Déployer une virtualisation d’entreprise fiable sur Azure Stack HCI

S’applique à : Azure Stack HCI, version 22H2

Cette rubrique fournit des conseils sur la planification, la configuration et le déploiement d’une infrastructure hautement sécurisée qui utilise la virtualisation d’entreprise fiable sur le système d’exploitation Azure Stack HCI. Tirez parti de votre investissement Azure Stack HCI pour exécuter des charges de travail sécurisées sur du matériel qui utilise la sécurité basée sur la virtualisation (VBS) et des services cloud hybrides via Windows Admin Center et le portail Azure.

Vue d’ensemble

VBS est un composant clé des investissements en sécurité dans Azure Stack HCI pour protéger les hôtes et les machines virtuelles contre les menaces de sécurité. Par exemple, le Guide d’implémentation technique de la sécurité (STIG), qui est publié en tant qu’outil pour améliorer la sécurité des systèmes d’information du ministère de la défense (DoD), indique que VBS et HVCI (Hypervisor-Protected Code Integrity, Intégrité du code protégée par hyperviseur) sont des exigences de sécurité générales. Il est impératif d’utiliser le matériel hôte activé pour VBS et HVCI afin de protéger les charges de travail sur les machines virtuelles, car un hôte compromis ne peut pas garantir la protection de la machine virtuelle.

VBS utilise des fonctionnalités de virtualisation matérielle pour créer et isoler une région sécurisée de mémoire du système d’exploitation. Vous pouvez utiliser le mode sécurisé virtuel (VSM) dans Windows pour héberger un certain nombre de solutions de sécurité afin d’améliorer la protection contre les vulnérabilités du système d’exploitation et les attaques malveillantes.

VBS utilise l’hyperviseur Windows pour créer et gérer les limites de sécurité dans les logiciels du système d’exploitation, appliquer des restrictions pour protéger les ressources système vitales et protéger les ressources de sécurité, telles que les informations d’identification des utilisateurs authentifiés. Avec VBS, même si un programme malveillant a accès au noyau du système d’exploitation, vous pouvez considérablement limiter et contenir les failles possibles, car l’hyperviseur empêche les programmes malveillants d’exécuter du code ou d’accéder aux secrets de la plateforme.

L’hyperviseur, le niveau de logiciel système le plus privilégié, définit et applique des autorisations de page sur l’ensemble de la mémoire système. Dans VSM, les pages ne peuvent s’exécuter qu’après avoir réussi les contrôles d’intégrité du code. Même si une vulnérabilité, telle qu’un dépassement de capacité de la mémoire tampon, peut permettre à un programme malveillant d’essayer de modifier la mémoire, les pages de codes ne peuvent pas être modifiées et la mémoire modifiée ne peut pas être exécutée. VBS et HVCI renforcent considérablement l’application de la stratégie d’intégrité du code. Tous les fichiers binaires et pilotes en mode noyau sont vérifiés avant de pouvoir démarrer, et les pilotes ou fichiers système non signés ne peuvent pas être chargés dans la mémoire système.

Déployer une virtualisation d’entreprise approuvée

Cette section décrit de manière générale comment acquérir du matériel pour déployer une infrastructure hautement sécurisée qui utilise la virtualisation d’entreprise fiable sur Azure Stack HCI et Windows Admin Center pour la gestion.

Étape 1 : Acquérir du matériel pour la virtualisation d’entreprise approuvée sur Azure Stack HCI

Tout d’abord, vous devez vous procurer du matériel. Le moyen le plus simple est de localiser votre partenaire de matériel Microsoft préféré dans le catalogue Azure Stack HCI et d’acheter un système intégré sur lequel le système d’exploitation Azure Stack HCI est préinstallé. Dans le catalogue, vous pouvez appliquer un filtre de façon à afficher le matériel fournisseur qui est optimisé pour ce type de charge de travail.

Dans le cas contraire, vous devez déployer le système d’exploitation Azure Stack HCI sur votre propre matériel. Pour plus d’informations sur les options de déploiement Azure Stack HCI et sur l’installation de Windows Admin Center, consultez Déployer le système d’exploitation Azure Stack HCI.

Ensuite, utilisez Windows Admin Center pour créer un cluster Azure Stack HCI.

Tous les matériels provenant de partenaires pour Azure Stack HCI sont certifiés avec la qualification supplémentaire d’assurance qualité du matériel. Le processus de qualification teste toutes les fonctionnalités VBS requises. Toutefois, VBS et HVCI ne sont pas automatiquement activés dans Azure Stack HCI. Pour plus d’informations sur la qualification supplémentaire de l’assurance matérielle, consultez la section « Assurance qualité du matériel » sous Systèmes dans le catalogue Windows Server.

Avertissement

HVCI peut être incompatible avec les périphériques matériels non listés dans le catalogue Azure Stack HCI. Pour l’infrastructure de virtualisation d’entreprise fiable, nous vous recommandons vivement d’utiliser un matériel Azure Stack HCI validé provenant de nos partenaires.

Étape 2 : Activer HVCI

Activez HVCI sur les machines virtuelles et le matériel de votre serveur. Pour plus d’informations, consultez Activer la protection basée sur la virtualisation de l’intégrité du code.

Étape 3 : Configurer Azure Security Center dans Windows Admin Center

Dans Windows Admin Center, configurez Azure Security Center pour ajouter la protection contre les menaces et évaluer rapidement la position de sécurité de vos charges de travail.

Pour plus d’informations, consultez Protéger les ressources Windows Admin Center avec Security Center.

Pour bien démarrer avec Security Center :

  • Vous devrez vous abonner à Microsoft Azure. Si vous n’avez pas d’abonnement, vous pouvez vous inscrire à un essai gratuit.
  • Le niveau tarifaire gratuit de Security Center est activé sur tous vos abonnements Azure en cours après votre première consultation du tableau de bord Azure Security Center dans le portail Azure. Il peut aussi être activé par programmation par le biais d’une API. Pour tirer parti des fonctionnalités avancées de gestion de la sécurité et de détection des menaces, vous devez activer Azure Defender. Vous pouvez utiliser Azure Defender gratuitement pendant 30 jours. Pour plus d’informations, consultez la tarification de Security Center.
  • Si vous êtes prêt à activer Azure Defender, consultez démarrage rapide : Configuration d’Azure Security Center pour parcourir les étapes.

Vous pouvez également utiliser Windows Admin Center pour configurer d’autres services hybrides Azure, tels que Sauvegarde, File Sync, Site Recovery, VPN de point à site et Update Management.

Étapes suivantes

Pour plus d’informations sur la virtualisation d’entreprise fiable, consultez :