在 Azure Stack HCI 上部署受信任的企业虚拟化
适用于:Azure Stack HCI 版本 22H2
本主题提供的指南介绍了如何在 Azure Stack HCI 操作系统上计划、配置和部署使用受信任的企业虚拟化的高度安全的基础结构。 利用你的 Azure Stack HCI 投资,通过 Windows Admin Center 和 Azure 门户在使用基于虚拟化的安全性 (VBS) 和混合云服务的硬件上运行安全工作负荷。
概述
VBS 是 Azure Stack HCI 中的安全投资的一个关键组件,用于保护主机和虚拟机 (VM) 免受安全威胁。 例如,安全技术实现指南 (STIG),它作为一个工具发布,用于改进美国国防部 (DoD) 信息系统的安全,列出了作为一般安全要求的 VBS 和受虚拟机监控程序保护的代码完整性 (HVCI)。 必须使用启用了 VBS 和 HVCI 的主机硬件来保护 VM 上的工作负荷,因为受攻击的主机不能保证提供 VM 保护。
VBS 使用硬件虚拟化功能来创建内存的安全区域,并将其与操作系统隔离开来。 你可以使用 Windows 中的虚拟安全模式 (VSM) 来托管许多安全解决方案,从而大大提高对操作系统的保护,使其免遭漏洞危害和恶意利用。
VBS 使用 Windows 虚拟机监控程序在操作系统软件中创建和管理安全边界,强制实施限制来保护重要的系统资源,并保护安全资产,例如已经过身份验证的用户凭据。 使用 VBS,即使恶意软件获得了对操作系统内核的访问权限,你也可以极大程度地限制和遏制可能的攻击,因为虚拟机监控程序可以阻止恶意软件执行代码或访问平台机密。
虚拟机监控程序(最高特权级别的系统软件)在所有系统内存中设置并强制实施页面权限。 但在 VSM 中,只有通过代码完整性检查后,页面才能执行。 即使出现漏洞(例如缓冲区溢出,可能会导致恶意软件修改内存),代码页也无法修改,修改后的内存也无法执行。 VBS 和 HVCI 大大增强了代码完整性策略的实施。 所有内核模式驱动程序和二进制文件在启动之前都会进行检查,未签名的驱动程序或系统文件将无法加载到系统内存中。
部署受信任的企业虚拟化
本部分概要介绍了如何获取硬件来部署高度安全的基础结构,该基础结构使用 Azure Stack HCI 上的受信任的企业虚拟化和 Windows Admin Center 进行管理。
步骤 1:获取 Azure Stack HCI 上的受信任的企业虚拟化的硬件
首先,你需要购买硬件。 要购买硬件,最简单的方法是在 Azure Stack HCI 目录中查找首选的 Microsoft 硬件合作伙伴,并购买预装了 Azure Stack HCI 操作系统的集成系统。 在此目录中,你可以进行筛选,以查找针对此类型的工作负荷进行了优化的供应商硬件。
否则,你需要在自己的硬件上部署 Azure Stack HCI 操作系统。 有关 Azure Stack HCI 部署选项以及安装 Windows Admin Center 的详细信息,请参阅部署 Azure Stack HCI 操作系统。
接下来,使用 Windows Admin Center 创建 Azure Stack HCI 群集。
用于 Azure Stack HCI 的所有合作伙伴硬件都通过了硬件保证附加资格认证。 该认证过程会针对所有必需的 VBS 功能进行测试。 但是,不会自动在 Azure Stack HCI 中启用 VBS 和 HVCI。 有关硬件保证附加资格的详细信息,请参阅 Windows Server 目录中“系统”下的“硬件保证”。
警告
HVCI 可能不兼容 Azure Stack HCI 目录中未列出的硬件设备。 强烈建议你使用我们在受信任的企业虚拟化基础结构领域的合作伙伴提供的 Azure Stack HCI 经验证硬件。
步骤 2:启用 HVCI
在服务器硬件和 VM 上启用 HVCI。 有关详细信息,请参阅启用基于虚拟化的代码完整性保护。
步骤 3:在 Windows Admin Center 中设置 Azure 安全中心
在 Windows Admin Center 中设置 Azure 安全中心,以便添加威胁防护并快速评估工作负荷的安全态势。
若要了解详细信息,请参阅使用安全中心保护 Windows Admin Center 资源。
若要开始使用安全中心,请注意:
- 首先需要订阅 Microsoft Azure。 如果没有订阅,可以注册免费试用版。
- 访问 Azure 门户中的 Azure 安全中心仪表板后,或者通过 API 以编程方式启用安全中心的免费定价层后,安全中心的免费定价层会在所有当前的 Azure 订阅上启用。 若要利用高级安全管理和威胁检测功能,必须启用 Azure Defender。 你可以免费使用 Azure Defender 30 天。 有关详细信息,请参阅安全中心定价。
- 如果你已准备好启用 Azure Defender,请参阅快速入门:设置 Azure 安全中心来完成所有步骤。
还可以使用 Windows Admin Center 来设置其他 Azure 混合服务,例如备份、文件同步、Site Recovery、点到站点 VPN 和更新管理。
后续步骤
如需与受信任的企业虚拟化相关的更多信息,请参阅: