Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera omówienie wdrażania chronionych hostów Hyper-V i chronionych maszyn wirtualnych w obliczeniowym środowisku System Center Virtual Machine Manager (VMM).
Chronione platformy zapewniają dodatkową ochronę dla maszyn wirtualnych, aby zapobiec naruszeniu i kradzieży przez złośliwych administratorów i złośliwe oprogramowanie. Jako dostawca usług w chmurze lub administrator chmury prywatnej można wdrożyć chronioną sieć szkieletową, która zazwyczaj składa się z serwera z uruchomioną usługą Ochrona hosta (HGS), co najmniej jednym chronionym serwerem hosta funkcji Hyper-V i co najmniej jedną chronioną maszyną wirtualną działającą na tych hostach. Dowiedz się więcej o chronionych tkaninach.
Dlaczego muszę chronić maszyny wirtualne?
Maszyny wirtualne zawierają poufne dane i konfiguracje, których właściciel nie chce udostępniać administratorowi infrastruktury sieciowej. Ponieważ jednak wszystkie dane maszyn wirtualnych są przechowywane w plikach, dane można łatwo skopiować i sprawdzić przez złośliwe oprogramowanie lub złośliwego administratora.
Chronione maszyny wirtualne w systemie Windows Server pomagają zapobiegać takim atakom, rygorystycznie zaświadczając o kondycji hosta funkcji Hyper-V przed uruchomieniem maszyny wirtualnej, zapewniając, że maszyna wirtualna może być uruchamiana tylko w centrach danych autoryzowanych przez właściciela maszyny wirtualnej i umożliwiając systemowi operacyjnemu gościa szyfrowanie własnych danych przy użyciu nowego wirtualnego modułu TPM. Właściciel maszyny wirtualnej może wybrać spośród następujących dwóch typów ochrony podczas tworzenia maszyny wirtualnej z uwzględnieniem zabezpieczeń:
- Szyfrowanie obsługiwane: Idealne rozwiązanie dla scenariuszy chmury prywatnej przedsiębiorstwa, gdzie konieczne jest szyfrowanie danych w stanie spoczynku i w trakcie przesyłania, ale administratorzy infrastruktury pozostają zaufani. Konsola maszyny wirtualnej i inne ułatwienia zarządzania pozostają dostępne dla administratorów struktury.
- Osłona: najbezpieczniejsza opcja wdrażania, osłona uniemożliwia administratorom sieci szkieletowej łączenie się z konsolą maszyny wirtualnej lub modyfikowanie aspektów zabezpieczeń konfiguracji maszyny wirtualnej. Właściciele maszyn wirtualnych mogą uzyskiwać dostęp tylko do maszyny wirtualnej za pomocą narzędzi do zdalnego zarządzania, które wybierają do włączenia. Jest to zalecane dla użytkowników korzystających z wrażliwych obciążeń na infrastrukturze publicznej lub udostępnionej.
Zarządzanie chronioną infrastrukturą za pomocą VMM
Podstawowa chroniona infrastruktura tkaninowa (składająca się z co najmniej jednego chronionego hosta Hyper-V, Usługi Ochrony Hostów i artefaktów potrzebnych do tworzenia osłoniętych maszyn wirtualnych) jest dołączona do systemu Windows Server 2016 lub nowszego i musi być skonfigurowana zgodnie z dokumentacją chronionej infrastruktury tkaninowej. Po skonfigurowaniu możesz opcjonalnie użyć programu System Center Virtual Machine Manager, aby uprościć zarządzanie chronioną siecią szkieletową.
Podstawowa chroniona infrastruktura tkaninowa (składająca się z co najmniej jednego chronionego hosta Hyper-V, Usługi Ochrony Hostów i artefaktów niezbędnych do tworzenia chronionych maszyn wirtualnych) jest dołączona do odpowiedniej wersji systemu Windows Server i musi być skonfigurowana zgodnie z dokumentacją chronionej infrastruktury tkaninowej. Po skonfigurowaniu możesz opcjonalnie użyć programu System Center Virtual Machine Manager, aby uprościć zarządzanie chronioną siecią szkieletową.
Program VMM może służyć do:
-
Aprowizowanie hostów chronionych i zarządzanie nimi w sieci szkieletowej programu VMM: możesz dodawać hosty chronione i zarządzać nimi w sieci szkieletowej programu VMM. Host zabezpieczony to serwer Hyper-V, który:
- Spełnia wymagania wstępne dla guarded host.
- Autoryzowany przez usługę Host Guardian dla infrastruktury do uruchamiania chronionych maszyn wirtualnych. Administrator usługi HGS określa wymagania dotyczące hostów, aby mogły pomyślnie poświadczyć i stać się chronionym.
- Jest oznaczony jako chroniony w programie VMM, konfigurując go tak, aby używał tych samych adresów URL usługi HGS, co te określone w globalnych ustawieniach programu VMM.
- Skonfiguruj chroniony wirtualny dysk twardy oraz opcjonalnie szablon maszyny wirtualnej: Podpisane dyski wzorcowe (VHDX) używane do wdrażania nowych chronionych maszyn wirtualnych można przechowywać w bibliotece programu VMM w celu łatwego wdrożenia. Następnie możesz użyć tego dysku VHDX w szablonie maszyny wirtualnej.
- Zarządzaj i wdrażaj chronione maszyny wirtualne: program VMM obsługuje pełny cykl życia chronionych maszyn wirtualnych. Obejmuje to:
- Tworzenie nowych chronionych maszyn wirtualnych na podstawie podpisanego dysku szablonu (VHDX) i opcjonalnie przy użyciu szablonu maszyny wirtualnej.
- Konwertowanie istniejących maszyn wirtualnych na maszyny wirtualne z osłoną.