Azure Stack HCI'de güvenilir kurumsal sanallaştırma dağıtma
Şunlar için geçerlidir: Azure Stack HCI, sürüm 22H2 ve 21H2
Bu konuda, Azure Stack HCI işletim sisteminde güvenilen kurumsal sanallaştırma kullanan yüksek oranda güvenli bir altyapıyı planlama, yapılandırma ve dağıtma hakkında yönergeler sağlanır. Windows Admin Center ve Azure portal aracılığıyla sanallaştırma tabanlı güvenlik (VBS) ve karma bulut hizmetlerini kullanan donanımlarda güvenli iş yükleri çalıştırmak için Azure Stack HCI yatırımınızı kullanın.
Genel Bakış
VBS, konakları ve sanal makineleri (VM) güvenlik tehditlerine karşı korumak için Azure Stack HCI'deki güvenlik yatırımlarının önemli bir bileşenidir. Örneğin, Savunma Bakanlığı (DoD) bilgi sistemlerinin güvenliğini geliştirmeye yönelik bir araç olarak yayımlanan Güvenlik Teknik Uygulama Kılavuzu (STIG), genel güvenlik gereksinimleri olarak VBS ve Hiper Yönetici Korumalı Kod Bütünlüğü'nü (HVCI) listeler. Güvenliği aşılmış bir konak VM korumasını garanti edemeyeceğinden, VM'lerdeki iş yüklerini korumak için VBS ve HVCI için etkinleştirilen konak donanımının kullanılması zorunludur.
VBS, güvenli bir bellek bölgesi oluşturmak ve işletim sisteminden yalıtmak için donanım sanallaştırma özelliklerini kullanır. İşletim sistemi güvenlik açıklarına ve kötü amaçlı açıklara karşı korumayı büyük ölçüde artırmak üzere bir dizi güvenlik çözümü barındırmak için Windows'ta Sanal Güvenli Modu (VSM) kullanabilirsiniz.
VBS, işletim sistemi yazılımında güvenlik sınırları oluşturmak ve yönetmek, önemli sistem kaynaklarını korumak için kısıtlamaları zorlamak ve kimliği doğrulanmış kullanıcı kimlik bilgileri gibi güvenlik varlıklarını korumak için Windows hiper yöneticisini kullanır. VBS ile, kötü amaçlı yazılım işletim sistemi çekirdeğine erişim kazansa bile, hiper yönetici kötü amaçlı yazılımların kod yürütmesini veya platform gizli dizilerine erişmesini önlediğinden olası açıkları büyük ölçüde sınırlayabilir ve içerebilirsiniz.
Sistem yazılımının en ayrıcalıklı düzeyi olan hiper yönetici, tüm sistem belleğinde sayfa izinlerini ayarlar ve uygular. VSM'deyken sayfalar yalnızca kod bütünlüğü denetimleri geçirildikten sonra yürütülebilir. Kötü amaçlı yazılımların belleği değiştirmesine izin verebilecek arabellek taşması gibi bir güvenlik açığı ortaya çıksa bile kod sayfaları değiştirilemez ve değiştirilen bellek yürütülemez. VBS ve HVCI, kod bütünlüğü ilkesi zorlamasını önemli ölçüde güçlendirir. Tüm çekirdek modu sürücüleri ve ikili dosyaları başlatılmadan önce denetlenip imzalanmamış sürücülerin veya sistem dosyalarının sistem belleğine yüklenmesi engellenir.
Güvenilen kurumsal sanallaştırma dağıtma
Bu bölümde, Azure Stack HCI'de güvenilir kurumsal sanallaştırma kullanan ve yönetim için Windows Admin Center kullanan yüksek düzeyde güvenli bir altyapı dağıtmak için donanım alma işlemi açıklanmaktadır.
1. Adım: Azure Stack HCI'de güvenilir kurumsal sanallaştırma için donanım alma
İlk olarak donanım temin etmeniz gerekir. Bunu yapmanın en kolay yolu , Azure Stack HCI Kataloğu'nda tercih ettiğiniz Microsoft donanım iş ortağını bulmak ve Önceden yüklenmiş Azure Stack HCI işletim sistemiyle tümleşik bir sistem satın almaktır. Katalogda, bu iş yükü türü için iyileştirilmiş satıcı donanımını görmek için filtreleyebilirsiniz.
Aksi takdirde, Azure Stack HCI işletim sistemini kendi donanımınıza dağıtmanız gerekir. Azure Stack HCI dağıtım seçenekleri ve Windows Admin Center yükleme hakkında ayrıntılı bilgi için bkz. Azure Stack HCI işletim sistemini dağıtma.
Ardından azure stack HCI kümesi oluşturmak için Windows Admin Center kullanın.
Azure Stack HCI için tüm iş ortağı donanımları Donanım Güvencesi Ek Niteleme sertifikasına sahiptir. Niteleme süreci tüm gerekli VBS işlevleri için test eder. Ancak VBS ve HVCI, Azure Stack HCI'de otomatik olarak etkinleştirilmez. Donanım Güvencesi Ek Niteleme hakkında daha fazla bilgi için Windows Server Kataloğu'ndakiSistemler'in altındaki "Donanım Güvencesi" bölümüne bakın.
Uyarı
HVCI, Azure Stack HCI Kataloğu'nda listelenmeyen donanım cihazlarıyla uyumsuz olabilir. Güvenilir kurumsal sanallaştırma altyapısı için iş ortaklarımızdan Azure Stack HCI tarafından doğrulanmış donanım kullanılmasını kesinlikle öneririz.
2. Adım: HVCI'yi etkinleştirme
Sunucu donanımınızda ve VM'lerinizde HVCI'yi etkinleştirin. Ayrıntılar için bkz. Kod bütünlüğünün sanallaştırma tabanlı korumasını etkinleştirme.
3. Adım: Windows Admin Center'da Azure Güvenlik Merkezi ayarlama
Windows Admin Center'da tehdit koruması eklemek ve iş yüklerinizin güvenlik duruşunu hızla değerlendirmek için Azure Güvenlik Merkezi ayarlayın.
Daha fazla bilgi edinmek için bkz. Güvenlik Merkezi ile Windows Admin Center kaynakları koruma.
Güvenlik Merkezi'ne başlamak için:
- Bir Microsoft Azure aboneliğine ihtiyacınız olacaktır. Aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolabilirsiniz.
- Güvenlik Merkezi'nin ücretsiz fiyatlandırma katmanı, Azure portal Azure Güvenlik Merkezi panosunu ziyaret ettikten veya API aracılığıyla program aracılığıyla etkinleştirdiğinizde tüm geçerli Azure aboneliklerinizde etkinleştirilir. Gelişmiş güvenlik yönetimi ve tehdit algılama özelliklerinden yararlanmak için Azure Defender'ı etkinleştirmeniz gerekir. Azure Defender'ın ücretsiz kullanım sürelerini 30 gün boyunca kullanabilirsiniz. Daha fazla bilgi için bkz . Güvenlik Merkezi fiyatlandırması.
- Azure Defender'ı etkinleştirmeye hazırsanız bkz. Hızlı Başlangıç: adımlarda iz görecek Azure Güvenlik Merkezi ayarlama.
Yedekleme, Dosya Eşitleme, Site Recovery, Noktadan Siteye VPN ve Güncelleştirme Yönetimi gibi ek Azure hibrit hizmetlerini ayarlamak için de Windows Admin Center kullanabilirsiniz.
Sonraki adımlar
Güvenilen kurumsal sanallaştırmayla ilgili daha fazla bilgi için bkz:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin