Distribuire la virtualizzazione aziendale affidabile su Azure Stack HCI

Si applica a: Azure Stack HCI, versioni 21H2 e 20H2

Questo argomento fornisce indicazioni su come pianificare, configurare e distribuire un'infrastruttura altamente sicura che usa la virtualizzazione aziendale attendibile nel Azure Stack HCI operativo. Sfruttare Azure Stack HCI investimento per eseguire carichi di lavoro sicuri su hardware che usa la sicurezza basata sulla virtualizzazione e i servizi cloud ibridi tramite Windows Admin Center e portale di Azure.

Panoramica

VBS è un componente chiave degli investimenti per la sicurezza in Azure Stack HCI per proteggere host e macchine virtuali (VM) dalle minacce alla sicurezza. Ad esempio, la Guida all'implementazione tecnica della sicurezza (STIG), pubblicata come strumento per migliorare la sicurezza dei sistemi informatici DoD (Department of Defense), elenca VBS e HVCI (Hypervisor-Protected Code Integrity) come requisiti di sicurezza generali. È fondamentale usare l'hardware host abilitato per VBS e HVCI per proteggere i carichi di lavoro nelle macchine virtuali, perché un host compromesso non può garantire la protezione delle macchine virtuali.

VBS usa le funzionalità di virtualizzazione hardware per creare e isolare un'area di memoria sicura dal sistema operativo. È possibile usare la modalità protetta virtuale (VSM) in Windows per ospitare una serie di soluzioni di sicurezza per aumentare notevolmente la protezione dalle vulnerabilità del sistema operativo e dagli exploit dannosi.

VBS usa l'hypervisor Windows per creare e gestire i limiti di sicurezza nel software del sistema operativo, applicare restrizioni per proteggere le risorse di sistema essenziali e proteggere gli asset di sicurezza, ad esempio le credenziali utente autenticate. Con VBS, anche se il malware ottiene l'accesso al kernel del sistema operativo, è possibile limitare notevolmente e contenere possibili exploit, perché l'hypervisor impedisce al malware di eseguire codice o accedere ai segreti della piattaforma.

L'hypervisor, il livello più privilegiato di software di sistema, imposta e applica le autorizzazioni di pagina in tutta la memoria di sistema. In VSM, le pagine possono essere eseguite solo dopo il passaggio dei controlli di integrità del codice. Anche se si verifica una vulnerabilità, ad esempio un overflow del buffer che potrebbe consentire al malware di tentare di modificare la memoria, le code pages non possono essere modificate e la memoria modificata non può essere eseguita. VBS e HVCI rafforzano significativamente l'applicazione dei criteri di integrità del codice. Tutti i driver e i file binari in modalità kernel vengono controllati prima dell'avvio e non è possibile caricare nella memoria di sistema i driver o i file di sistema non firmati.

Distribuire la virtualizzazione aziendale attendibile

Questa sezione descrive a livello di alto livello come acquisire hardware per distribuire un'infrastruttura altamente sicura che usa la virtualizzazione aziendale attendibile in Azure Stack HCI e Windows Admin Center per la gestione.

Passaggio 1: Acquisire l'hardware per la virtualizzazione aziendale attendibile Azure Stack HCI

In primo luogo, è necessario acquistare l'hardware. Il modo più semplice per farlo è individuare il partner hardware Microsoft preferito nel catalogo di Azure Stack HCI e acquistare un sistema integrato con il sistema operativo Azure Stack HCI preinstallato. Nel catalogo è possibile filtrare per visualizzare l'hardware del fornitore ottimizzato per questo tipo di carico di lavoro.

In caso contrario, sarà necessario distribuire il Azure Stack HCI sistema operativo nel proprio hardware. Per informazioni dettagliate sulle Azure Stack HCI di distribuzione e sull'installazione Windows Admin Center, vedere Distribuire il Azure Stack HCI sistema operativo.

Usare quindi Windows Admin Center per creare un cluster Azure Stack HCI cluster.

Tutto l'hardware partner Azure Stack HCI certificato con la qualifica aggiuntiva di Hardware Assurance. Il processo di qualifica esegue i test per tutte le funzionalità VBS necessarie. Tuttavia, VBS e HVCI non vengono abilitati automaticamente in Azure Stack HCI. Per altre informazioni sulla qualifica aggiuntiva di Hardware Assurance, vedere "Hardware Assurance" in Sistemi nel catalogo Windows Server.

Avviso

L'HVCI potrebbe non essere compatibile con i dispositivi hardware non elencati nella catalogo di Azure Stack HCI. È consigliabile usare Azure Stack HCI hardware convalidato dai partner per un'infrastruttura di virtualizzazione aziendale attendibile.

Passaggio 2: Abilitare HVCI

Abilitare HVCI nell'hardware del server e nelle macchine virtuali. Per informazioni dettagliate, vedere Abilitare la protezione basata sulla virtualizzazione dell'integrità del codice.

Passaggio 3: Configurare Centro sicurezza di Azure nell'interfaccia Windows admin center

In Windows Admin Center configurare Centro sicurezza di Azure per aggiungere la protezione dalle minacce e valutare rapidamente il problema di sicurezza dei carichi di lavoro.

Per altre informazioni, vedere Proteggere le Windows dell'interfaccia di amministrazione con il Centro sicurezza.

Per iniziare a usare il Centro sicurezza:

  • È necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere una versione di valutazione gratuita.
  • Il piano tariffario gratuito del Centro sicurezza è abilitato per tutte le sottoscrizioni di Azure correnti quando si visita il dashboard di Centro sicurezza di Azure nel portale di Azure o lo si abilita a livello di codice tramite API. Per sfruttare i vantaggi delle funzionalità avanzate di gestione della sicurezza e rilevamento delle minacce, è necessario abilitare Azure Defender. È possibile usare Azure Defender gratuito per 30 giorni. Per altre informazioni, vedere Prezzi del Centro sicurezza.
  • Se si è pronti per abilitare Azure Defender, vedere Guida introduttiva: Configurazione di Centro sicurezza di Azure per eseguire i passaggi.

È anche possibile usare Windows Admin Center per configurare servizi ibridi di Azure aggiuntivi, ad esempio Backup, Sincronizzazione file, Site Recovery, VPN da punto a sito e Gestione aggiornamenti.

Passaggi successivi

Per altre informazioni relative alla virtualizzazione aziendale attendibile, vedere: