Implantar a virtualização empresarial confiável no Azure Stack HCI

  • Artigo

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2

Este tópico fornece diretrizes sobre como planejar, configurar e implantar uma infraestrutura altamente segura que usa virtualização corporativa confiável no sistema operacional Azure Stack HCI. Aproveite seu investimento no Azure Stack HCI para executar cargas de trabalho seguras em hardware que usam serviços de VBS (segurança baseada em virtualização) e nuvem híbrida por meio de Windows Admin Center e do portal do Azure.

Visão geral

A VBS é um componente fundamental dos investimentos em segurança no Azure Stack HCI para proteger hosts e VMs (máquinas virtuais) contra ameaças à segurança. Por exemplo, o Guia de Implementação Técnica de Segurança (STIG), que é publicado como uma ferramenta para melhorar a segurança dos sistemas de informações do Departamento de Defesa (DoD), lista vbs e HVCI (integridade de código protegido por hipervisor) como requisitos gerais de segurança. É imperativo usar o hardware do host habilitado para VBS e HVCI para proteger cargas de trabalho em VMs, pois um host comprometido não pode garantir a proteção da VM.

O VBS usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional. Você pode usar o VSM (Modo de Segurança Virtual) no Windows para hospedar várias soluções de segurança para aumentar consideravelmente a proteção contra vulnerabilidades do sistema operacional e explorações mal-intencionadas.

A VBS usa o hipervisor do Windows para criar e gerenciar limites de segurança no software do sistema operacional, impor restrições para proteger recursos vitais do sistema e proteger ativos de segurança, como credenciais de usuário autenticadas. Com o VBS, mesmo que o malware tenha acesso ao kernel do sistema operacional, você pode limitar e conter possíveis explorações, pois o hipervisor impede que malware execute código ou acesse segredos da plataforma.

O hipervisor, o nível mais privilegiado de software do sistema, define e impõe permissões de página em toda a memória do sistema. Enquanto estiver no VSM, as páginas só podem ser executadas depois de passar em verificações de integridade de código. Mesmo que ocorra uma vulnerabilidade, como um estouro de buffer que poderia permitir que malware tentasse modificar a memória, as páginas de código não podem ser modificadas e a memória modificada não pode ser executada. VBS e HVCI fortalecem significativamente a imposição da política de integridade de código. Todos os drivers e binários do modo kernel são verificados antes de serem iniciados e drivers não assinados ou arquivos do sistema são impedidos de carregar na memória do sistema.

Implantar virtualização corporativa confiável

Esta seção descreve em um alto nível como adquirir hardware para implantar uma infraestrutura altamente segura que usa virtualização corporativa confiável no Azure Stack HCI e Windows Admin Center para gerenciamento.

Etapa 1: Adquirir hardware para virtualização corporativa confiável no Azure Stack HCI

Primeiro, você precisará adquirir hardware. A maneira mais fácil de fazer isso é localizar seu parceiro de hardware da Microsoft preferido no Catálogo do Azure Stack HCI e comprar um sistema integrado com o sistema operacional Azure Stack HCI pré-instalado. No catálogo, você pode filtrar para ver o hardware do fornecedor otimizado para esse tipo de carga de trabalho.

Caso contrário, você precisará implantar o sistema operacional Azure Stack HCI em seu próprio hardware. Para obter detalhes sobre as opções de implantação do Azure Stack HCI e a instalação de Windows Admin Center, consulte Implantar o sistema operacional Azure Stack HCI.

Em seguida, use Windows Admin Center para criar um cluster do Azure Stack HCI.

Todo o hardware de parceiro para o Azure Stack HCI é certificado com a Qualificação Adicional do Hardware Assurance. O processo de qualificação testa todas as funcionalidades necessárias do VBS . No entanto, VBS e HVCI não são habilitados automaticamente no Azure Stack HCI. Para obter mais informações sobre a Qualificação Adicional do Hardware Assurance, consulte "Hardware Assurance" em Sistemas no Catálogo do Windows Server.

Aviso

O HVCI pode ser incompatível com dispositivos de hardware não listados no Catálogo do Azure Stack HCI. É altamente recomendável usar o hardware validado do Azure Stack HCI de nossos parceiros para a infraestrutura de virtualização corporativa confiável.

Etapa 2: Habilitar o HVCI

Habilite o HVCI no hardware e nas VMs do servidor. Para obter detalhes, consulte Habilitar a proteção baseada em virtualização da integridade do código.

Etapa 3: Configurar Central de Segurança do Azure no Windows Admin Center

Em Windows Admin Center, configure Central de Segurança do Azure para adicionar proteção contra ameaças e avaliar rapidamente a postura de segurança de suas cargas de trabalho.

Para saber mais, confira Proteger Windows Admin Center recursos com a Central de Segurança.

Para começar a usar a Central de Segurança:

  • Você precisa de uma assinatura do Microsoft Azure. Se você não tiver uma assinatura, poderá se inscrever para uma avaliação gratuita.
  • O tipo de preço gratuito da Central de Segurança é habilitado em todas as assinaturas atuais do Azure depois que você visita o Central de Segurança do Azure dashboard no portal do Azure ou habilita-o programaticamente por meio da API. Para aproveitar as funcionalidades avançadas de gerenciamento de segurança e detecção de ameaças, você deve habilitar o Azure Defender. Você pode usar o Azure Defender gratuitamente por 30 dias. Para obter mais informações, consulte Preços da Central de Segurança.
  • Se você estiver pronto para habilitar o Azure Defender, consulte Início Rápido: Configurando Central de Segurança do Azure para percorrer as etapas.

Você também pode usar Windows Admin Center para configurar serviços híbridos adicionais do Azure, como Backup, Sincronização de Arquivos, Site Recovery, VPN Ponto a Site e Gerenciamento de Atualizações.

Próximas etapas

Para obter mais informações relacionadas à virtualização corporativa confiável, consulte: