Udostępnij za pośrednictwem

Scenariusz — wdrażanie chronionych hostów i chronionych maszyn wirtualnych w programie VMM

  • Artykuł

Ten artykuł zawiera omówienie wdrażania hostów chronionych funkcji Hyper-V i chronionych maszyn wirtualnych w sieci szkieletowej obliczeniowej programu System Center Virtual Machine Manager (VMM).

Chronione sieci szkieletowe zapewniają dodatkową ochronę maszyn wirtualnych, aby zapobiec naruszeniu i kradzieży przez złośliwych administratorów i złośliwe oprogramowanie. Jako dostawca usług w chmurze lub administrator chmury prywatnej można wdrożyć chronioną sieć szkieletową, która zazwyczaj składa się z serwera z uruchomioną usługą Ochrona hosta (HGS), co najmniej jednym chronionym serwerem hosta funkcji Hyper-V i co najmniej jedną chronioną maszyną wirtualną działającą na tych hostach. Dowiedz się więcej o chronionych sieciach szkieletowych.

Dlaczego muszę chronić maszyny wirtualne?

Maszyny wirtualne zawierają poufne dane i konfigurację, które właściciel maszyny wirtualnej nie chce, aby administrator sieci szkieletowej był widoczny. Ponieważ jednak wszystkie dane maszyn wirtualnych są przechowywane w plikach, dane można łatwo skopiować i sprawdzić przez złośliwe oprogramowanie lub złośliwego administratora.

Chronione maszyny wirtualne w systemie Windows Server pomagają zapobiegać takim atakom, rygorystycznie zaświadczając o kondycji hosta funkcji Hyper-V przed uruchomieniem maszyny wirtualnej, zapewniając, że maszyna wirtualna może być uruchamiana tylko w centrach danych autoryzowanych przez właściciela maszyny wirtualnej i umożliwiając systemowi operacyjnemu gościa szyfrowanie własnych danych przy użyciu nowego wirtualnego modułu TPM. Właściciel maszyny wirtualnej może wybrać spośród następujących dwóch typów ochrony podczas tworzenia maszyny wirtualnej z uwzględnieniem zabezpieczeń:

  • Obsługiwane szyfrowanie: idealne rozwiązanie w przypadku scenariuszy chmury prywatnej przedsiębiorstwa, w których konieczne jest szyfrowanie danych magazynowanych i lotów, ale administratorzy sieci szkieletowej są nadal zaufani. Konsola maszyny wirtualnej i inne ułatwienia zarządzania pozostają dostępne dla administratorów sieci szkieletowej.
  • Osłona: najbezpieczniejsza opcja wdrażania, osłona uniemożliwia administratorom sieci szkieletowej łączenie się z konsolą maszyny wirtualnej lub modyfikowanie aspektów zabezpieczeń konfiguracji maszyny wirtualnej. Właściciele maszyn wirtualnych mogą uzyskiwać dostęp tylko do maszyny wirtualnej za pomocą narzędzi do zdalnego zarządzania, które wybierają do włączenia. Jest to zalecane w przypadku dzierżawców z obciążeniami poufnymi w infrastrukturze publicznej lub udostępnionej.

Zarządzanie chronioną siecią szkieletową za pomocą programu VMM

Podstawowa chroniona infrastruktura sieci szkieletowej (składająca się z co najmniej jednego chronionego hosta funkcji Hyper-V, usługi Ochrona hosta i artefaktów potrzebnych do tworzenia chronionych maszyn wirtualnych) jest dołączona do systemu Windows Server 2016 lub nowszego i musi być skonfigurowana zgodnie z dokumentacją chronionej sieci szkieletowej. Po skonfigurowaniu możesz opcjonalnie użyć programu System Center Virtual Machine Manager, aby uprościć zarządzanie chronioną siecią szkieletową.

Podstawowa chroniona infrastruktura sieci szkieletowej (składająca się z co najmniej jednego chronionego hosta funkcji Hyper-V, usługi Ochrona hosta i artefaktów potrzebnych do tworzenia chronionych maszyn wirtualnych) jest dołączona do odpowiedniej wersji systemu Windows Server i musi być skonfigurowana zgodnie z dokumentacją chronionej sieci szkieletowej. Po skonfigurowaniu możesz opcjonalnie użyć programu System Center Virtual Machine Manager, aby uprościć zarządzanie chronioną siecią szkieletową.

Program VMM może służyć do:

  • Aprowizowanie hostów chronionych i zarządzanie nimi w sieci szkieletowej programu VMM: możesz dodawać hosty chronione i zarządzać nimi w sieci szkieletowej programu VMM. Host chroniony to serwer funkcji Hyper-V, który:
    • Spełnia wymagania wstępne chronionego hosta.
    • Jest autoryzowany przez usługę Ochrona hosta dla sieci szkieletowej do uruchamiania chronionych maszyn wirtualnych. Administrator usługi HGS określa wymagania dotyczące hostów, które mają pomyślnie potwierdzić i stać się chronione.
    • Jest oznaczony jako chroniony w programie VMM, konfigurując go tak, aby używał tych samych adresów URL usługi HGS, co te określone w globalnych ustawieniach programu VMM.
  • Skonfiguruj chroniony wirtualny dysk twardy i opcjonalnie szablon maszyny wirtualnej: podpisane dyski szablonu (VHDX) używane do wdrażania nowych maszyn wirtualnych z osłoną można przechowywać w bibliotece programu VMM w celu łatwego wdrożenia. Następnie możesz użyć tego dysku VHDX w szablonie maszyny wirtualnej.
  • Aprowizuj maszyny wirtualne z osłoną i zarządzaj nimi: program VMM obsługuje pełny cykl życia chronionych maszyn wirtualnych. Obejmuje to:
    • Tworzenie nowych maszyn wirtualnych z osłoną na podstawie podpisanego dysku szablonu (VHDX) i opcjonalnie przy użyciu szablonu maszyny wirtualnej.
    • Konwertowanie istniejących maszyn wirtualnych na maszyny wirtualne z osłoną.

Następne kroki

Aprowizowanie hostów chronionych w sieci szkieletowej programu VMM