案例 - 在 VMM 中部署受防護主機和受防護的虛擬機器

本文提供在 System Center - Virtual Machine Manager (VMM) 計算網狀架構中，部署 Hyper-V 受防護主機和受防護虛擬機器的概觀。

受防護網狀架構為 VM 提供額外的保護，以防止遭到惡意系統管理員和惡意程式碼軟體的竄改和竊取。 身為雲端服務提供者或私人雲端系統管理員，您可以部署一個通常由以下項目組成的受防護網狀架構：一部執行主機守護者服務 (HGS) 的伺服器、一或多部受防護 Hyper-V 主機伺服器，以及一或多部在這些主機上執行的受防護 VM。 深入了解受防護網狀架構 \(英文\)。

為何需要保護 VM？

虛擬機器包含 VM 擁有者可能不想讓網狀架構系統管理員看到的敏感性資料和設定。 不過，由於 VM 的所有資料都存放在檔案中，因此惡意程式碼軟體或惡意系統管理員可輕易地複製及查看這些資料。

Windows Server 中受防護的 VM 有助於防止這類攻擊，方法是在開機前嚴格證明 Hyper-V 主機的健康情況，確保 VM 只能在 VM 擁有者授權的數據中心啟動，以及讓客體 OS 使用新的虛擬 TPM 加密自己的數據。 VM 擁有者在建立有安全性顧慮的 VM 時，可以選取下列兩種保護類型：

• 支援加密：適用於需要待用和進行中數據加密的企業私人雲端案例，但網狀架構系統管理員仍受信任。 網狀架構系統管理員仍可使用 VM 主控台和其他管理便利功能。
• 已防護︰最安全的部署選項，防護功能可防止網狀架構系統管理員連線到 VM 主控台，或修改 VM 設定的安全性層面。 VM 擁有者只能透過選擇啟用的遠端管理工具來存取 VM。 建議在公用或共用基礎結構上執行敏感性工作負載的租用戶執行這項作業。

使用 VMM 管理受防護網狀架構

核心受防護網狀架構基礎結構 (包含一或多個受防護 Hyper-V 主機、主機守護者服務，以及建立受防護 VM 所需的成品，) 隨附於適用的 Windows Server 版本，且必須根據 受防護網狀架構文件進行設定。 設定好之後，您可以選擇性地使用 System Center - Virtual Machine Manager 來簡化管理受防護的網狀架構。

VMM 可用來：

• 在 VMM 網狀架構中佈建和管理受防護主機︰您可以將受防護主機新增到 VMM 網狀架構並加以管理。 受防護主機是 Hyper-V 伺服器︰
  • 符合 受防護主機的必要條件。
  • 已經過主機守護者服務授權，可讓網狀架構執行受防護的 VM。 HGS 系統管理員會決定主機必須符合才能成功證明並成為「受防護」的需求。
  • 設定使用的 HGS URL 和在通用 VMM 設定中指定的 URL 相同，在 VMM 中標示為受防護。
• 設定受防護的虛擬硬碟和選擇性的 VM 範本︰用來部署新的受防護 VM 的已簽署範本磁碟 (VHDX) 可以存放在 VMM 程式庫中，以方便部署。 您接著可以在 VM 範本中使用此 VHDX。
• 佈建和管理受防護的 VM：VMM 支援受防護 VM 的完整生命週期。 這包括：
  • 從已簽署的範本磁碟 (VHDX) 建立新的受防護 VM，並選擇性地使用 VM 範本。
  • 將現有的 VM 轉換為受防護的 VM。

下一步

• 在 VMM 網狀架構中佈建受防護主機