Implementar a virtualização empresarial fidedigna no Azure Stack HCI

  • Artigo

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2

Este tópico fornece orientações sobre como planear, configurar e implementar uma infraestrutura altamente segura que utiliza a virtualização empresarial fidedigna no sistema operativo Azure Stack HCI. Tire partido do investimento do Azure Stack HCI para executar cargas de trabalho seguras em hardware que utiliza segurança baseada em virtualização (VBS) e serviços cloud híbridos através de Windows Admin Center e portal do Azure.

Descrição Geral

O VBS é um componente fundamental dos investimentos de segurança no Azure Stack HCI para proteger anfitriões e máquinas virtuais (VMs) contra ameaças de segurança. Por exemplo, o Guia de Implementação Técnica de Segurança (STIG), que é publicado como uma ferramenta para melhorar a segurança dos sistemas de informação do Departamento de Defesa (DoD), lista o VBS e a Integridade do Código Protegido pelo Hipervisor (HVCI) como requisitos de segurança gerais. É imperativo utilizar hardware anfitrião que esteja ativado para VBS e HVCI para proteger cargas de trabalho em VMs, uma vez que um anfitrião comprometido não pode garantir a proteção da VM.

O VBS utiliza funcionalidades de virtualização de hardware para criar e isolar uma região segura de memória do sistema operativo. Pode utilizar o Modo de Segurança Virtual (VSM) no Windows para alojar várias soluções de segurança para aumentar significativamente a proteção contra vulnerabilidades do sistema operativo e explorações maliciosas.

O VBS utiliza o hipervisor do Windows para criar e gerir limites de segurança no software do sistema operativo, impor restrições para proteger recursos de sistema vitais e proteger recursos de segurança, como credenciais de utilizador autenticadas. Com o VBS, mesmo que o software maligno obtenha acesso ao kernel do sistema operativo, pode limitar e conter possíveis exploits, uma vez que o hipervisor impede que o software maligno execute código ou aceda a segredos da plataforma.

O hipervisor, o nível mais privilegiado de software de sistema, define e impõe permissões de página em toda a memória do sistema. No VSM, as páginas só podem ser executadas após a transmissão das verificações de integridade do código. Mesmo que ocorra uma vulnerabilidade, como uma capacidade excedida da memória intermédia que possa permitir que o software maligno tente modificar a memória, as páginas de código não podem ser modificadas e a memória modificada não pode ser executada. O VBS e o HVCI reforçam significativamente a aplicação da política de integridade do código. Todos os controladores e binários do modo kernel são verificados antes de poderem iniciar e os controladores ou ficheiros de sistema não assinados são impedidos de carregar para a memória do sistema.

Implementar virtualização empresarial fidedigna

Esta secção descreve a um nível elevado como adquirir hardware para implementar uma infraestrutura altamente segura que utiliza virtualização empresarial fidedigna no Azure Stack HCI e Windows Admin Center para gestão.

Passo 1: adquirir hardware para virtualização empresarial fidedigna no Azure Stack HCI

Primeiro, terá de adquirir hardware. A forma mais fácil de o fazer é localizar o seu parceiro de hardware preferido da Microsoft no Catálogo do Azure Stack HCI e comprar um sistema integrado com o sistema operativo Azure Stack HCI pré-instalado. No catálogo, pode filtrar para ver o hardware do fornecedor otimizado para este tipo de carga de trabalho.

Caso contrário, terá de implementar o sistema operativo Azure Stack HCI no seu próprio hardware. Para obter detalhes sobre as opções de implementação do Azure Stack HCI e a instalação Windows Admin Center, veja Implementar o sistema operativo Azure Stack HCI.

Em seguida, utilize Windows Admin Center para criar um cluster do Azure Stack HCI.

Todo o hardware de parceiro do Azure Stack HCI é certificado com a Qualificação Adicional do Hardware Assurance. O processo de qualificação testa todas as funcionalidades de VBS necessárias. No entanto, o VBS e o HVCI não são ativados automaticamente no Azure Stack HCI. Para obter mais informações sobre a Qualificação Adicional do Hardware Assurance, veja "Hardware Assurance" em Sistemas no Catálogo do Windows Server.

Aviso

O HVCI pode ser incompatível com dispositivos de hardware não listados no Catálogo do Azure Stack HCI. Recomendamos vivamente que utilize hardware validado do Azure Stack HCI dos nossos parceiros para uma infraestrutura de virtualização empresarial fidedigna.

Passo 2: Ativar o HVCI

Ative o HVCI no hardware do servidor e nas VMs. Para obter detalhes, veja Ativar a proteção baseada em virtualização da integridade do código.

Passo 3: Configurar Centro de Segurança do Azure no Windows Admin Center

No Windows Admin Center, configure Centro de Segurança do Azure para adicionar proteção contra ameaças e avaliar rapidamente a postura de segurança das suas cargas de trabalho.

Para saber mais, veja Proteger recursos Windows Admin Center com o Centro de Segurança.

Para começar a utilizar o Centro de Segurança:

  • Precisa de uma subscrição do Microsoft Azure. Se não tiver uma subscrição, pode inscrever-se numa avaliação gratuita.
  • O escalão de preço gratuito do Centro de Segurança é ativado em todas as suas subscrições atuais do Azure assim que visitar o dashboard de Centro de Segurança do Azure no portal do Azure ou ativá-lo programaticamente através da API. Para tirar partido das capacidades avançadas de gestão de segurança e de deteção de ameaças, tem de ativar o Azure Defender. Pode utilizar o Azure Defender gratuito durante 30 dias. Para obter mais informações, veja Preços do Centro de Segurança.
  • Se estiver pronto para ativar o Azure Defender, veja Início Rápido: Configurar Centro de Segurança do Azure para percorrer os passos.

Também pode utilizar Windows Admin Center para configurar serviços híbridos adicionais do Azure, tais como Cópia de Segurança, File Sync, Site Recovery, VPN Ponto a Site e Gestão de Atualizações.

Passos seguintes

Para obter mais informações relacionadas com a virtualização empresarial fidedigna, veja: