Sdílet prostřednictvím

Scénář – Nasazení strážených hostitelů a chráněných virtuálních počítačů v nástroji VMM

  • Článek

Tento článek obsahuje přehled nasazení strážených hostitelů Hyper-V a chráněných virtuálních počítačů ve výpočetních prostředcích infrastruktury nástroje System Center Virtual Machine Manager (VMM).

Strážené prostředky infrastruktury poskytují další ochranu virtuálních počítačů, aby se zabránilo manipulaci a krádeži škodlivými správci a malwarem. Jako poskytovatel cloudových služeb nebo správce privátního cloudu můžete nasadit strážené prostředky infrastruktury, které se obvykle skládají ze serveru se službou Strážce hostitele (HGS), jednoho nebo několika strážených hostitelských serverů Hyper-V a jednoho nebo několika stíněných virtuálních počítačů spuštěných na těchto hostitelích. Přečtěte si další informace o strážených prostředcích infrastruktury.

Proč potřebuji chránit virtuální počítače?

Virtuální počítače obsahují citlivá data a konfiguraci, které by vlastník virtuálního počítače nechtěl zobrazit správce prostředků infrastruktury. Vzhledem k tomu, že jsou všechna data virtuálních počítačů uložená v souborech, je možné je snadno zkopírovat a zkontrolovat malwarem nebo správcem se zlými úmysly.

Chráněné virtuální počítače ve Windows Serveru pomáhají zabránit takovým útokům tím, že před spuštěním virtuálního počítače důkladně potvrdí stav hostitele Hyper-V, čímž zajistíte, že virtuální počítač může spustit pouze v datacentrech autorizovaných vlastníkem virtuálního počítače a umožní hostovanému operačnímu systému šifrovat vlastní data pomocí nového virtuálního čipu TPM. Vlastník virtuálního počítače může při vytváření virtuálního počítače citlivého na zabezpečení vybrat z následujících dvou typů ochrany:

  • Podporované šifrování: Ideální pro scénáře podnikového privátního cloudu, kdy je potřeba šifrování neaktivních uložených dat a v letu, ale správci prostředků infrastruktury jsou stále důvěryhodní. Konzola virtuálního počítače a další usnadnění správy zůstávají dostupné správcům prostředků infrastruktury.
  • Stíněné: Nejbezpečnější možnost nasazení, stínění brání správcům prostředků infrastruktury v připojení ke konzole virtuálního počítače nebo úpravě aspektů zabezpečení konfigurace virtuálního počítače. Vlastníci virtuálních počítačů můžou k virtuálnímu počítači přistupovat jenom přes nástroje pro vzdálenou správu, které se rozhodnou povolit. To se doporučuje pro tenanty, kteří provozují citlivé úlohy ve veřejné nebo sdílené infrastruktuře.

Správa strážených prostředků infrastruktury pomocí nástroje VMM

Základní chráněná infrastruktura prostředků infrastruktury (skládající se z jednoho nebo několika strážených hostitelů Hyper-V, služby Strážce hostitele a artefaktů potřebných k vytvoření stíněných virtuálních počítačů) je součástí Windows Serveru 2016 a novějšího a musí být nakonfigurovaná podle dokumentace ke stráženým prostředkům infrastruktury. Po nastavení můžete volitelně pomocí nástroje System Center Virtual Machine Manager zjednodušit správu strážených prostředků infrastruktury.

Základní chráněná infrastruktura prostředků infrastruktury (sestávající z jednoho nebo několika strážených hostitelů Hyper-V, služby Strážce hostitele a artefaktů potřebných k vytvoření stíněných virtuálních počítačů) je součástí příslušné verze Windows Serveru a musí být nakonfigurovaná podle dokumentace ke stráženým prostředkům infrastruktury. Po nastavení můžete volitelně pomocí nástroje System Center Virtual Machine Manager zjednodušit správu strážených prostředků infrastruktury.

Nástroj VMM lze použít k:

  • Zřizování a správa strážených hostitelů v prostředcích infrastruktury nástroje VMM: Strážené hostitele můžete přidávat a spravovat do prostředků infrastruktury nástroje VMM. Strážený hostitel je server Hyper-V, který:
    • Splňuje požadavky strážených hostitelů.
    • Služba Strážce hostitele má oprávnění ke spouštění stíněných virtuálních počítačů v prostředcích infrastruktury. Správce služby HGS určuje požadavky na úspěšné otestování hostitelů a jejich ochranu.
    • Je v nástroji VMM označený jako strážený tak, že ho nakonfigurujete tak, aby používal stejné adresy URL HGS jako adresy URL zadané v globálním nastavení VMM.
  • Nakonfigurujte stíněný virtuální pevný disk a volitelně šablonu virtuálního počítače: Podepsané disky šablony (VHDX) používané k nasazení nových stíněných virtuálních počítačů se dají uložit do knihovny VMM pro snadné nasazení. Tento soubor VHDX pak můžete použít v šabloně virtuálního počítače.
  • Zřizování a správa stíněných virtuálních počítačů: Nástroj VMM podporuje celý životní cyklus chráněných virtuálních počítačů. To zahrnuje:
    • Vytváření nových stíněných virtuálních počítačů z podepsaného disku šablony (VHDX) a volitelně pomocí šablony virtuálního počítače.
    • Převod existujících virtuálních počítačů na stíněné virtuální počítače

Další kroky

Zřízení strážených hostitelů v prostředcích infrastruktury VMM