Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Hyper-V виртуальных машин поколения 2 предоставляют надежные функции безопасности, предназначенные для защиты конфиденциальных данных и предотвращения несанкционированного доступа или изменения. В этой статье рассматриваются параметры безопасности, доступные в диспетчере Hyper-V для виртуальных машин поколения 2 и показано, как их настроить. Узнайте, как эти функции помогут защитить виртуальные машины от угроз и обеспечить соответствие рекомендациям по безопасности.
Доступные функции безопасности для виртуальных машин поколения 2 в Hyper-V включают:
- Безопасная загрузка.
- Поддержка шифрования доверенного платформенного модуля (TPM), динамической миграции и сохраненного состояния.
- Экранированные виртуальные машины.
- Служба защиты хостов (HGS).
Эти функции безопасности предназначены для защиты данных и состояния виртуальной машины. Вы можете защитить виртуальные машины от проверки, кражи и несанкционированного вмешательства со стороны как вредоносных программ, которые могут запускаться на хосте, так и администраторов центров обработки данных. Уровень безопасности, который вы получаете, зависит от используемого оборудования узла, поколения виртуальной машины и настройки службы защиты узлов-компаньонов (HGS), которая разрешает узлам запускать экранированные виртуальные машины.
Служба Host Guardian впервые появилась в Windows Server 2016. Он определяет законные Hyper-V узлы и позволяет им запускать набор экранированных виртуальных машин. Чаще всего можно включить службу защиты узла для центра обработки данных, но вы также можете создать экранированную виртуальную машину для локального запуска без настройки службы защиты узла. Позже вы можете распространить экранированную виртуальную машину в Службу защиты хоста.
Сведения о том, как сделать виртуальные машины более безопасными с помощью службы Host Guardian, см. Защищенная сеть и экранированные виртуальные машины и Укрепление сети: защита секретов клиента в Hyper-V (видео Ignite).
Безопасная загрузка
Безопасная загрузка (Secure Boot) — это функция, доступная в виртуальных машинах второго поколения, которая помогает предотвратить запуск несанкционированного встроенного ПО, операционных систем или драйверов UEFI (также известных как опциональные ПЗУ). Безопасная загрузка включена по умолчанию. Вы можете использовать безопасную загрузку с виртуальными машинами поколения 2, работающими под управлением операционных систем распространения Windows или Linux.
Существует три разных шаблона в зависимости от операционной системы и конфигурации виртуальной машины. В следующей таблице перечислены все эти шаблоны и приведены сертификаты, необходимые для проверки целостности процесса загрузки:
| Имя шаблона | Совместимость |
|---|---|
| Microsoft Windows | Операционные системы Windows. |
| Центр сертификации Microsoft UEFI | Операционные системы дистрибутива Linux. |
| Экранированная виртуальная машина с открытым исходным кодом | Экранированные виртуальные машины на базе Linux. |
Поддержка шифрования
Hyper-V виртуальные машины поколения 2 предоставляют надежные возможности шифрования, обеспечивающие несколько уровней защиты для виртуализированной инфраструктуры. Поддержка шифрования охватывает три критически важные области: функциональные возможности доверенного платформенного модуля, сетевой трафик динамической миграции и сохраненные данные о состоянии. Эти функции безопасности работают вместе, чтобы создать комплексную защиту от несанкционированного доступа и утечек данных, гарантируя, что конфиденциальная информация остается защищенной как в состоянии покоя, так и при передаче.
Функция виртуализированного доверенного платформенного модуля (vTPM) представляет собой значительный прогресс в архитектуре безопасности виртуальных машин. Добавив vTPM в виртуальную машину поколения 2, вы предоставляете гостевой операционной системе возможность использовать аппаратные функции безопасности, аналогичные тем, которые доступны на физических машинах. Эта виртуализированная микросхема безопасности позволяет гостевой ОС шифровать весь диск виртуальной машины с помощью шифрования диска BitLocker, создавая дополнительный уровень защиты от несанкционированного доступа. vTPM также может поддерживать другие технологии безопасности, требующие TPM, что делает его важным компонентом для корпоративных средах, требующих строгого соответствия стандартам безопасности и нормативным требованиям.
Вы можете перенести виртуальную машину с виртуальным TPM на любой узел, на котором запущена поддерживаемая версия Windows Server или Windows. Если вы перенесете его на другой узел, возможно, вы не сможете его запустить. Необходимо обновить предохранитель ключа для этой виртуальной машины, чтобы авторизовать новый узел для запуска виртуальной машины. Дополнительные сведения см. в статье Защищенная структура и экранированные виртуальные машины и System requirements for Hyper-V on Windows Server (Требования к системе для Hyper-V в Windows Server).
Политика безопасности в диспетчере Hyper-V
Экранированные виртуальные машины представляют самый высокий уровень безопасности, доступный для виртуальных машин поколения 2 Hyper-V, обеспечивая комплексную защиту от внешних угроз и атак привилегированного доступа. При включении экранирования на виртуальной машине создается защищенное окружение, которое шифрует состояние виртуальной машины и трафик миграции при ограничении административного доступа к критически важным функциям виртуальной машины. Эта защита выходит за рамки традиционных мер безопасности, предотвращая доступ даже для администраторов центра обработки данных и вредоносных программ на уровне хоста к памяти виртуальной машины, её сохраненному состоянию или сетевому трафику во время операций живой миграции.
Функция экранирования автоматически применяет несколько требований безопасности, включая защищённую загрузку, включение модуля TPM и шифрование сохраненного состояния и трафика миграции. Кроме того, экранированные виртуальные машины отключают определенные возможности управления, такие как подключения консоли, PowerShell Direct и определенные компоненты интеграции, которые злоумышленники могут потенциально использовать. Этот подход создает модель безопасности глубинной защиты, в которой виртуальная машина становится эффективно непрозрачной в системе узла, обеспечивая защиту конфиденциальных рабочих нагрузок даже в скомпрометированных средах размещения. Организации могут развертывать экранированные виртуальные машины с помощью службы защиты узлов для реализации корпоративного масштаба или запускать их локально для повышения безопасности в небольших развертываниях.
Вы можете создать экранированную виртуальную машину для локального запуска без настройки службы защиты узла. Если вы перенесёте его на другой хост, возможно, вы не сможете запустить его. Необходимо обновить предохранитель ключа для этой виртуальной машины, чтобы авторизовать новый узел для запуска виртуальной машины. Дополнительные сведения см. в статье Защищенная структура и экранированные виртуальные машины.
Связанный контент
Дополнительные сведения см. в следующих статьях:
- Безопасность и гарантия в Windows Server.
- Следует ли создать виртуальную машину поколения 1 или 2 в Hyper-V?
- Supported Linux and FreeBSD virtual machines for Hyper-V on Windows (Поддерживаемые виртуальные машины Linux и FreeBSD для Hyper-V в Windos).