Escenario: Implementación de hosts protegidos y máquinas virtuales blindadas en VMMScenario - Deploy guarded hosts and shielded virtual machines in VMM

Se aplica a: System Center 2016 - Virtual Machine ManagerApplies To: System Center 2016 - Virtual Machine Manager

En este artículo se proporciona información general sobre cómo implementar hosts protegidos y máquinas virtuales blindadas de Hyper-V en el tejido de proceso de Virtual Machine Manager (VMM) de System Center 2016.This article provides an overview of deploying Hyper-V guarded hosts and shielded virtual machines in a System Center 2016 - Virtual Machine Manager (VMM) compute fabric.

Los tejidos protegidos proporcionan protecciones adicionales para máquinas virtuales que evitan la alteración y el robo por parte de administradores malintencionados y malware.Guarded fabrics provide additional protections for VMs to prevent tampering and theft by malicious administrators and malware. Como proveedor de servicios en la nube o administrador de la nube privada, puede implementar un tejido protegido que normalmente consta de un servidor que ejecuta el Servicio de protección de host (HGS), uno o más servidores host de Hyper-V protegidos y una o varias máquinas virtuales blindadas que se ejecutan en esos hosts.As a cloud service provider or private cloud administrator, you can deploy a guarded fabric that typically consists of a server running the host guardian service (HGS), one or more guarded Hyper-V host servers, and one or more shielded VMs running on those hosts. Más información sobre los tejidos protegidos en Windows Server 2016.Learn more about guarded fabrics in Windows Server 2016.

¿Por qué es necesario proteger las máquinas virtuales?Why do I need to protect VMs?

Es posible que el propietario de la máquina virtual no quiera que un administrador de tejido vea los datos y las configuraciones confidenciales que contiene.Virtual machines contain sensitive data and configuration that the VM owner may not want a fabric administrator to see. Sin embargo, como todos los datos de las máquinas virtuales se almacenan en archivos, un administrador malintencionado o un programa de malware podrían copiar e inspeccionar los datos fácilmente.However, since all the data for VMs are stored in files, the data can easily be copied off and inspected by malware or a malicious administrator. Las máquinas virtuales protegidas de Windows Server 2016 ayudan a evitar tales ataques al atestiguar rigurosamente el estado de un host de Hyper-V antes de arrancar una máquina virtual. Esto garantiza que la máquina virtual solo se pueda iniciar en centros de datos autorizados por su propietario y permite que el SO invitado cifre sus propios datos mediante el uso de un nuevo TPM virtual.Shielded VMs in Windows Server 2016 help prevent such attacks by rigorously attesting to the health of a Hyper-V host before booting up a VM, ensuring the VM can only be started in datacenters authorized by the VM owner, and enabling the guest OS to encrypt its own data through the use of a new, virtual TPM. Al crear una máquina virtual de seguridad, el propietario de la máquina puede seleccionar dos tipos de protección:The VM owner can select from the following two types of protection when creating a security-sensitive VM:

  • Compatible con cifrado: muy conveniente para escenarios de nube privada de empresa donde es necesario el cifrado de datos en reposo y en ejecución, pero los administradores del tejido aún son de confianza.Encryption Supported: Ideal for enterprise private cloud scenarios where encryption of data at rest and in-flight is necessary, but the fabric administrators are still trusted. La consola de VM y otras ventajas de administración permanecen disponibles para los administradores de tejido.The VM console and other management conveniences remain available to fabric administrators.
  • Blindado: el blindaje, la opción de implementación más segura, impide que los administradores de tejido se conecten a la consola de VM o que modifiquen los aspectos de seguridad de la configuración de VM.Shielded: The most secure deployment option, shielding prevents fabric administrators from connecting to the VM console or modifying security aspects of the VM configuration. Los propietarios de la máquina virtual solo pueden acceder a ella mediante herramientas de administración remota que deciden habilitar.VM owners can only access the VM through remote management tools they choose to enable. Es la opción recomendada para los inquilinos que ejecutan cargas de trabajo confidenciales en una infraestructura pública o compartida.This is recommended for tenants running sensitive workloads on public or shared infrastructure.

Más información sobre las diferencias entre máquinas virtuales compatibles con cifrado y protegidas.Learn more about the differences between encryption supported and shielded VMs.

Administración de un tejido protegido con VMMManaging a guarded fabric with VMM

La infraestructura principal de tejido protegido (que consta de uno o varios hosts de Hyper-V protegidos, el Servicio de protección de host y los artefactos necesitan crear máquinas virtuales protegidas) se incluye con Windows Server 2016 y se debe configurar de acuerdo con la documentación de tejido protegido.The core guarded fabric infrastructure (consisting of one or more guarded Hyper-V hosts, the Host Guardian Service, and the artifacts needed to create shielded VMs) is included with Windows Server 2016 and must be configured according to the guarded fabric documentation. Una vez configurada, puede usar opcionalmente System Center 2016 Virtual Machine Manager para simplificar la administración de tejido protegido.Once set up, you can optionally use System Center 2016 - Virtual Machine Manager to simplify management of the guarded fabric.

VMM se puede usar para:VMM can be used to:

  • Aprovisionar y administrar hosts protegidos en el tejido de VMM: puede agregar y administrar hosts protegidos en el tejido de VMM.Provision and manage guarded hosts in the VMM fabric: You can add and manage guarded hosts to the VMM fabric. Un host protegido es un servidor de Hyper-V que:A guarded host is a Hyper-V server that:
    • Cumple los requisitos previos de host protegido.Meets the guarded host prerequisites.
    • Está autorizado por el Servicio de protección de host del tejido para ejecutar máquinas virtuales protegidas.Is authorized by the Host Guardian Service for the fabric to run shielded VMs. El administrador de HGS determina los requisitos de los hosts para atestiguarlos correctamente y convertirlos en "protegidos".The HGS admin determines the requirements for hosts to successfully attest and become "guarded".
    • Está marcado como protegido en VMM, al estar configurado para usar las mismas direcciones URL de HGS que las especificadas en la configuración global de VMM.Is marked as guarded in VMM by configuring it to use the same HGS URLs as those specified in the global VMM settings.
  • Configure un disco duro virtual blindado y, opcionalmente, una plantilla de máquina Virtual: los discos de plantilla firmada (VHDX) que se usan para implementar nuevas máquinas virtuales blindadas pueden almacenarse en la biblioteca VMM para facilitar la implementación.Configure a shielded virtual hard disk and optionally a VM template: Signed template disks (VHDX) used to deploy new shielded VMs can be stored in the VMM library for easy deployment. A continuación, use este VHDX en una plantilla de máquina virtual.You can then use this VHDX in a VM template.
  • Aprovisione y administre máquinas virtuales blindadas: VMM admite el ciclo de vida completo de máquinas virtuales blindadas.Provision and manage shielded VMs: VMM supports the full lifecycle of shielded VMs. Esto incluye:This includes:
    • Creación de nuevas máquinas virtuales blindadas desde un disco de plantilla firmada (VHDX) y, opcionalmente, con una plantilla de máquina Virtual.Creating new shielded VMs from a signed template disk (VHDX), and optionally using a VM template.
    • Conversión de máquinas virtuales existentes a blindadas.Converting existing VMs to shielded VMs.

Pasos siguientesNext steps