Megbízható vállalati virtualizálás üzembe helyezése az Azure Stack HCI-ben
A következőkre vonatkozik: Azure Stack HCI, 22H2 és 21H2 verzió
Ez a témakör útmutatást nyújt egy megbízható vállalati virtualizálást használó, az Azure Stack HCI operációs rendszeren működő, rendkívül biztonságos infrastruktúra megtervezéséhez, konfigurálásához és üzembe helyezéséhez. Az Azure Stack HCI-befektetéssel biztonságos számítási feladatokat futtathat virtualizációalapú biztonsági (VBS) és hibrid felhőszolgáltatásokat használó hardvereken a Windows Admin Center és a Azure Portal keresztül.
Áttekintés
A VBS az Azure Stack HCI biztonsági befektetéseinek kulcsfontosságú összetevője, amely megvédi a gazdagépeket és a virtuális gépeket a biztonsági fenyegetésektől. A Védelmi Minisztérium (DoD) információs rendszereinek biztonságát javító eszközként közzétett Biztonsági technikai megvalósítási útmutató (STIG) például általános biztonsági követelményként sorolja fel a VBS-t és a hipervizor által védett kódintegritást (HVCI). A virtuális gépek számítási feladatainak védelméhez elengedhetetlen a VBS-hez és a HVCI-hez engedélyezett gazdagéphardver használata, mivel a feltört gazdagépek nem garantálják a virtuális gépek védelmét.
A VBS hardvervirtualizálási funkciókkal hoz létre és különít el egy biztonságos memóriaterületet az operációs rendszertől. A Windowsban a Virtuális biztonsági mód (VSM) használatával számos biztonsági megoldást üzemeltethet, amelyek jelentősen növelik az operációs rendszer biztonsági réseivel és a rosszindulatú biztonsági résekkel szembeni védelmet.
A VBS a Windows hipervizor használatával biztonsági határokat hoz létre és kezel az operációsrendszer-szoftverekben, korlátozásokat kényszerít ki a létfontosságú rendszererőforrások védelmére, valamint a biztonsági eszközök, például a hitelesített felhasználói hitelesítő adatok védelmére. A VBS-ben még akkor is, ha a kártevők hozzáférnek az operációs rendszer kerneléhez, nagy mértékben korlátozhatja és tartalmazhatja a lehetséges biztonsági réseket, mivel a hipervizor megakadályozza, hogy a kártevők kódokat hajtsanak végre, vagy hozzáférjenek a platform titkos kódjaihoz.
A hipervizor, a rendszerszoftver legjogasabb szintje beállítja és kikényszeríti a lapengedélyeket az összes rendszermemória számára. A VSM-ben a lapok csak a kódintegritási ellenőrzések átadása után hajthatók végre. Még akkor sem módosíthatók a kódlapok, és nem hajtható végre a módosított memória, ha biztonsági rés, például egy puffertúlcsordulás, amely lehetővé tenné a kártevők számára a memória módosítását. A VBS és a HVCI jelentősen erősíti a kódintegritási szabályzatok kényszerítését. A rendszer minden kernelmódú illesztőprogramot és bináris fájlt ellenőriz, mielőtt elindulnának, és az aláíratlan illesztőprogramok vagy rendszerfájlok nem töltődhetnek be a rendszermemóriába.
Megbízható vállalati virtualizálás üzembe helyezése
Ez a szakasz magas szinten ismerteti, hogyan szerezhető be hardver egy megbízható vállalati virtualizálást használó, azure Stack HCI-n és felügyelethez Windows Admin Center használó, magas szintű biztonságos infrastruktúra üzembe helyezéséhez.
1. lépés: Hardver beszerzése megbízható vállalati virtualizáláshoz az Azure Stack HCI-n
Először hardvert kell beszereznie. Ennek legegyszerűbb módja, ha megkeresi az előnyben részesített Microsoft-hardverpartnert az Azure Stack HCI-katalógusban , és megvásárol egy integrált rendszert az előre telepített Azure Stack HCI operációs rendszerrel. A katalógusban szűrhet az ilyen típusú számítási feladatokhoz optimalizált szállítói hardverek megtekintéséhez.
Ellenkező esetben az Azure Stack HCI operációs rendszert a saját hardverén kell üzembe helyeznie. Az Azure Stack HCI üzembehelyezési lehetőségeiről és a Windows Admin Center telepítéséről az Azure Stack HCI operációs rendszer üzembe helyezését ismertető cikkben olvashat.
Ezután az Windows Admin Center használatával hozzon létre egy Azure Stack HCI-fürtöt.
Az Azure Stack HCI összes partnerhardvere hardvergarancia kiegészítő minősítéssel rendelkezik. A minősítési folyamat tesztjei az összes szükséges VBS-funkcióhoz . A VBS és a HVCI azonban nincs automatikusan engedélyezve az Azure Stack HCI-ben. A Hardvergarancia kiegészítő minősítéssel kapcsolatos további információkért tekintse meg a Windows Server-katalógusRendszerek területén található "Hardvergarancia" című szakaszt.
Figyelmeztetés
Előfordulhat, hogy a HVCI nem kompatibilis az Azure Stack HCI-katalógusban nem szereplő hardvereszközökkel. Határozottan javasoljuk az Azure Stack HCI által ellenőrzött hardverek használatát partnereinktől a megbízható vállalati virtualizálási infrastruktúrához.
2. lépés: A HVCI engedélyezése
Engedélyezze a HVCI-t a kiszolgáló hardverén és virtuális gépén. Részletekért lásd: A kódintegritás virtualizáláson alapuló védelmének engedélyezése.
3. lépés: A Azure Security Center beállítása Windows Admin Center
A Windows Admin Center állítsa be a Azure Security Center a fenyegetések elleni védelem hozzáadásához és a számítási feladatok biztonsági helyzetének gyors felméréséhez.
További információ: Windows Admin Center erőforrások védelme a Security Centerrel.
A Security Center használatának első lépései:
- Ehhez egy Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- A Security Center ingyenes tarifacsomagja az összes jelenlegi Azure-előfizetésén engedélyezve van, ha felkeresi a Azure Portal Azure Security Center irányítópultját, vagy programozott módon engedélyezi azt API-n keresztül. A fejlett biztonságkezelési és fenyegetésészlelési képességek kihasználásához engedélyeznie kell az Azure Defendert. Az Azure Defender 30 napig ingyenesen használható. További információ: A Security Center díjszabása.
- Ha készen áll az Azure Defender engedélyezésére, tekintse meg a következő rövid útmutatót: A Azure Security Center beállítása a lépések elvégzéséhez.
A Windows Admin Center további hibrid Azure-szolgáltatások, például a Backup, a File Sync, a Site Recovery, a pont–hely VPN és az Update Management beállítására is használható.
Következő lépések
A megbízható vállalati virtualizálással kapcsolatos további információkért lásd:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: