Azure Stack HCI'de güvenilir kurumsal sanallaştırma dağıtma
Şunlar için geçerlidir: Azure Stack HCI, sürüm 22H2
Bu konu başlığı altında, Azure Stack HCI işletim sisteminde güvenilen kurumsal sanallaştırma kullanan yüksek oranda güvenli bir altyapıyı planlama, yapılandırma ve dağıtma hakkında yönergeler sağlanmaktadır. Windows Yönetim Merkezi ve Azure portalı aracılığıyla sanallaştırma tabanlı güvenlik (VBS) ve karma bulut hizmetleri kullanan donanımlarda güvenli iş yükleri çalıştırmak için Azure Stack HCI yatırımınızı kullanın.
Genel bakış
VBS, konakları ve sanal makineleri (VM) güvenlik tehditlerine karşı korumak için Azure Stack HCI'deki güvenlik yatırımlarının önemli bir bileşenidir. Örneğin, Savunma Bakanlığı (DoD) bilgi sistemlerinin güvenliğini geliştirmek için bir araç olarak yayımlanan Güvenlik Teknik Uygulama Kılavuzu (STIG), genel güvenlik gereksinimleri olarak VBS ve Hiper Yönetici Korumalı Kod Bütünlüğü 'nü (HVCI) listeler. Güvenliği aşılmış bir konak VM korumasını garanti edemeyeceğinden, VM'lerdeki iş yüklerini korumak için VBS ve HVCI için etkinleştirilen konak donanımlarının kullanılması zorunludur.
VBS, güvenli bir bellek bölgesi oluşturmak ve işletim sisteminden yalıtmak için donanım sanallaştırma özelliklerini kullanır. İşletim sistemi güvenlik açıklarına ve kötü amaçlı güvenlik açıklarına karşı korumayı büyük ölçüde artırmak üzere bir dizi güvenlik çözümü barındırmak için Windows'ta Sanal Güvenli Modu (VSM) kullanabilirsiniz.
VBS, işletim sistemi yazılımında güvenlik sınırları oluşturmak ve yönetmek, önemli sistem kaynaklarını korumak için kısıtlamalar uygulamak ve kimliği doğrulanmış kullanıcı kimlik bilgileri gibi güvenlik varlıklarını korumak için Windows hiper yöneticisini kullanır. VBS ile, kötü amaçlı yazılım işletim sistemi çekirdeğine erişim kazansa bile, hiper yönetici kötü amaçlı yazılımların kod yürütmesini veya platform gizli dizilerine erişmesini önlediğinden olası açıklardan yararlanmaları büyük ölçüde sınırlayabilir ve içerebilirsiniz.
Sistem yazılımının en ayrıcalıklı düzeyi olan hiper yönetici, tüm sistem belleğinde sayfa izinlerini ayarlar ve uygular. VSM'deyken sayfalar ancak kod bütünlüğü denetimleri geçirildikten sonra yürütülebilir. Kötü amaçlı yazılımların belleği değiştirmesine izin verebilecek arabellek taşması gibi bir güvenlik açığı ortaya çıksa bile, kod sayfaları değiştirilemez ve değiştirilen bellek yürütülemez. VBS ve HVCI, kod bütünlüğü ilkesi zorlamasını önemli ölçüde güçlendirir. Tüm çekirdek modu sürücüleri ve ikili dosyaları başlatılmadan önce denetlenerek imzalanmamış sürücülerin veya sistem dosyalarının sistem belleğine yüklenmesi engellenir.
Güvenilen kurumsal sanallaştırma dağıtma
Bu bölümde, yönetim için Azure Stack HCI ve Windows Yönetim Merkezi'nde güvenilen kurumsal sanallaştırma kullanan yüksek oranda güvenli bir altyapı dağıtmak için donanım alma işlemi üst düzeyde açıklanmaktadır.
1. Adım: Azure Stack HCI'de güvenilir kurumsal sanallaştırma için donanım alma
İlk olarak donanım temin etmeniz gerekir. Bunu yapmanın en kolay yolu, Azure Stack HCI Kataloğu'nda tercih ettiğiniz Microsoft donanım iş ortağını bulmak ve Azure Stack HCI işletim sistemi önceden yüklenmiş tümleşik bir sistem satın almaktır. Katalogda, bu iş yükü türü için iyileştirilmiş satıcı donanımını görmek için filtreleyebilirsiniz.
Aksi takdirde, Azure Stack HCI işletim sistemini kendi donanımınıza dağıtmanız gerekir. Azure Stack HCI dağıtım seçenekleri ve Windows Yönetim Merkezi'ni yükleme hakkında ayrıntılı bilgi için bkz . Azure Stack HCI işletim sistemini dağıtma.
Ardından, Azure Stack HCI kümesi oluşturmak için Windows Admin Center'ı kullanın.
Azure Stack HCI için tüm iş ortağı donanımları Donanım Güvencesi Ek Niteleme sertifikasına sahiptir. Tüm gerekli VBS işlevleri için niteleme işlemi testleri. Ancak AZURE Stack HCI'de VBS ve HVCI otomatik olarak etkinleştirilmez. Donanım Güvencesi Ek Niteliği hakkında daha fazla bilgi için Windows Server Kataloğu'ndaki Sistemler'in altındaki "Donanım Güvencesi" bölümüne bakın.
Uyarı
HVCI, Azure Stack HCI Kataloğu'nda listelenmeyen donanım cihazlarıyla uyumsuz olabilir. Güvenilir kurumsal sanallaştırma altyapısı için iş ortaklarımızdan Azure Stack HCI tarafından doğrulanmış donanım kullanılmasını kesinlikle öneririz.
2. Adım: HVCI'yi etkinleştirme
Sunucu donanımınızda ve VM'lerinizde HVCI'yi etkinleştirin. Ayrıntılar için bkz . Kod bütünlüğünün sanallaştırma tabanlı korumasını etkinleştirme.
3. Adım: Windows Yönetim Merkezi'nde Azure Güvenlik Merkezi ayarlama
Windows Yönetim Merkezi'nde tehdit koruması eklemek ve iş yüklerinizin güvenlik duruşunu hızla değerlendirmek için Azure Güvenlik Merkezi ayarlayın.
Daha fazla bilgi edinmek için bkz . Güvenlik Merkezi ile Windows Admin Center kaynaklarını koruma.
Güvenlik Merkezi'ne başlamak için:
- Bir Microsoft Azure aboneliğine ihtiyacınız olacaktır. Aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolabilirsiniz.
- Güvenlik Merkezi'nin ücretsiz fiyatlandırma katmanı, Azure portalında Azure Güvenlik Merkezi panosunu ziyaret ettikten veya API aracılığıyla program aracılığıyla etkinleştirdiğinizde tüm geçerli Azure aboneliklerinizde etkinleştirilir. Gelişmiş güvenlik yönetimi ve tehdit algılama özelliklerinden yararlanmak için Azure Defender'ı etkinleştirmeniz gerekir. Azure Defender'i 30 gün boyunca ücretsiz kullanabilirsiniz. Daha fazla bilgi için bkz . Güvenlik Merkezi fiyatlandırması.
- Azure Defender'ı etkinleştirmeye hazırsanız bkz. Hızlı Başlangıç: Adımlarda ilerleyecek Azure Güvenlik Merkezi ayarlama.
Yedekleme, Dosya Eşitleme, Site Recovery, Noktadan Siteye VPN ve Güncelleştirme Yönetimi gibi ek Azure karma hizmetlerini ayarlamak için Windows Yönetim Merkezi'ni de kullanabilirsiniz.
Sonraki adımlar
Güvenilen kurumsal sanallaştırmayla ilgili daha fazla bilgi için bkz: