Сценарий. Развертывание защищенных узлов и экранированных виртуальных машин в VMM
В этой статье представлен обзор развертывания защищенных узлов Hyper-V и экранированных виртуальных машин в структуре вычислений System Center диспетчер виртуальных машин (VMM).
Защищенные структуры обеспечивают дополнительную защиту виртуальных машин, чтобы предотвратить изменение и кражу вредоносными администраторами и вредоносными программами. Как поставщик облачных служб или администратор частного облака, вы можете развернуть защищенную структуру, которая обычно состоит из сервера под управлением службы защиты узлов (HGS), одного или нескольких защищенных серверов узлов Hyper-V и одной или нескольких экранированных виртуальных машин, работающих на этих узлах. Узнайте больше о защищенных структурах.
Почему необходимо защитить виртуальные машины?
Виртуальные машины содержат конфиденциальные данные и конфигурацию, которые владелец виртуальной машины не хотел бы видеть администратором структуры. Тем не менее, так как все данные для виртуальных машин хранятся в файлах, данные можно легко скопировать и проверить вредоносными программами или вредоносным администратором.
Экранированные виртуальные машины в Windows Server помогают предотвратить такие атаки путем строгого проверки работоспособности узла Hyper-V перед загрузкой виртуальной машины, гарантируя, что виртуальная машина может быть запущена только в центрах обработки данных, авторизованных владельцем виртуальной машины, и позволяя гостевой ОС шифровать собственные данные с помощью нового виртуального доверенного платформенного модуля. Владелец виртуальной машины может выбрать из следующих двух типов защиты при создании виртуальной машины с учетом безопасности:
- Поддержка шифрования. Идеальное решение для частных корпоративных облаков, где данные необходимо шифровать как во время хранения, так и на лету, а администраторам структуры можно доверять. Консоль виртуальной машины и другие удобства управления остаются доступными администраторам структуры.
- Экранированный: самый безопасный вариант развертывания, экранирование запрещает администраторам структуры подключаться к консоли виртуальной машины или изменять аспекты безопасности конфигурации виртуальной машины. Владельцы виртуальных машин могут получить доступ только к виртуальной машине с помощью средств удаленного управления, которые они хотят включить. Это рекомендуется для клиентов, выполняющих конфиденциальные рабочие нагрузки в общедоступной или общей инфраструктуре.
Управление защищенной структурой с помощью VMM
Базовая инфраструктура защищенной структуры (состоящая из одного или нескольких защищенных узлов Hyper-V, службы защиты узлов и артефактов, необходимых для создания экранированных виртуальных машин), входит в состав Windows Server 2016 и более поздних версий и должна быть настроена в соответствии с документацией по защищенной структуре. После настройки вы можете дополнительно использовать System Center диспетчер виртуальных машин для упрощения управления защищенной структурой.
Базовая инфраструктура защищенной структуры (состоящая из одного или нескольких защищенных узлов Hyper-V, службы защиты узлов и артефактов, необходимых для создания экранированных виртуальных машин), входит в состав применимой версии Windows Server и должна быть настроена в соответствии с документацией по защищенной структуре. После настройки вы можете дополнительно использовать System Center диспетчер виртуальных машин для упрощения управления защищенной структурой.
VMM можно использовать для:
- Подготовка защищенных узлов и управление ими в структуре VMM. Вы можете добавлять защищенные узлы и управлять ими в структуру VMM. Защищенный узел — это сервер Hyper-V, который:
- Соответствует предварительным требованиям защищенного узла.
- Авторизована службой защиты узла для работы экранированных виртуальных машин. Администратор HGS определяет требования, необходимые для успешного проверки и защиты узлов.
- Помечен как защищенный в VMM, настроив его для использования тех же URL-адресов HGS, что и указанные в глобальных параметрах VMM.
- Настройте экранированный виртуальный жесткий диск и при необходимости шаблон виртуальной машины: подписанные диски шаблонов (VHDX), используемые для развертывания новых экранированных виртуальных машин, можно хранить в библиотеке VMM для простого развертывания. Затем этот VHDX можно использовать в шаблоне виртуальной машины.
- Подготовка экранированных виртуальных машин и управление ими: VMM поддерживает полный жизненный цикл экранированных виртуальных машин. К ним относятся:
- Создание новых экранированных виртуальных машин на подписанном диске шаблона (VHDX) и при необходимости с помощью шаблона виртуальной машины.
- Преобразование существующих виртуальных машин в экранированные виртуальные машины.