Scenario – Distribuera skyddade värdar och avskärmade virtuella datorer i VMM
Den här artikeln innehåller en översikt över hur du distribuerar Hyper-V skyddade värdar och avskärmade virtuella datorer i en Beräkningsinfrastruktur för System Center Virtual Machine Manager (VMM).
Skyddade textilier ger ytterligare skydd för virtuella datorer så att de kan förhindra manipulering och stöld genom illvilliga administratörer och skadlig kod. Som molntjänstleverantör eller privat molnadministratör kan du distribuera en skyddad infrastrukturresurs som vanligtvis består av en server som kör Värdskyddstjänsten (HGS), en eller flera skyddade Hyper-V värdservrar och en eller flera avskärmade virtuella datorer som körs på dessa värdar. Läs mer om skyddade textilier.
Varför behöver jag skydda virtuella datorer?
Virtuella datorer innehåller känsliga data och konfigurationer som den virtuella datorns ägare inte vill att en infrastrukturadministratör ska se. Men eftersom alla data för virtuella datorer lagras i filer kan data enkelt kopieras av och inspekteras av skadlig kod eller en skadlig administratör.
Avskärmade virtuella datorer i Windows Server hjälper till att förhindra sådana attacker genom att noggrant intyga hälsotillståndet för en Hyper-V värd innan du startar en virtuell dator, vilket säkerställer att den virtuella datorn endast kan startas i datacenter som är auktoriserade av den virtuella datorns ägare och gör det möjligt för gästoperativsystemet att kryptera sina egna data med hjälp av en ny virtuell TPM. Den virtuella datorns ägare kan välja mellan följande två typer av skydd när du skapar en säkerhetskänslig virtuell dator:
- Kryptering som stöds: Perfekt för privata molnscenarier för företag där kryptering av vilande data och under flygning är nödvändig, men infrastrukturadministratörerna fortfarande är betrodda. VM-konsolen och andra hanteringsfunktioner är fortfarande tillgängliga för infrastrukturadministratörer.
- Avskärmad: Det säkraste distributionsalternativet, avskärmning hindrar infrastrukturadministratörer från att ansluta till VM-konsolen eller ändra säkerhetsaspekter i VM-konfigurationen. Vm-ägare kan bara komma åt den virtuella datorn via fjärrhanteringsverktyg som de väljer att aktivera. Detta rekommenderas för klienter som kör känsliga arbetsbelastningar i offentlig eller delad infrastruktur.
Hantera en skyddad struktur med VMM
Den kärnskyddade infrastrukturresurserna (som består av en eller flera skyddade Hyper-V värdar, tjänsten Värdskydd och artefakterna som behövs för att skapa avskärmade virtuella datorer) ingår i Windows Server 2016 och senare och måste konfigureras enligt dokumentationen om skyddade infrastrukturresurser. När du har konfigurerat kan du använda System Center Virtual Machine Manager för att förenkla hanteringen av den skyddade infrastrukturen.
Den grundläggande skyddade infrastrukturen (som består av en eller flera skyddade Hyper-V värdar, Värdskyddstjänsten och de artefakter som behövs för att skapa skyddade virtuella maskiner) ingår i tillämplig Windows Server-version och måste konfigureras enligt dokumentationen för skyddad infrastruktur . När du har konfigurerat kan du använda System Center Virtual Machine Manager för att förenkla hanteringen av den skyddade infrastrukturen.
VMM kan användas för att:
-
Etablera och hantera skyddade värdar i VMM-infrastrukturresurserna: Du kan lägga till och hantera skyddade värdar i VMM-infrastrukturresurserna. En skyddad värd är en Hyper-V server som:
- Uppfyller kraven för den skyddade -värden.
- Godkänd av Host Guardian Service för att köra avskärmade virtuella datorer i infrastrukturen. HGS-administratören fastställer kraven för värdar att kunna intyga och bli skyddade.
- Markeras som skyddad i VMM genom att konfigurera den så att den använder samma HGS-URL:er som de som anges i de globala VMM-inställningarna.
- Konfigurera en avskärmad virtuell hårddisk och eventuellt en mall för virtuella datorer: Signerade malldiskar (VHDX) som används för att distribuera nya skärmade virtuella datorer kan lagras i VMM-biblioteket för enkel distribution. Du kan sedan använda den här VHDX-filen i en mall för virtuella datorer.
-
Etablera och hantera skärmade virtuella datorer: VMM stöder hela livscykeln för avskärmade virtuella datorer. Detta inkluderar:
- Skapa nya avskärmade virtuella datorer från en signerad malldisk (VHDX) och eventuellt använda en mall för virtuella datorer.
- Konvertera befintliga virtuella datorer till avskärmade virtuella datorer.