Delen via

Scenario: beveiligde hosts en afgeschermde virtuele machines implementeren in VMM

  • Artikel

Dit artikel bevat een overzicht van het implementeren van Hyper-V beveiligde hosts en afgeschermde virtuele machines in een System Center Virtual Machine Manager -rekeninfrastructuur (VMM).

Beveiligde fabrics bieden extra beveiliging voor VM's om manipulatie en diefstal door kwaadwillende beheerders en malware te voorkomen. Als cloudserviceprovider of privécloudbeheerder kunt u een beveiligde infrastructuur implementeren die doorgaans bestaat uit een server waarop de Host Guardian-service (HGS) wordt uitgevoerd, een of meer beveiligde Hyper-V hostservers en een of meer afgeschermde VM's die op deze hosts worden uitgevoerd. Meer informatie over beveiligde stoffen.

Waarom moet ik VM's beveiligen?

Virtuele machines bevatten gevoelige gegevens en configuraties die de eigenaar van de virtuele machine niet wil laten zien aan beheerders van de infrastructuur. Omdat alle gegevens voor VM's echter worden opgeslagen in bestanden, kunnen de gegevens eenvoudig worden gekopieerd en gecontroleerd door malware of een kwaadwillende beheerder.

Afgeschermde VM's in Windows Server helpen dergelijke aanvallen te voorkomen door de status van een Hyper-V host strikt te controleren voordat een VIRTUELE machine wordt opgestart, zodat de VM alleen kan worden gestart in datacenters die zijn geautoriseerd door de eigenaar van de VM en het gastbesturingssysteem in staat stellen om zijn eigen gegevens te versleutelen met behulp van een nieuwe virtuele TPM. De eigenaar van de VIRTUELE machine kan kiezen uit de volgende twee typen beveiliging bij het maken van een beveiligingsgevoelige VM:

  • Versleuteling ondersteund: Ideaal voor privĂ©cloudscenario's voor ondernemingen waarbij versleuteling van gegevens in rust en in beweging noodzakelijk is, maar er nog steeds vertrouwen is in de beheerders. De VM-console en andere beheermogelijkheden blijven beschikbaar voor infrastructuurbeheerders.
  • Shielded: De meest veilige inzet optie, shielded voorkomt dat fabric-beheerders verbinding maken met de VM-console of beveiligingsaspecten van de VM-configuratie wijzigen. VM-eigenaren hebben alleen toegang tot de VIRTUELE machine via hulpprogramma's voor extern beheer die ze willen inschakelen. Dit wordt aanbevolen voor tenants die gevoelige workloads uitvoeren op een openbare of gedeelde infrastructuur.

Een beveiligde infrastructuur beheren met VMM

De kerninfrastructuur voor beveiligde infrastructuur (bestaande uit een of meer beveiligde Hyper-V hosts, de Host Guardian-service en de artefacten die nodig zijn om afgeschermde VM's te maken) is opgenomen in Windows Server 2016 en hoger en moet worden geconfigureerd volgens de beveiligde infrastructuurdocumentatie. Zodra het is ingesteld, kunt u eventueel System Center Virtual Machine Manager gebruiken om het beheer van de beveiligde infrastructuur te vereenvoudigen.

De kerninfrastructuur voor gecontroleerde fabric (bestaande uit een of meer beveiligde Hyper-V-hosts, de Host Guardian-service en de artefacten die nodig zijn om afgeschermde VM's te maken) is opgenomen in de toepasselijke Windows Server-versie en moet worden geconfigureerd volgens de documentatie van de gecontroleerde fabric . Zodra het is ingesteld, kunt u eventueel System Center Virtual Machine Manager gebruiken om het beheer van de beveiligde infrastructuur te vereenvoudigen.

VMM kan worden gebruikt voor het volgende:

  • beveiligde hosts inrichten en beheren in de VMM-infrastructuur: u kunt beveiligde hosts toevoegen en beheren aan de VMM-infrastructuur. Een beveiligde host is een Hyper-V-server die:
    • Voldoet aan de beveiligde hostvereisten.
    • Is geautoriseerd door de Host Guardian-service voor de infrastructuur om afgeschermde VM's uit te voeren. De HGS-beheerder bepaalt de vereisten voor hosts om succesvol te attesteren en beveiligdte worden.
    • Is gemarkeerd als beveiligd in VMM door deze zodanig te configureren dat dezelfde HGS-URL's worden gebruikt als de URL's die zijn opgegeven in de algemene VMM-instellingen.
  • Een afgeschermde virtuele harde schijf configureren en eventueel een VM-sjabloon: ondertekende sjabloonschijven (VHDX) die worden gebruikt om nieuwe afgeschermde VM's te implementeren, kunnen worden opgeslagen in de VMM-bibliotheek voor eenvoudige implementatie. U kunt deze VHDX vervolgens gebruiken in een VM-sjabloon.
  • afgeschermde VM's inrichten en beheren: VMM ondersteunt de volledige levenscyclus van afgeschermde VM's. Dit omvat:
    • Nieuwe afgeschermde VM's maken vanaf een ondertekende sjabloonschijf (VHDX) en eventueel met behulp van een VM-sjabloon.
    • De bestaande VM's converteren naar afgeschermde VM's.

Volgende stappen

beveiligde hosts inrichten in de VMM-infrastructuur