Scenario 1: distribuire host sorvegliati e macchine virtuali schermate in VMM
Questo articolo offre una panoramica della distribuzione di host sorvegliati Hyper-V e di macchine virtuali schermate in un'infrastruttura di calcolo di System Center Virtual Machine Manager (VMM).
Le infrastrutture sorvegliate offrono protezioni aggiuntive per le macchine virtuali per evitare manomissioni e furti da amministratori malintenzionati e malware. In qualità di provider di servizi cloud o amministratore del cloud privato, è possibile distribuire un'infrastruttura sorvegliata costituita in genere da un server che esegue il servizio Sorveglianza host (HGS), uno o più server host Hyper-V sorvegliati e una o più macchine virtuali schermate in esecuzione in tali host. Altre informazioni sui tessuti sorvegliati.
Perché è necessario proteggere le macchine virtuali?
Le macchine virtuali contengono dati sensibili e configurazioni che il proprietario della macchina virtuale non desidera che possano essere accessi da parte di un amministratore del sistema. Tuttavia, poiché tutti i dati per le macchine virtuali vengono archiviati nei file, i dati possono essere facilmente copiati e controllati da malware o da un amministratore malintenzionato.
Le macchine virtuali schermate in Windows Server consentono di evitare tali attacchi attestando rigorosamente l'integrità di un host Hyper-V prima di avviare una macchina virtuale, assicurandosi che la macchina virtuale possa essere avviata solo nei data center autorizzati dal proprietario della macchina virtuale e consentendo al sistema operativo guest di crittografare i propri dati usando un nuovo TPM virtuale. Il proprietario della macchina virtuale può scegliere tra i due tipi di protezione seguenti durante la creazione di una macchina virtuale sensibile alla sicurezza:
- Crittografia supportata: ideale per gli scenari di cloud privato aziendale in cui è necessaria la crittografia dei dati inattivi e in anteprima, ma gli amministratori dell'infrastruttura sono ancora attendibili. La console della macchina virtuale e altre comodità di gestione rimangono disponibili per gli amministratori dell'infrastruttura.
- Schermata: l'opzione di distribuzione più sicura, la schermatura impedisce agli amministratori dell'infrastruttura di connettersi alla console della macchina virtuale o di modificare gli aspetti di sicurezza della configurazione della macchina virtuale. I proprietari delle macchine virtuali possono accedere alla macchina virtuale solo tramite strumenti di gestione remota che scelgono di abilitare. Questa opzione è consigliata per i tenant che eseguono carichi di lavoro sensibili nell'infrastruttura pubblica o condivisa.
Gestire un'infrastruttura sorvegliata con VMM
L'infrastruttura di infrastruttura sorvegliata principale (costituita da uno o più host Hyper-V sorvegliati, il servizio Sorveglianza host e gli artefatti necessari per creare macchine virtuali schermate) è inclusa in Windows Server 2016 e versioni successive e deve essere configurata in base alla documentazione dell'infrastruttura sorvegliata. Dopo la configurazione, è possibile usare Facoltativamente System Center Virtual Machine Manager per semplificare la gestione dell'infrastruttura sorvegliata.
L'infrastruttura di infrastruttura sorvegliata principale (costituita da uno o più host Hyper-V sorvegliati, il servizio Sorveglianza host e gli artefatti necessari per creare macchine virtuali schermate) è inclusa nella versione di Windows Server applicabile e deve essere configurata in base alla documentazione dell'infrastruttura sorvegliata. Dopo la configurazione, è possibile usare Facoltativamente System Center Virtual Machine Manager per semplificare la gestione dell'infrastruttura sorvegliata.
VMM può essere usato per:
-
Effettuare il provisioning e gestire gli host sorvegliati nell'infrastruttura VMM: è possibile aggiungere e gestire host sorvegliati all'infrastruttura VMM. Un host sorvegliato è un server Hyper-V che:
- Soddisfa i prerequisiti dell'host protetto.
- È autorizzato dal Servizio Host Guardian affinché l'infrastruttura esegua macchine virtuali schermate. L'amministratore HGS determina i requisiti per gli host affinché attestino correttamente e diventino sorvegliati.
- Viene marcato come sorvegliato in VMM configurandolo per utilizzare gli stessi URL HGS specificati nelle impostazioni globali di VMM.
- Configurare un disco rigido virtuale schermato e, facoltativamente, un modello di macchina virtuale: i dischi modello firmati (VHDX) usati per distribuire nuove macchine virtuali schermate possono essere archiviati nella libreria VMM per semplificare la distribuzione. È quindi possibile usare questo VHDX in un modello di macchina virtuale.
-
Effettuare il provisioning e gestire le macchine virtuali schermate: VMM supporta il ciclo di vita completo delle macchine virtuali schermate. ad esempio:
- Creazione di nuove macchine virtuali schermate da un disco modello firmato (VHDX) e facoltativamente usando un modello di macchina virtuale.
- Conversione delle macchine virtuali esistenti in macchine virtuali schermate.