在 Azure Stack HCI 中部署信任的企業虛擬化

  • 發行項

適用于:Azure Stack HCI 版本 22H2 和 21H2

本主題會提供有關如何規劃、設定及部署高度安全的基礎結構,以在 Azure Stack HCI 作業系統上使用受信任企業虛擬化的指引。 運用您的 Azure Stack HCI 投資,透過 Windows Admin Center 和 Azure 入口網站,在使用虛擬化型安全性 (VBS) 和混合式雲端服務的硬體上執行安全的工作負載。

概觀

VBS 是 Azure Stack HCI 中安全性投資的重要元件,可讓主機和虛擬機器 (VM) 不致遭受安全性威脅。 例如,為了改善美國國防部 (DoD) 資訊系統的安全性而作為工具來發佈的安全性技術實施指南 (STIG),會將 VBS 和受 Hypervisor 保護的程式碼完整性 (HVCI) 列為一般安全性需求。 您必須使用已啟用 VBS 和 HVCI 的主機硬體來保護 VM 上的工作負載,因為遭入侵的主機無法保證 VM 會受到保護。

VBS 會使用硬體虛擬化功能,從作業系統建立和隔出安全的記憶體區域。 您可以在 Windows 中使用虛擬安全模式 (VSM)來裝載一些安全性解決方案,以大幅提升對於作業系統弱點和惡意探索的保護能力。

VBS 會使用 Windows Hypervisor 在作業系統軟體中建立及管理安全性界限,強制實施限制以保護重要的系統資源,並保護安全性資產 (例如已驗證的使用者認證)。 使用 VBS 時,即使惡意程式碼能夠存取作業系統核心,您仍可大幅限制和遏制可能的惡意探索,因為 Hypervisor 會防止惡意程式碼執行程式碼或存取平台秘密。

Hypervisor (特殊權限等級最高的系統軟體) 會在所有系統記憶體中設定並強制執行頁面權限。 在 VSM 內,頁面要通過程式碼完整性檢查才能執行。 即使有弱點 (例如有緩衝區溢位而可能允許惡意程式碼嘗試修改記憶體),還是無法修改字碼頁,也無法執行修改過的記憶體。 VBS 和 HVCI 能大幅增強強制執行程式碼完整性原則的能力。 所有核心模式的驅動程式和二進位檔都要先通過檢查才能啟動,所以未簽署的驅動程式或系統檔案都無法載入到系統記憶體內。

部署受信任的企業虛擬化

本節會概略說明如何取得硬體,以在 Azure Stack HCI 和 Windows Admin Center 上部署使用受信任的企業虛擬化來進行管理的高度安全基礎結構。

步驟 1:取得 Azure Stack HCI 上受信任企業虛擬化的硬體

首先,您需要購買硬體。 最簡單的做法是在 Azure Stack HCI 目錄中找出您偏好的 Microsoft 硬體合作夥伴,並購買已預先安裝 Azure Stack HCI 作業系統的整合系統。 在目錄中,您可以篩選找出最適合這種工作負載的廠商硬體。

否則,您必須在自己的硬體上部署 Azure Stack HCI 作業系統。 如需 Azure Stack HCI 部署選項及安裝 Windows Admin Center 的詳細資訊,請參閱部署 Azure Stack HCI 作業系統

接下來,使用 Windows Admin Center 建立 Azure Stack HCI 叢集

Azure Stack HCI 的所有合作夥伴硬體都已通過硬體保證額外資格的認證。 資格程序會測試所有必要的 VBS 功能。 不過,Azure Stack HCI 不會自動啟用 VBS 和 HVCI。 如需硬體保證額外資格的詳細資訊,請參閱 Windows Server Catalog系統底下的<硬體保證>。

警告

針對 Azure Stack HCI 目錄中未列出的硬體裝置,HVCI 可能不會與其相容。 強烈建議您針對受信任的企業虛擬化基礎結構,使用我們的合作夥伴所提供的 Azure Stack HCI 驗證硬體。

步驟 2:啟用 HVCI

請在伺服器硬體和 VM 上啟用 HVCI。 如需詳細資訊,請參閱啟用以虛擬化為基礎的程式碼完整性保護

步驟 3:在 Windows Admin Center 中設定 Azure 資訊安全中心

在 Windows Admin Center 中,設定 Azure 資訊安全中心以新增威脅防護,並快速評估工作負載的安全性狀態。

若要深入了解,請參閱使用資訊安全中心保護 Windows Admin Center 資源

若要開始使用資訊安全中心:

  • 您需要 Microsoft Azure訂用帳戶。 如果您沒有訂閱,可以註冊免費試用
  • 在 Azure 入口網站中造訪 Azure 資訊安全中心儀表板,或是以程式設計方式透過 API 啟用時,就會在所有目前的 Azure 訂用帳戶上啟用資訊安全中心的免費定價層。 若要利用進階安全性管理和威脅偵測功能,您必須啟用 Azure Defender。 您可以免費使用 Azure Defender 30 天。 如需詳細資訊,請參閱資訊安全中心定價
  • 如果您已準備好啟用 Azure Defender,請參閱快速入門:設定 Azure 資訊安全中心以逐步完成這些步驟。

您也可以使用 Windows Admin Center 來設定其他 Azure 混合式服務,例如備份、檔案同步、Site Recovery、點對站 VPN 和更新管理。

後續步驟

如需有關受信任企業虛擬化的詳細資訊,請參閱: