Share via

Scenariusz — Wdrażanie hostów chronionych i maszyn wirtualnych z osłoną w programie VMM

  • Artykuł

Ważne

Ta wersja programu Virtual Machine Manager (VMM) osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu VMM 2022.

Ten artykuł zawiera omówienie wdrażania hostów chronionych funkcji Hyper-V i chronionych maszyn wirtualnych w sieci szkieletowej obliczeniowej programu System Center — Virtual Machine Manager (VMM).

Chronione sieci szkieletowe zapewniają dodatkowe zabezpieczenia maszyn wirtualnych pozwalające uniknąć naruszenia i kradzieży danych przez złośliwych administratorów i złośliwe oprogramowanie. Jako dostawca usług w chmurze lub administrator chmury prywatnej możesz wdrożyć chronioną sieć szkieletową, która na ogół składa się z serwera z uruchomioną Usługą Ochrona hosta (HGS, Host Guardian Service), jednego lub większej liczby chronionych serwerów hostów funkcji Hyper-V i przynajmniej jednej maszyny wirtualnej z osłoną działającej na tych hostach. Dowiedz się więcej o chronionych sieciach szkieletowych.

Dlaczego należy chronić maszyny wirtualne?

Maszyny wirtualne zawierają poufne dane i konfiguracje, których właściciel maszyny wirtualnej może nie chcieć ujawnić administratorowi sieci szkieletowej. Jednak ponieważ wszystkie dane maszyn wirtualnych są przechowywane w plikach, złośliwe oprogramowanie lub złośliwy administrator może je łatwo skopiować i zbadać.

Chronione maszyny wirtualne w systemie Windows Server pomagają zapobiegać takim atakom, rygorystycznie zaświadczając o kondycji hosta funkcji Hyper-V przed uruchomieniem maszyny wirtualnej, zapewniając, że maszynę wirtualną można uruchomić tylko w centrach danych autoryzowanych przez właściciela maszyny wirtualnej i umożliwić systemowi operacyjnemu gościa szyfrowanie własnych danych przy użyciu nowego wirtualnego modułu TPM. Właściciel maszyny wirtualnej może wybrać spośród następujących dwóch typów ochrony podczas tworzenia maszyny wirtualnej obsługującej zabezpieczenia:

  • Obsługiwane szyfrowanie: Idealne rozwiązanie w przypadku scenariuszy chmury prywatnej przedsiębiorstwa, w których wymagane jest szyfrowanie danych magazynowanych i lotów, ale administratorzy sieci szkieletowej są nadal zaufani. Konsola maszyny wirtualnej i inne udogodnienia zarządzania pozostają dostępne dla administratorów sieci szkieletowej.
  • Z osłoną: najbezpieczniejsza opcja wdrażania, ponieważ osłona uniemożliwia administratorom sieci szkieletowej połączenie z konsolą maszyny wirtualnej i modyfikowanie aspektów zabezpieczeń konfiguracji maszyny wirtualnej. Właściciele maszyn wirtualnych mogą uzyskać do nich dostęp wyłącznie za pomocą narzędzi do zarządzania zdalnego, które postanowili włączyć. Jest to zalecane w przypadku dzierżaw uruchamiających wrażliwe obciążenia w infrastrukturze publicznej lub współdzielonej.

Zarządzanie chronioną siecią szkieletową za pomocą programu VMM

Podstawowa chroniona infrastruktura sieci szkieletowej (składająca się z co najmniej jednego chronionego hosta funkcji Hyper-V, usługi Ochrona hosta i artefaktów wymaganych do tworzenia chronionych maszyn wirtualnych) jest dołączona do Windows Server 2016 i nowszych i musi być skonfigurowana zgodnie z dokumentacją chronionej sieci szkieletowej. Po skonfigurowaniu możesz opcjonalnie użyć programu System Center — Virtual Machine Manager, aby uprościć zarządzanie chronioną siecią szkieletową.

Podstawowa chroniona infrastruktura sieci szkieletowej (składająca się z co najmniej jednego chronionego hosta funkcji Hyper-V, usługi Ochrona hosta i artefaktów wymaganych do tworzenia chronionych maszyn wirtualnych) jest dołączona do odpowiedniej wersji systemu Windows Server i musi być skonfigurowana zgodnie z dokumentacją chronionej sieci szkieletowej. Po skonfigurowaniu możesz opcjonalnie użyć programu System Center — Virtual Machine Manager, aby uprościć zarządzanie chronioną siecią szkieletową.

Program VMM umożliwia wykonywanie następujących czynności:

  • Aprowizowanie hostów chronionych i zarządzanie nimi w sieci szkieletowej programu VMM: możesz dodawać hosty chronione i zarządzać nimi w sieci szkieletowej programu VMM. Host chroniony to serwer funkcji Hyper-V, który:
    • Spełnia wymagania wstępne hosta chronionego.
    • Jest autoryzowany przez Usługę Ochrona hosta dla sieci szkieletowej do uruchamiania maszyn wirtualnych z osłoną. Administrator usługi HGS określa wymagania dla hostów, aby pomyślnie uzyskały zaświadczenie i stały się „chronione”.
    • Jest oznaczony jako chroniony w programie VMM przez skonfigurowanie go do używania takich samych adresów URL usługi HGS, jak określone w globalnych ustawieniach programu VMM.
  • Konfigurowanie wirtualnego dysku twardego z osłoną i, opcjonalnie, szablonu maszyny wirtualnej: podpisane dyski szablonu (VHDX) używane do wdrażania nowych maszyn wirtualnych z osłoną mogą być przechowywane w bibliotece programu VMM w celu ułatwienia wdrażania. Następnie możesz użyć tego dysku VHDX w szablonie maszyny wirtualnej.
  • Aprowizowanie maszyn wirtualnych z osłoną i zarządzanie nimi: program VMM obsługuje pełny cykl życia maszyn wirtualnych z osłoną. Obejmuje to następujące działania:
    • Tworzenie nowych maszyn wirtualnych z osłoną przy użyciu podpisanego dysku szablonu (VHDX) i, opcjonalnie, szablonu maszyny wirtualnej.
    • Konwertowanie istniejących maszyn wirtualnych na maszyny wirtualne z osłoną.

Następne kroki