Implementar virtualização de empresas fidedignas no Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2

Este tópico fornece orientações sobre como planear, configurar e implementar uma infraestrutura altamente segura que utiliza a virtualização confiável da empresa no sistema operativo Azure Stack HCI. Aproveite o investimento do Azure Stack HCI para executar cargas de trabalho seguras em hardware que utiliza serviços de segurança baseados em virtualização (VBS) e serviços híbridos de nuvem através do Windows Admin Center e do portal Azure.

Descrição Geral

O VBS é um componente fundamental dos investimentos de segurança no Azure Stack HCI para proteger os anfitriões e máquinas virtuais (VMs) de ameaças à segurança. Por exemplo, o Guia de Implementação Técnica de Segurança (STIG),que é publicado como uma ferramenta para melhorar a segurança dos sistemas de informação do Departamento de Defesa (DoD), lista VBS e Hypervisor-Protected Code Integrity (HVCI) como requisitos gerais de segurança. É imperativo utilizar hardware de anfitrião que esteja habilitado para vBS e HVCI para proteger cargas de trabalho em VMs, porque um hospedeiro comprometido não pode garantir a proteção VM.

O VBS utiliza funcionalidades de virtualização de hardware para criar e isolar uma região segura de memória do sistema operativo. Pode utilizar o Modo Virtual Secure (VSM) em Windows para hospedar uma série de soluções de segurança para aumentar consideravelmente a proteção contra vulnerabilidades do sistema operativo e explorações maliciosas.

O VBS utiliza o hipervisor Windows para criar e gerir fronteiras de segurança no software do sistema operativo, impor restrições para proteger recursos vitais do sistema e proteger os ativos de segurança, tais como credenciais autenticadas do utilizador. Com o VBS, mesmo que o malware tenha acesso ao núcleo do sistema operativo, é possível limitar e conter possíveis explorações, uma vez que o hipervisor impede que o malware execute código ou aceda a segredos da plataforma.

O hipervisor, o nível mais privilegiado de software do sistema, define e aplica permissões de página em toda a memória do sistema. Enquanto em VSM, as páginas só podem ser executadas após a passagem de verificações de integridade do código. Mesmo que uma vulnerabilidade, como um transbordo de tampão que possa permitir que o malware tente modificar a memória, as páginas de código não podem ser modificadas e a memória modificada não pode ser executada. A VBS e a HVCI reforçam significativamente a aplicação da política de integridade do código. Todos os controladores e binários do modo kernel são verificados antes de poderem iniciar, e os controladores ou ficheiros do sistema não assinados são impedidos de carregar na memória do sistema.

Implementar virtualização de empresas fidedignas

Esta secção descreve a alto nível como adquirir hardware para implementar uma infraestrutura altamente segura que utiliza a virtualização confiável da empresa no Azure Stack HCI e Windows Centro de Administração para gestão.

Passo 1: Adquirir hardware para virtualização de empresas fidedignas no Azure Stack HCI

Primeiro, vais precisar de arranjar hardware. A maneira mais fácil de o fazer é localizar o seu parceiro de hardware preferido da Microsoft no Catálogo HCI da Azure Stack e adquirir um sistema integrado com o sistema operativo Azure Stack HCI pré-instalado. No catálogo, pode filtrar para ver hardware do fornecedor que está otimizado para este tipo de carga de trabalho.

Caso contrário, terá de implantar o sistema operativo Azure Stack HCI no seu próprio hardware. Para obter mais informações sobre as opções de implementação do HCI da Stack Azure e a instalação Windows Centro de Administração, consulte implementar o sistema operativo Azure Stack HCI.

Em seguida, utilize Windows Centro de Administração para criar um cluster HCI Azure Stack.

Todo o hardware de parceiro para Azure Stack HCI é certificado com a Qualificação Adicional de Garantia de Hardware. Os testes de processo de qualificação para toda a funcionalidade VBS necessária. No entanto, VBS e HVCI não são automaticamente ativados em Azure Stack HCI. Para obter mais informações sobre a Qualificação Adicional de Garantia de Hardware, consulte "Hardware Assurance" em Sistemas no Catálogo Windows servidor.

Aviso

O HVCI pode ser incompatível com dispositivos de hardware não listados no Catálogo HCI da Azure Stack. Recomendamos vivamente a utilização de hardware validado por Azure Stack HCI dos nossos parceiros para infraestruturas de virtualização de empresas fidedignas.

Passo 2: Ativar o HVCI

Ativar o HVCI no hardware e VMs do seu servidor. Para mais informações, consulte Ativar a proteção baseada na virtualização da integridade do código.

Passo 3: Criar o Centro de Segurança Azure no Centro de Administração Windows

Em Windows Centro de Administração, crie o Azure Security Center para adicionar proteção contra ameaças e avaliar rapidamente a postura de segurança das suas cargas de trabalho.

Para saber mais, consulte os recursos do Centro de Administração Protect Windows com o Security Center.

Para começar com o Centro de Segurança:

  • Precisa de uma subscrição do Microsoft Azure. Se não tiver uma subscrição, pode inscrever-se para um teste gratuito.
  • O nível de preços gratuitos do Security Center está ativado em todas as subscrições Azure atuais assim que visitar o dashboard do Azure Security Center no portal Azure ou capacitá-lo programáticamente através da API. Para tirar partido das capacidades avançadas de gestão de segurança e deteção de ameaças, tem de ativar o Azure Defender. Pode utilizar o Azure Defender gratuitamente durante 30 dias. Para mais informações, consulte os preços do Centro de Segurança.
  • Se estiver pronto para ativar o Azure Defender, consulte o Quickstart: Configurar o Centro de Segurança Azure para percorrer os degraus.

Também pode utilizar Windows Centro de Administração para configurar serviços híbridos Azure adicionais, tais como Backup, File Sync, Site Recovery, Point-to-Site VPN e Update Management.

Passos seguintes

Para obter mais informações relacionadas com a virtualização de empresas fidedignas, consulte: