シナリオ - VMM で保護されたホストとシールドされた仮想マシンを展開する
重要
このバージョンの Virtual Machine Manager (VMM) はサポート終了に達しました。 VMM 2022 にアップグレードすることをお勧めします。
この記事では、System Center - Virtual Machine Manager (VMM) コンピューティング ファブリックでの保護された Hyper-V ホストとシールドされた仮想マシンのデプロイに関する概要を示します。
保護されたファブリックでは、悪意のある管理者やマルウェアによる情報の改ざんや盗難を防ぐために VM の保護を強化することができます。 クラウド サービス プロバイダー、またはプライベート クラウドの管理者の場合、通常は、ホスト ガーディアン サービス (HGS) を実行しているサーバー、1 つ以上の保護された Hyper-V ホスト サーバー、およびこれらのホストで実行されるシールドされた 1 つまたは複数の VM で構成される保護されたファブリックを展開できます。 保護されたファブリックについては、こちらを参照してください。
VM を保護する理由
仮想マシンには、VM の所有者がファブリック管理者に見られたくない機密データや構成情報が含まれています。 しかし、VM のデータはすべてファイルに保存されるため、マルウェアや悪意のある管理者はそのデータを容易にコピーし調べることができます。
Windows Server のシールドされた VM は、VM を起動する前に Hyper-V ホストの正常性を厳密に証明し、VM 所有者によって承認されたデータセンターでのみ VM を起動できるようにし、ゲスト OS が新しい仮想 TPM を使用して独自のデータを暗号化できるようにすることで、このような攻撃を防ぐのに役立ちます。 VM の所有者は、セキュリティに注意が必要な VM を作成するときに、次の 2 種類の保護のいずれかを選択できます。
- 暗号化をサポート: 企業のプライベート クラウド シナリオに最適です。保存時および送信中のデータの暗号化は必要ですが、ファブリック管理者は引き続き信頼されます。 ファブリック管理者は、VM コンソールおよびその他の便利な管理機能を引き続き使用できます。
- シールド化: 最も安全の高い展開オプションです。シールド化は、ファブリック管理者が VM コンソールに接続したり VM 構成のセキュリティ関連の設定を変更したりするのを防止します。 VM 所有者は、自分で有効にしたリモート管理ツールを介してのみ VM にアクセスできます。 公開または共有インフラストラクチャ上で機密性の高いワークロードを実行しているテナントには、このオプションがお勧めします。
VMM で保護されたファブリックを管理する
コア保護されたファブリック インフラストラクチャ (1 つ以上の保護された Hyper-V ホスト、ホスト ガーディアン サービス、シールドされた VM の作成に必要な成果物) は、Windows Server 2016以降に含まれており、保護されたファブリックのドキュメントに従って構成する必要があります。 セットアップが完了したら、必要に応じて、System Center - Virtual Machine Manager を使用し、保護されたファブリックの管理を簡略化できます。
コア保護されたファブリック インフラストラクチャ (1 つ以上の保護された Hyper-V ホスト、ホスト ガーディアン サービス、シールドされた VM の作成に必要な成果物で構成) は、該当する Windows Server バージョンに含まれており、 保護されたファブリックのドキュメントに従って構成する必要があります。 セットアップが完了したら、必要に応じて、System Center - Virtual Machine Manager を使用し、保護されたファブリックの管理を簡略化できます。
VMM を使用して、次のことを行えます。
- VMM ファブリックでの保護されたホストのプロビジョニングと管理: VMM ファブリックに保護されたホストを追加して、管理することができます。 保護されたホストとは、次のような Hyper-V サーバーです。
- 保護されたホストの前提条件を満たしている。
- シールドされた VM を実行するファブリックのホスト ガーディアン サービスによって承認されている。 HGS 管理者は、ホストが正常に証明され、"保護された状態" になるための要件を決定します。
- グローバル VMM 設定で指定されているのと同じ HGS URL を使用するように構成することで、VMM で保護済みとしてマークされている。
- シールドされたバーチャル ハード ディスクと必要に応じて VM テンプレートを構成する:新しいシールドされた VM を展開するのに使用する署名付きテンプレート ディスク (VHDX) は、展開を簡単にするために VMM ライブラリに格納することができます。 その後、この VHDX を VM テンプレートで使用できます。
- シールドされた VM をプロビジョニングおよび管理する: VMM では、シールドされた VM の完全なライフ サイクルをサポートしています。 これには次のものが含まれます
- 新しいシールドされた VM は、署名付きテンプレート ディスク (VHDX) から、必要に応じて VM テンプレートを使用して作成できます。
- 既存の VM をシールドされた VM に変換する。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示