Scenario – Distribuera skyddade värdar och skärmade virtuella datorer i VMM

  • Artikel

Viktigt

Den här versionen av Virtual Machine Manager (VMM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till VMM 2022.

Den här artikeln innehåller en översikt över distribution av Hyper-V-skyddade värdar och avskärmade virtuella datorer i en Beräkningsinfrastruktur för System Center – Virtual Machine Manager (VMM).

Skyddade infrastrukturer implementerar ytterligare skydd för virtuella datorer för att förhindra manipulering och stöld av illvilliga administratörer och skadlig kod. Som molntjänstleverantör eller administratör för ett privat moln kan du distribuera skyddade infrastrukturresurser som vanligtvis består av en server som kör tjänsten Värdskydd (HGS, Host Guardian Service), en eller flera skyddade Hyper-V-värdservrar och en eller flera skärmade virtuella datorer som körs på dessa värdar. Läs mer om skyddade infrastrukturresurser.

Varför måste jag skydda virtuella datorer?

Virtuella datorer innehåller känsliga data och konfigurationer som ägaren av de virtuella datorerna kanske inte vill att en infrastrukturadministratör ska se. Men eftersom alla data för de virtuella datorerna lagras i filer kan dessa data enkelt kopieras och granskas av skadlig kod eller en illvillig administratör.

Avskärmade virtuella datorer i Windows Server hjälper till att förhindra sådana attacker genom att noggrant intyga hälsotillståndet för en Hyper-V-värd innan du startar en virtuell dator, se till att den virtuella datorn endast kan startas i datacenter som har auktoriserats av den virtuella datorns ägare och göra det möjligt för gästoperativsystemet att kryptera sina egna data med hjälp av en ny virtuell TPM. VM-ägaren kan välja mellan följande två typer av skydd när en säkerhetskänslig virtuell dator skapas:

  • Kryptering stöds: Perfekt för privata molnscenarier för företag där kryptering av vilande data och under flygning är nödvändigt, men infrastrukturadministratörerna fortfarande är betrodda. VM-konsolen och andra hanteringsfördelar är fortfarande tillgängliga för infrastrukturadministratörer.
  • Skärmad: Avskärmning är det säkraste distributionsalternativet och förhindrar att infrastrukturadministratörer ansluter till VM-konsolen eller ändrar säkerhetsaspekter i VM-konfigurationen. VM-ägare kan bara komma åt den virtuella datorn via fjärrhanteringsverktyg som de väljer att aktivera. Detta rekommenderas för klientorganisationer som kör känsliga arbetsbelastningar i en offentlig eller delad infrastruktur.

Hantera en skyddad infrastruktur med VMM

Den kärnskyddade infrastrukturresurserna (som består av en eller flera skyddade Hyper-V-värdar, värdskyddstjänsten och artefakter som behövs för att skapa avskärmade virtuella datorer) ingår i Windows Server 2016 och senare och måste konfigureras enligt dokumentationen om skyddade infrastrukturresurser. När du har konfigurerat kan du använda System Center – Virtual Machine Manager för att förenkla hanteringen av den skyddade infrastrukturen.

Den kärnskyddade infrastrukturresurserna (som består av en eller flera skyddade Hyper-V-värdar, tjänsten Värdskydd och de artefakter som behövs för att skapa avskärmade virtuella datorer) ingår i tillämplig Windows Server-version och måste konfigureras enligt dokumentationen om skyddade infrastrukturresurser. När du har konfigurerat kan du använda System Center – Virtual Machine Manager för att förenkla hanteringen av den skyddade infrastrukturen.

VMM kan användas för att:

  • Etablera och hantera skyddade värdar i VMM-infrastrukturen: Du kan lägga till och hantera skyddade värdar i VMM-infrastrukturen. En skyddad värd är en Hyper-V-server som:
    • Uppfyller kraven för skyddade värdar.
    • Har auktoriserats av tjänsten Värdskydd (HGS) för infrastrukturen att köra skärmade virtuella datorer. HGS-administratören anger kraven som värdarna måste uppfylla för att attesteras och bli ”skyddade”.
    • Har skyddats i VMM genom att konfigureras med samma HGS-URL:er som de som angetts i de globala VMM-inställningarna.
  • Konfigurera en skärmad virtuell hårddisk och, om du vill, en mall: Signerade malldiskar (VHDX) som används för att distribuera nya skärmade virtuella datorer kan lagras i VMM-biblioteket för enkel distribution. Sedan kan du använda den här VHDX-disken i en mall för virtuella datorer.
  • Etablera och hantera skärmade virtuella datorer: VMM har stöd för hela livscykeln för skärmade virtuella datorer. Du måste bland annat:
    • Skapa nya skärmade virtuella datorer från en signerad malldisk (VHDX) och, om du vill, med hjälp av en mall för virtuella datorer.
    • Konvertera befintliga virtuella datorer till avskärmade virtuella datorer.

Nästa steg