Сценарий: развертывание защищенных узлов и экранированных виртуальных машин в VMM

  • Статья

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) завершена. Мы рекомендуем выполнить обновление до VMM 2022.

В этой статье описывается, как развертывать защищенные узлы Hyper-V и экранированных виртуальных машин в вычислительной структуре System Center Virtual Machine Manager (VMM).

Защищенная структура обеспечивает дополнительную защиту виртуальных машин от мошенничества и кражи данных недобросовестным администратором или вредоносной программой. Вы как поставщик облачных служб или администратор частного облака можете развернуть защищенную структуру, которая, как правило, состоит из сервера, на котором выполняется служба защиты узла (HGS), одного или нескольких защищенных серверов узлов Hyper-V и одной или нескольких экранированных виртуальных машин, работающих на этих узлах. Дополнительные сведения о защищенных структурах см. здесь.

Почему нужно защищать виртуальные машины?

Виртуальные машины содержат конфиденциальные данные и настройки, которые их владельцы не хотели бы демонстрировать администратору структуры. Однако в связи с тем, что все данные для виртуальных машин хранятся в файлах, недобросовестный администратор или вредоносная программа могут скопировать и изучить эти данные.

Экранированные виртуальные машины в Windows Server помогают предотвратить такие атаки, тщательно заверяя работоспособность узла Hyper-V перед загрузкой виртуальной машины, гарантируя, что виртуальную машину можно запустить только в центрах обработки данных, авторизованных владельцем виртуальной машины, и позволяя гостевой ОС шифровать собственные данные с помощью нового виртуального доверенного платформенного модуля. При создании виртуальной машины владелец может выбрать один из двух типов защиты конфиденциальных данных:

  • Поддержка шифрования. Идеальное решение для частных корпоративных облаков, где данные необходимо шифровать как во время хранения, так и на лету, а администраторам структуры можно доверять. При этом администраторы сохраняют доступ к консоли виртуальной машины и другим удобным средствам управления.
  • Экранирование. Экранирование, самый безопасный вариант развертывания, запрещает администраторам структуры подключаться к консоли виртуальной машины и изменять настройки безопасности виртуальной машины. При этом владельцы могут получить доступ к своим виртуальным машинам только через включенные ими средства удаленного управления. Этот вариант рекомендуется для клиентов, работающих с конфиденциальными данными в открытых или общедоступных инфраструктурах.

Управление защищенной структурой с помощью VMM

Базовая защищенная инфраструктура структуры (состоящая из одного или нескольких защищенных узлов Hyper-V, службы защиты узла и артефактов, необходимых для создания экранированных виртуальных машин) входит в состав Windows Server 2016 и более поздних версий и должна быть настроена в соответствии с документацией по защищенной структуре. После установки управление защищенной структурой можно упростить с помощью диспетчера виртуальных машин System Center.

Базовая защищенная инфраструктура структуры (состоящая из одного или нескольких защищенных узлов Hyper-V, службы защиты узла и артефактов, необходимых для создания экранированных виртуальных машин) входит в состав применимой версии Windows Server и должна быть настроена в соответствии с документацией по защищенной структуре. После установки управление защищенной структурой можно упростить с помощью диспетчера виртуальных машин System Center.

VMM можно использовать для выполнения следующих действий.

  • Подготовка защищенных узлов в структуре VMM и управление ими: можно добавить в структуру VMM защищенные узлы и управлять ими. Защищенный узел — это сервер Hyper-V, который:
    • соответствует предварительным требованиям защищенного узла;
    • авторизован службой защиты узлов в структуре для запуска экранированных виртуальных машин. Требования, которым должны соответствовать узлы для прохождения аттестации и обеспечения защиты, устанавливает администратор.
    • Помечен как защищенный в VMM путем настройки использования в нем тех же URL-адресов HGS, которые указаны в глобальных параметрах VMM.
  • Настройка экранированного виртуального жесткого диска и при необходимости шаблона виртуальной машины. Для удобства диски подписанных шаблонов (VHDX), которые используются для развертывания новых экранированных виртуальных машин, можно хранить в библиотеке VMM. Затем этот VHDX-диск можно использовать в шаблоне виртуальной машины.
  • Подготовка экранированных виртуальных машин и управление ими. VMM поддерживает весь жизненный цикл экранированных виртуальных машин. В том числе:
    • Создание экранированных виртуальных машин на основе диска подписанного шаблона (VHDX) и использование шаблона виртуальной машины (по желанию).
    • Преобразование существующих виртуальных машин в экранированные виртуальные машины.

Дальнейшие действия