方案 - 在 VMM 中部署受保护的主机和受防护的虚拟机

本文概述了在 System Center - Virtual Machine Manager (VMM) 计算构造中部署 Hyper-V 受防护的主机和受防护的虚拟机。

受保护的构造为 VM 提供额外保护，以防止恶意管理员和恶意软件的篡改和盗窃。 作为云服务提供程商或私有云管理员，你可以部署受保护的构造，该构造通常包含运行主机保护者服务 (HGS) 的服务器、一个或多个受保护的 Hyper-V 主机服务器和运行在这些主机上的一个或多个受防护的 VM。 了解更多有关受保护的构造的信息。

为何需要保护虚拟机？

虚拟机包含 VM 所有者可能不希望构造管理员看到的敏感数据和配置。 然而，由于 VM 的所有数据都存储在文件中，所以数据可能容易地被恶意软件或恶意管理员复制和检查。

Windows Server 中受防护的 VM 有助于防止此类攻击，方法是在启动 VM 之前严格证明 Hyper-V 主机的运行状况，确保 VM 只能在 VM 所有者授权的数据中心启动，并使来宾 OS 能够使用新的虚拟 TPM 加密自己的数据。 创建安全敏感型 VM 时，VM 所有者可以选择以下两种类型的保护：

• 支持加密的：非常适合需要对静态和正在处理的数据进行加密的企业私有云场景，但是构造管理员仍受到信任。 构造管理员仍然可以使用 VM 控制台和享受其他管理方便性。
• 受防护的：最安全的部署选项，防护可防止构造管理员连接到 VM 控制台或修改 VM 配置的安全方面。 VM 所有者只能通过他们选择启用的远程管理工具来访问 VM。 对于在公共或共享基础结构上运行敏感工作负荷的租户，建议使用此保护方案。

使用 VMM 管理受保护的构造

核心受保护的构造基础结构 (由一个或多个受保护的 Hyper-V 主机、主机保护者服务以及创建受防护的 VM 所需的项目组成，) 包含在适用的 Windows Server 版本中，并且必须根据 受保护的构造文档进行配置。 设置完成后，可选择使用 System Center - Virtual Machine Manager 来简化受保护构造的管理。

VMM 可用于：

• 在 VMM 构造中预配和管理受保护的主机：你可以将受保护的主机添加到 VMM 构造中并进行管理。 受保护的主机是 Hyper-V 服务器，并且：
  • 满足受保护的主机的先决条件。
  • 由主机保护者服务授权，用于让构造运行受防护的 VM。 HGS 管理员确定要求，以让主机成功证明并成为“受保护的”主机。
  • 通过将其配置为使用全局 VMM 设置中指定的相同 HGS URL 在 VMM 中标记为受保护。
• 配置受防护的虚拟硬盘并选择性地配置受防护的 VM 模板：用于部署新的受防护 VM 的已签名模板硬盘 (VHDX) 可以存储在 VMM 库中，以方便部署。 然后才能在 VM 模板中使用此 VHDX。
• 预配和管理受防护的 VM ：VMM 支持受防护的 VM 的完整生命周期。 这包括：
  • 从签名的虚拟硬盘 (VHDX) 创建新的受防护的 VM，也可以使用 VM 模板进行创建。
  • 将现有 VM 转换为受防护的 VM。

后续步骤

• 在 VMM 构造中预配受保护的主机