Развертывание надежной корпоративной виртуализации в Azure Stack HCI
Область применения: Azure Stack HCI версий 22H2 и 21H2
В этом разделе содержатся рекомендации по планированию, настройке и развертыванию высокозащищенной инфраструктуры, которая использует доверенную корпоративную виртуализацию в операционной системе Azure Stack HCI. Используйте инвестиции в Azure Stack HCI для выполнения безопасных рабочих нагрузок на оборудовании, которое использует безопасность на основе виртуализации (VBS) и гибридные облачные службы через Windows Admin Center и портал Azure.
Общие сведения
VBS — это ключевой компонент инвестиций в безопасность в Azure Stack HCI для защиты узлов и виртуальных машин от угроз безопасности. Например, в руководстве по технической реализации безопасности (STIG), опубликованном в качестве инструмента для повышения безопасности информационных систем Министерства обороны (DoD), перечислены VBS и hypervisor-protected Code Integrity (HVCI) в качестве общих требований безопасности. Крайне важно использовать оборудование узла, которое включено для VBS и HVCI для защиты рабочих нагрузок на виртуальных машинах, так как скомпрометированный узел не может гарантировать защиту виртуальных машин.
VBS использует функции аппаратной виртуализации для создания и изоляции безопасной области памяти от операционной системы. Виртуальный безопасный режим (VSM) в Windows можно использовать для размещения ряда решений по обеспечению безопасности, чтобы значительно повысить защиту от уязвимостей операционной системы и вредоносных эксплойтов.
VBS использует гипервизор Windows для создания границ безопасности в программном обеспечении операционной системы и управления ими, применения ограничений для защиты жизненно важных системных ресурсов и защиты ресурсов безопасности, таких как учетные данные пользователя, прошедшие проверку подлинности. С помощью VBS, даже если вредоносные программы получают доступ к ядру операционной системы, вы можете значительно ограничить и ограничить возможные эксплойты, так как гипервизор не позволяет вредоносным программам выполнять код или получать доступ к секретам платформы.
Низкоуровневая оболочка , наиболее привилегированный уровень системного программного обеспечения, устанавливает и применяет разрешения страницы во всей системной памяти. В VSM страницы могут выполняться только после прохождения проверок целостности кода. Даже если возникает уязвимость, например переполнение буфера, которая может позволить вредоносным программам попытаться изменить память, кодовую страницу изменить нельзя, а измененную память выполнить невозможно. VBS и HVCI значительно упростили политику целостности кода. Все драйверы и двоичные файлы режима ядра проверяются перед запуском, а неподписанные драйверы или системные файлы не загружаются в системную память.
Развертывание надежной корпоративной виртуализации
В этом разделе описывается, как получить оборудование для развертывания высокозащищенной инфраструктуры, которая использует надежную корпоративную виртуализацию в Azure Stack HCI и Windows Admin Center для управления.
Шаг 1. Приобретение оборудования для доверенной корпоративной виртуализации в Azure Stack HCI
Сначала необходимо приобрести оборудование. Самый простой способ сделать это — найти предпочтительного партнера Майкрософт по оборудованию в каталоге Azure Stack HCI и приобрести интегрированную систему с предустановленной операционной системой Azure Stack HCI. В каталоге можно отфильтровать оборудование поставщика, оптимизированное для этого типа рабочей нагрузки.
В противном случае необходимо развернуть операционную систему Azure Stack HCI на собственном оборудовании. Дополнительные сведения о вариантах развертывания Azure Stack HCI и установке Windows Admin Center см. в статье Развертывание операционной системы Azure Stack HCI.
Затем используйте Windows Admin Center для создания кластера Azure Stack HCI.
Все партнерское оборудование для Azure Stack HCI сертифицировано с дополнительной квалификацией По обеспечению оборудования. Процесс квалификации проверяет все необходимые функции VBS . Однако VBS и HVCI не включаются автоматически в Azure Stack HCI. Дополнительные сведения о дополнительной квалификации Hardware Assurance см. в разделе "Обеспечение оборудования" в разделе Системы в каталоге Windows Server.
Предупреждение
HVCI может быть несовместим с аппаратными устройствами, не перечисленными в каталоге Azure Stack HCI. Мы настоятельно рекомендуем использовать проверенное оборудование Azure Stack HCI от наших партнеров для доверенной корпоративной инфраструктуры виртуализации.
Шаг 2. Включение HVCI
Включите HVCI на серверном оборудовании и виртуальных машинах. Дополнительные сведения см. в статье Включение защиты целостности кода на основе виртуализации.
Шаг 3. Настройка Центр безопасности Azure в Windows Admin Center
В Windows Admin Center настройте Центр безопасности Azure, чтобы добавить защиту от угроз и быстро оценить состояние безопасности рабочих нагрузок.
Дополнительные сведения см. в статье Защита ресурсов Windows Admin Center с помощью Центра безопасности.
Чтобы приступить к работе с Центром безопасности, выполните следующие действия.
- Вам понадобится подписка Microsoft Azure. Если у вас нет подписки, вы можете зарегистрироваться для получения бесплатной пробной версии.
- Ценовая категория "Бесплатный" в Центре безопасности включается для всех текущих подписок Azure после того, как вы либо перейдете на панель мониторинга Центр безопасности Azure в портал Azure, либо включите ее программным способом с помощью API. Чтобы воспользоваться преимуществами расширенного управления безопасностью и функциями обнаружения угроз, нужно включить Azure Defender. Azure Defender можно использовать бесплатно в течение 30 дней. Дополнительные сведения см. в разделе Цены на Центр безопасности.
- Если вы готовы включить Azure Defender, ознакомьтесь с кратким руководством по настройке Центр безопасности Azure, чтобы выполнить инструкции.
Вы также можете использовать Windows Admin Center для настройки дополнительных гибридных служб Azure, таких как резервное копирование, Синхронизация файлов, Site Recovery, VPN типа "точка — сеть" и управление обновлениями.
Дальнейшие действия
Дополнительные сведения о доверенной корпоративной виртуализации см. в разделе:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по