Distribuera betrodd företagsvirtualisering på Azure Stack HCI
Gäller för: Azure Stack HCI, versionerna 22H2 och 21H2
Det här avsnittet innehåller vägledning om hur du planerar, konfigurerar och distribuerar en mycket säker infrastruktur som använder betrodd företagsvirtualisering i Azure Stack HCI-operativsystemet. Utnyttja din Azure Stack HCI-investering för att köra säkra arbetsbelastningar på maskinvara som använder virtualiseringsbaserad säkerhet (VBS) och hybridmolntjänster via Windows Admin Center och Azure Portal.
Översikt
VBS är en viktig del av säkerhetsinvesteringarna i Azure Stack HCI för att skydda värdar och virtuella datorer från säkerhetshot. Till exempel, Security Technical Implementation Guide (STIG), som publiceras som ett verktyg för att förbättra säkerheten för doD-informationssystem (Department of Defense), listar VBS och Hypervisor-Protected Code Integrity (HVCI) som allmänna säkerhetskrav. Det är absolut nödvändigt att använda värdmaskinvara som är aktiverad för VBS och HVCI för att skydda arbetsbelastningar på virtuella datorer, eftersom en komprometterad värd inte kan garantera VM-skydd.
VBS använder maskinvaruvirtualiseringsfunktioner för att skapa och isolera en säker minnesregion från operativsystemet. Du kan använda virtuellt säkert läge (VSM) i Windows för att vara värd för ett antal säkerhetslösningar för att avsevärt öka skyddet mot säkerhetsproblem i operativsystemet och skadliga kryphål.
VBS använder Windows-hypervisor-programmet för att skapa och hantera säkerhetsgränser i operativsystemprogramvaran, tillämpa begränsningar för att skydda viktiga systemresurser och skydda säkerhetstillgångar, till exempel autentiserade användarautentiseringsuppgifter. Med VBS, även om skadlig kod får åtkomst till operativsystemets kernel, kan du kraftigt begränsa och innehålla möjliga kryphål, eftersom hypervisor-programmet förhindrar skadlig kod från att köra kod eller komma åt plattformshemligheter.
Hypervisor-programmet, den mest privilegierade nivån av systemprogramvara, anger och tillämpar sidbehörigheter i allt systemminne. I VSM kan sidor bara köras efter att kodintegritetskontroller har godkänts. Även om en säkerhetsrisk, till exempel ett buffertspill som kan göra det möjligt för skadlig kod att försöka ändra minne, uppstår, går det inte att ändra kodsidor och det går inte att köra modifierat minne. VBS och HVCI stärker kodintegritetsprincipen avsevärt. Alla drivrutiner och binärfiler i kernelläge kontrolleras innan de kan starta, och osignerade drivrutiner eller systemfiler hindras från att läsas in i systemminnet.
Distribuera betrodd företagsvirtualisering
I det här avsnittet beskrivs på hög nivå hur du hämtar maskinvara för att distribuera en mycket säker infrastruktur som använder betrodd företagsvirtualisering på Azure Stack HCI och Windows Admin Center för hantering.
Steg 1: Hämta maskinvara för betrodd företagsvirtualisering på Azure Stack HCI
Först måste du köpa maskinvara. Det enklaste sättet att göra det är att hitta önskad Microsoft-maskinvarupartner i Azure Stack HCI-katalogen och köpa ett integrerat system med Azure Stack HCI-operativsystemet förinstallerat. I katalogen kan du filtrera för att se leverantörsmaskinvara som är optimerad för den här typen av arbetsbelastning.
Annars måste du distribuera Azure Stack HCI-operativsystemet på din egen maskinvara. Mer information om distributionsalternativ för Azure Stack HCI och installation av Windows Admin Center finns i Distribuera operativsystemet Azure Stack HCI.
Använd sedan Windows Admin Center för att skapa ett Azure Stack HCI-kluster.
All partnermaskinvara för Azure Stack HCI är certifierad med ytterligare kvalificering för Hardware Assurance. Kvalificeringsprocessen testar alla nödvändiga VBS-funktioner . VBS och HVCI aktiveras dock inte automatiskt i Azure Stack HCI. Mer information om ytterligare kvalificering för Hardware Assurance finns i "Hardware Assurance" under System i Windows Server-katalogen.
Varning
HVCI kan vara inkompatibelt med maskinvaruenheter som inte finns med i Azure Stack HCI-katalogen. Vi rekommenderar starkt att du använder Azure Stack HCI-verifierad maskinvara från våra partner för en betrodd infrastruktur för företagsvirtualisering.
Steg 2: Aktivera HVCI
Aktivera HVCI på serverns maskinvara och virtuella datorer. Mer information finns i Aktivera virtualiseringsbaserat skydd av kodintegritet.
Steg 3: Konfigurera Azure Security Center i Windows Admin Center
I Windows Admin Center konfigurerar du Azure Security Center för att lägga till skydd mot hot och snabbt utvärdera säkerhetsstatusen för dina arbetsbelastningar.
Mer information finns i Skydda Windows Admin Center resurser med Security Center.
Så här kommer du igång med Security Center:
- Du behöver en prenumeration på Microsoft Azure. Om du inte har någon prenumeration kan du registrera dig för en kostnadsfri utvärderingsversion.
- Den kostnadsfria prisnivån för Security Center är aktiverad för alla dina aktuella Azure-prenumerationer när du antingen besöker Azure Security Center-instrumentpanelen i Azure Portal eller aktiverar den programmatiskt via API. Om du vill dra nytta av avancerade funktioner för säkerhetshantering och hotidentifiering måste du aktivera Azure Defender. Du kan använda Azure Defender kostnadsfritt i 30 dagar. Mer information finns i Prissättning för Security Center.
- Om du är redo att aktivera Azure Defender kan du läsa Snabbstart: Konfigurera Azure Security Center för att gå igenom stegen.
Du kan också använda Windows Admin Center för att konfigurera ytterligare Azure-hybridtjänster, till exempel säkerhetskopiering, File Sync, Site Recovery, punkt-till-plats-VPN och uppdateringshantering.
Nästa steg
Mer information om betrodd företagsvirtualisering finns i:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för