Implantar a virtualização empresarial confiável no Azure Stack HCI
Aplica-se a: Azure Stack HCI, versão 22H2
Este tópico fornece diretrizes sobre como planejar, configurar e implantar uma infraestrutura altamente segura que usa a virtualização corporativa confiável no sistema operacional Azure Stack HCI. Aproveite seu investimento no Azure Stack HCI para executar cargas de trabalho seguras em hardware que usa VBS (segurança baseada em virtualização) e serviços de nuvem híbrida por meio do Windows Admin Center e do portal do Azure.
Visão geral
O VBS é um componente-chave dos investimentos em segurança no Azure Stack HCI para proteger hosts e VMs (máquinas virtuais) contra ameaças à segurança. Por exemplo, o Guia de Implementação Técnica de Segurança (STIG), que é publicado como uma ferramenta para melhorar a segurança dos sistemas de informação do Departamento de Defesa (DoD), lista o VBS e o HVCI (Hypervisor-Protected Code Integrity) como requisitos gerais de segurança. É imperativo usar o hardware de host habilitado para VBS e HVCI para proteger cargas de trabalho em VMs, pois um host comprometido não pode garantir a proteção da VM.
O VBS usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional. Você pode usar o VSM (Modo de Segurança Virtual) no Windows para hospedar várias soluções de segurança para aumentar muito a proteção contra vulnerabilidades do sistema operacional e explorações maliciosas.
O VBS usa o hipervisor do Windows para criar e gerenciar limites de segurança no software do sistema operacional, impor restrições para proteger recursos vitais do sistema e proteger ativos de segurança, como credenciais de usuário autenticadas. Com o VBS, mesmo que o malware obtenha acesso ao kernel do sistema operacional, você pode limitar e conter possíveis explorações, pois o hipervisor impede que o malware execute código ou acesse segredos da plataforma.
O hipervisor, o nível mais privilegiado do software do sistema, define e impõe permissões de página em toda a memória do sistema. Enquanto estiver no VSM, as páginas só podem ser executadas depois de passar nas verificações de integridade do código. Mesmo que ocorra uma vulnerabilidade, como um estouro de buffer que pode permitir que o malware tente modificar a memória, as páginas de código não podem ser modificadas e a memória modificada não pode ser executada. O VBS e o HVCI fortalecem significativamente a aplicação da política de integridade do código. Todos os drivers e binários do modo kernel são verificados antes de serem iniciados, e drivers não assinados ou arquivos do sistema são impedidos de carregar na memória do sistema.
Implante a virtualização corporativa confiável
Esta seção descreve em alto nível como adquirir hardware para implantar uma infraestrutura altamente segura que usa a virtualização corporativa confiável no Azure Stack HCI e no Windows Admin Center para gerenciamento.
Etapa 1: Adquirir hardware para virtualização corporativa confiável no Azure Stack HCI
Primeiro, você precisará adquirir hardware. A maneira mais fácil de fazer isso é localizar seu parceiro de hardware preferido da Microsoft no Catálogo do Azure Stack HCI e comprar um sistema integrado com o sistema operacional Azure Stack HCI pré-instalado. No catálogo, você pode filtrar para ver o hardware do fornecedor otimizado para esse tipo de carga de trabalho.
Caso contrário, você precisará implantar o sistema operacional Azure Stack HCI em seu próprio hardware. Para obter detalhes sobre as opções de implantação do Azure Stack HCI e a instalação do Windows Admin Center, consulte Implantar o sistema operacional Azure Stack HCI.
Em seguida, use Windows Admin Center para criar um cluster do Azure Stack HCI.
Todo o hardware de parceiro para o Azure Stack HCI é certificado com a Qualificação Adicional do Hardware Assurance. O processo de qualificação testa todas as funcionalidades VBS necessárias. No entanto, o VBS e o HVCI não são habilitados automaticamente no Azure Stack HCI. Para obter mais informações sobre a Qualificação Adicional do Hardware Assurance, consulte "Hardware Assurance" em Sistemas no Catálogo do Windows Server.
Aviso
O HVCI pode ser incompatível com dispositivos de hardware não listados no Catálogo do Azure Stack HCI. É altamente recomendável usar o hardware validado pelo Azure Stack HCI de nossos parceiros para uma infraestrutura de virtualização corporativa confiável.
Etapa 2: ativar o HVCI
Habilite o HVCI no hardware do servidor e nas VMs. Para obter detalhes, consulte Habilitar a proteção baseada em virtualização da integridade do código.
Etapa 3: Configurar a Central de Segurança do Azure no Windows Admin Center
No Windows Admin Center, configure a Central de Segurança do Azure para adicionar proteção contra ameaças e avaliar rapidamente a postura de segurança de suas cargas de trabalho.
Para saber mais, consulte Proteger os recursos do Windows Admin Center com a Central de Segurança.
Para começar a usar a Central de Segurança:
- Você precisa de uma assinatura do Microsoft Azure. Se você não tiver uma assinatura, poderá se inscrever para uma avaliação gratuita.
- O tipo de preço gratuito da Central de Segurança é habilitado em todas as suas assinaturas atuais do Azure depois que você visita o painel da Central de Segurança do Azure no portal do Azure ou o habilita programaticamente por meio da API. Para aproveitar as funcionalidades avançadas de gerenciamento de segurança e detecção de ameaças, você deve habilitar o Azure Defender. Você pode usar o Azure Defender gratuitamente por 30 dias. Para obter mais informações, consulte Preços da Central de Segurança.
- Se você estiver pronto para habilitar o Azure Defender, consulte Início Rápido: Configurando a Central de Segurança do Azure para percorrer as etapas.
Você também pode usar o Windows Admin Center para configurar serviços híbridos adicionais do Azure, como Backup, Sincronização de Arquivos, Site Recovery, VPN Ponto a Site e Gerenciamento de Atualizações.
Próximas etapas
Para obter mais informações relacionadas à virtualização corporativa confiável, consulte: