funkcji hypervisor systemu Windows do tworzenia granic zabezpieczeń w oprogramowaniu systemu operacyjnego i zarządzania nimi, wymuszania ograniczeń w celu ochrony ważnych zasobów systemowych i ochrony zasobów zabezpieczeń, takich jak poświadczenia uwierzytelnionych użytkowników. W języku VBS, nawet jeśli złośliwe oprogramowanie uzyskuje dostęp do jądra systemu operacyjnego, można znacznie ograniczyć i zawierać możliwe luki w zabezpieczeniach, ponieważ funkcja hypervisor uniemożliwia złośliwemu oprogramowaniu wykonywanie kodu lub uzyskiwanie dostępu do wpisów tajnych platformy.
Funkcja hypervisor, najbardziej uprzywilejowany poziom oprogramowania systemowego, ustawia i wymusza uprawnienia strony we wszystkich pamięci systemowych. W programie VSM strony mogą być wykonywane tylko po przekazaniu kontroli integralności kodu. Nawet jeśli luka w zabezpieczeniach, taka jak przepełnienie buforu, które może pozwolić złośliwemu oprogramowaniu na próbę zmodyfikowania pamięci, nie można modyfikować stron kodu i nie można wykonać zmodyfikowanej pamięci. VbS i HVCI znacznie wzmacniają wymuszanie zasad integralności kodu. Wszystkie sterowniki trybu jądra i pliki binarne są sprawdzane przed ich uruchomieniem, a niepodpisane sterowniki lub pliki systemowe nie mogą być ładowane do pamięci systemowej.
Wdrażanie zaufanej wirtualizacji przedsiębiorstwa
W tej sekcji opisano na wysokim poziomie sposób uzyskiwania sprzętu w celu wdrożenia wysoce bezpiecznej infrastruktury korzystającej z zaufanej wirtualizacji przedsiębiorstwa w usłudze Azure Stack HCI i Windows Admin Center do zarządzania.
Krok 1. Uzyskiwanie sprzętu do zaufanej wirtualizacji przedsiębiorstwa w usłudze Azure Stack HCI
Najpierw musisz uzyskać sprzęt. Najprostszym sposobem, aby to zrobić, jest zlokalizowanie preferowanego partnera sprzętu firmy Microsoft w katalogu azure Stack HCI i zakup zintegrowanego systemu z wstępnie zainstalowanym systemem operacyjnym Azure Stack HCI. W katalogu można filtrować, aby wyświetlić sprzęt dostawcy zoptymalizowany pod kątem tego typu obciążenia.
W przeciwnym razie należy wdrożyć system operacyjny Azure Stack HCI na własnym sprzęcie. Aby uzyskać szczegółowe informacje na temat opcji wdrażania rozwiązania Azure Stack HCI i instalowania Windows Admin Center, zobacz Wdrażanie systemu operacyjnego Azure Stack HCI.
Następnie użyj Windows Admin Center, aby utworzyć klaster usługi Azure Stack HCI.
Wszystkie urządzenia partnerskie dla usługi Azure Stack HCI są certyfikowane z dodatkową kwalifikacją pakietu Hardware Assurance. Testy procesu kwalifikacji dla wszystkich wymaganych funkcji VBS . Jednak vbS i HVCI nie są automatycznie włączone w usłudze Azure Stack HCI. Aby uzyskać więcej informacji na temat dodatkowej kwalifikacji pakietu Hardware Assurance, zobacz sekcję "Hardware Assurance" w obszarze Systemy w katalogu systemu Windows Server.
Ostrzeżenie
Wartość HVCI może być niezgodna z urządzeniami sprzętowymi, które nie są wymienione w wykazie usługi Azure Stack HCI. Zdecydowanie zalecamy używanie zweryfikowanego sprzętu usługi Azure Stack HCI od naszych partnerów w przypadku zaufanej infrastruktury wirtualizacji przedsiębiorstwa.
Krok 2. Włączanie funkcji HVCI
Włącz funkcję HVCI na sprzęcie i maszynach wirtualnych serwera. Aby uzyskać szczegółowe informacje, zobacz Włączanie ochrony opartej na wirtualizacji integralności kodu.
Krok 3. Konfigurowanie Azure Security Center w Windows Admin Center
W Windows Admin Center skonfiguruj Azure Security Center, aby dodać ochronę przed zagrożeniami i szybko ocenić stan zabezpieczeń obciążeń.
Aby dowiedzieć się więcej, zobacz Ochrona zasobów Windows Admin Center za pomocą usługi Security Center.
Aby rozpocząć pracę z usługą Security Center:
- Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji, możesz zarejestrować się w celu uzyskania bezpłatnej wersji próbnej.
- Bezpłatna warstwa cenowa usługi Security Center jest włączona na wszystkich bieżących subskrypcjach platformy Azure po wizycie na pulpicie nawigacyjnym Azure Security Center w Azure Portal lub włączeniu jej programowo za pośrednictwem interfejsu API. Aby korzystać z zaawansowanych funkcji zarządzania zabezpieczeniami i wykrywania zagrożeń, należy włączyć usługę Azure Defender. Możesz bezpłatnie korzystać z usługi Azure Defender przez 30 dni. Aby uzyskać więcej informacji, zobacz Cennik usługi Security Center.
- Jeśli wszystko będzie gotowe do włączenia usługi Azure Defender, zobacz Szybki start: konfigurowanie Azure Security Center w celu wykonania kroków.
Można również użyć Windows Admin Center do skonfigurowania dodatkowych usług hybrydowych platformy Azure, takich jak Backup, File Sync, Site Recovery, sieć VPN typu punkt-lokacja i rozwiązanie Update Management.
Następne kroki
Aby uzyskać więcej informacji dotyczących zaufanej wirtualizacji przedsiębiorstwa, zobacz:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla