案例 - 在 VMM 中部署受防護主機和受防護虛擬機器
本文提供在 System Center Virtual Machine Manager (VMM) 計算網狀架構中部署 Hyper-V 受防護主機和受防護虛擬機的概觀。
受防護網狀架構為 VM 提供額外的保護,以防止惡意系統管理員和惡意代碼遭到竄改和竊取。 身為雲端服務提供者或私人雲端系統管理員,您可以部署一個受防護網狀架構,該網狀架構通常由執行主機守護者服務(HGS)的伺服器、一或多個受防護的 Hyper-V 主機伺服器,以及一或多個在這些主機上執行的受防護 VM 所組成。 深入瞭解受防護網狀架構。
為什麼我需要保護 VM?
虛擬機包含 VM 擁有者不希望網狀架構系統管理員查看的敏感數據和設定。 不過,由於 VM 的所有數據都儲存在檔案中,因此惡意代碼或惡意系統管理員可以輕鬆地複製和檢查數據。
Windows Server 中受防護的 VM 有助於防止這類攻擊,方法是在啟動 VM 之前嚴格證明 Hyper-V 主機的健康情況,確保 VM 只能在 VM 擁有者授權的數據中心啟動,以及讓客體 OS 使用新的虛擬 TPM 來加密自己的數據。 建立安全性敏感性 VM 時,VM 擁有者可以從下列兩種類型的保護中選取:
- 支援加密:適用於企業私人雲端案例,其中需要加密待用和進行中的數據,但網狀架構系統管理員仍受信任。 VM 控制台和其他管理便利性仍可供網狀架構系統管理員使用。
- 受防護:最安全的部署選項,防護可防止網狀架構系統管理員聯機到 VM 控制台或修改 VM 設定的安全性層面。 VM 擁有者只能透過他們選擇啟用的遠端管理工具來存取 VM。 對於在公用或共用基礎結構上執行敏感性工作負載的租用戶,建議使用此選項。
使用 VMM 管理受防護網狀架構
核心受防護網狀架構基礎結構(由一或多部受防護的 Hyper-V 主機、主機守護者服務及建立受防護 VM 所需的成品所組成)隨附於 Windows Server 2016 和更新版本,且必須根據 受防護網狀架構文件進行設定。 設定之後,您可以選擇性地使用 System Center Virtual Machine Manager 來簡化受防護網狀架構的管理。
核心受防護網狀架構基礎結構(由一或多部受防護的 Hyper-V 主機、主機守護者服務及建立受防護 VM 所需的成品所組成)隨附於適用的 Windows Server 版本,且必須根據 受防護網狀架構檔進行設定。 設定之後,您可以選擇性地使用 System Center Virtual Machine Manager 來簡化受防護網狀架構的管理。
VMM 可用來:
- 在 VMM 網狀架構中佈建和管理受防護主機:您可以將受防護主機新增和管理至 VMM 網狀架構。 受防護主機是 Hyper-V 伺服器,可:
- 符合受防護主機的必要條件。
- 由主機守護者服務授權,讓網狀架構執行受防護的 VM。 HGS 系統管理員會決定主機成功證明並受到防護的需求。
- 在 VMM 中標示為受防護,方法是將它設定為使用與全域 VMM 設定中指定的 URL 相同的 HGS URL。
- 設定受防護的虛擬硬碟和選擇性的 VM 範本:用來部署新受防護 VM 的已簽署範本磁碟 (VHDX)可以儲存在 VMM 連結庫中,以方便部署。 然後,您可以在 VM 範本中使用此 VHDX。
- 布建和管理受防護的 VM:VMM 支援受防護 VM 的完整生命週期。 這包括:
- 從已簽署的範本磁碟建立新的受防護 VM(VHDX),以及選擇性地使用 VM 範本。
- 將現有的 VM 轉換為受防護的 VM。