Implantar virtualização empresarial confiável no Azure Stack HCI
Aplica-se a: Azure Stack HCI, versão 22H2
Este tópico fornece orientação sobre como planejar, configurar e implantar uma infraestrutura altamente segura que usa virtualização empresarial confiável no sistema operacional HCI do Azure Stack. Aproveite seu investimento no Azure Stack HCI para executar cargas de trabalho seguras em hardware que usa segurança baseada em virtualização (VBS) e serviços de nuvem híbrida por meio do Windows Admin Center e do portal do Azure.
Descrição geral
O VBS é um componente fundamental dos investimentos em segurança no Azure Stack HCI para proteger hosts e máquinas virtuais (VMs) contra ameaças à segurança. Por exemplo, o Security Technical Implementation Guide (STIG), que é publicado como uma ferramenta para melhorar a segurança dos sistemas de informação do Departamento de Defesa (DoD), lista o VBS e o Hypervisor-Protected Code Integrity (HVCI) como requisitos gerais de segurança. É imperativo usar hardware de host habilitado para VBS e HVCI para proteger cargas de trabalho em VMs, porque um host comprometido não pode garantir a proteção da VM.
O VBS usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional. Você pode usar o Modo de Segurança Virtual (VSM) no Windows para hospedar várias soluções de segurança para aumentar consideravelmente a proteção contra vulnerabilidades do sistema operacional e explorações maliciosas.
O VBS usa o hipervisor do Windows para criar e gerenciar limites de segurança no software do sistema operacional, impor restrições para proteger recursos vitais do sistema e proteger ativos de segurança, como credenciais de usuário autenticadas. Com o VBS, mesmo que o malware obtenha acesso ao kernel do sistema operacional, você pode limitar e conter possíveis exploits, porque o hipervisor impede que o malware execute código ou acesse segredos da plataforma.
O hipervisor, o nível mais privilegiado de software do sistema, define e impõe permissões de página em toda a memória do sistema. Enquanto estiver no VSM, as páginas só podem ser executadas depois de passar pelas verificações de integridade do código. Mesmo que ocorra uma vulnerabilidade, como um estouro de buffer que pode permitir que malware tente modificar a memória, as páginas de código não podem ser modificadas e a memória modificada não pode ser executada. VBS e HVCI fortalecem significativamente a aplicação da política de integridade do código. Todos os drivers e binários do modo kernel são verificados antes de poderem ser iniciados, e drivers não assinados ou arquivos de sistema são impedidos de carregar na memória do sistema.
Implante a virtualização corporativa confiável
Esta seção descreve em alto nível como adquirir hardware para implantar uma infraestrutura altamente segura que usa virtualização corporativa confiável no Azure Stack HCI e no Windows Admin Center para gerenciamento.
Etapa 1: Adquirir hardware para virtualização corporativa confiável no Azure Stack HCI
Primeiro, você precisará adquirir hardware. A maneira mais fácil de fazer isso é localizar seu parceiro de hardware Microsoft preferido no Catálogo HCI do Azure Stack e comprar um sistema integrado com o sistema operacional Azure Stack HCI pré-instalado. No catálogo, você pode filtrar para ver o hardware do fornecedor otimizado para esse tipo de carga de trabalho.
Caso contrário, você precisará implantar o sistema operacional Azure Stack HCI em seu próprio hardware. Para obter detalhes sobre as opções de implantação do Azure Stack HCI e a instalação do Windows Admin Center, consulte Implantar o sistema operacional Azure Stack HCI.
Em seguida, use o Windows Admin Center para criar um cluster HCI do Azure Stack.
Todo o hardware de parceiro para o Azure Stack HCI é certificado com a Qualificação Adicional de Garantia de Hardware. O processo de qualificação testa todas as funcionalidades VBS necessárias. No entanto, VBS e HVCI não são habilitados automaticamente no Azure Stack HCI. Para obter mais informações sobre a Qualificação Adicional de Garantia de Hardware, consulte "Garantia de Hardware" em Sistemas no Catálogo do Windows Server.
Aviso
HVCI pode ser incompatível com dispositivos de hardware não listados no Catálogo HCI do Azure Stack. É altamente recomendável usar o hardware validado pelo Azure Stack HCI de nossos parceiros para uma infraestrutura de virtualização corporativa confiável.
Passo 2: Ativar o HVCI
Habilite o HVCI no hardware do servidor e nas VMs. Para obter detalhes, consulte Habilitar a proteção baseada em virtualização da integridade do código.
Etapa 3: Configurar a Central de Segurança do Azure no Windows Admin Center
No Windows Admin Center, configure a Central de Segurança do Azure para adicionar proteção contra ameaças e avaliar rapidamente a postura de segurança de suas cargas de trabalho.
Para saber mais, consulte Proteger os recursos do Windows Admin Center com a Central de Segurança.
Para começar a utilizar o Centro de Segurança:
- Precisa de uma subscrição do Microsoft Azure. Se não tiver uma subscrição, pode inscrever-se para uma avaliação gratuita.
- O nível de preços gratuito da Central de Segurança é habilitado em todas as suas assinaturas atuais do Azure depois que você visita o painel da Central de Segurança do Azure no portal do Azure ou o habilita programaticamente via API. Para tirar partido das capacidades avançadas de gestão de segurança e deteção de ameaças, tem de ativar o Azure Defender. Você pode usar o Azure Defender gratuitamente por 30 dias. Para obter mais informações, consulte Preços da Central de Segurança.
- Se você estiver pronto para habilitar o Azure Defender, consulte Guia de início rápido: configurando a Central de Segurança do Azure para percorrer as etapas.
Você também pode usar o Windows Admin Center para configurar serviços híbridos adicionais do Azure, como Backup, Sincronização de Arquivos, Recuperação de Site, VPN Ponto a Site e Gerenciamento de Atualizações.
Próximos passos
Para obter mais informações relacionadas à virtualização corporativa confiável, consulte: