Azure Stack HCI におけるエンタープライズ向け高信頼仮想化のデプロイ

適用対象: Azure Stack HCI バージョン 22H2

このトピックでは、エンタープライズ向け高信頼仮想化を使用する高度なセキュリティで保護されたインフラストラクチャを Azure Stack HCI オペレーティング システムで計画、構成、およびデプロイする方法について説明します。 Azure Stack HCI への投資を活用して、Windows Admin Center と Azure portal を経由して仮想化ベースのセキュリティ (VBS) およびハイブリッド クラウド サービスを使用するハードウェア上で安全なワークロードを実行します。

概要

VBS は、Azure Stack HCI におけるセキュリティ投資のキー コンポーネントであり、セキュリティの脅威からホストと仮想マシン (VM) を保護します。 たとえば、国防総省 (DoD) 情報システムのセキュリティを強化するためのツールとして公開されているセキュリティ技術導入ガイド (STIG) では、一般的なセキュリティ要件として、VBS と ハイパーバイザーで保護されたコード整合性 (HVCI) がリストに含まれています。 セキュリティが侵害されたホストでは VM の保護が保証されないため、VBS および HVCI が有効になっているホスト ハードウェアを使用して VM 上 のワークロードを保護することが不可欠です。

VBS ではハードウェア仮想化機能を使用して、メモリの安全な領域を作成し、オペレーティング システムから分離します。 Windows の 仮想保護モード (VSM) を使用すると、さまざまなセキュリティ ソリューションをホストして、オペレーティング システムの脆弱性や悪意のある攻撃からの保護を大幅に向上させることができます。

VBS では、Windows ハイパーバイザーを使用することで、オペレーティング システム ソフトウェアにセキュリティ境界を作成して管理し、制限を適用して重要なシステム リソースを保護して、認証されたユーザーの資格情報などのセキュリティ アセットを保護します。 VBS を利用することで、マルウェアがオペレーティング システムのカーネルにアクセスできたとしても、マルウェアによるコードの実行や、プラットフォームのシークレットへのアクセスがハイパーバイザーによって防止されるため、悪用の可能性を大幅に制限し、阻止できます。

ハイパーバイザーは、システム ソフトウェアの最も高い特権レベルであり、すべてのシステム メモリ全体でページのアクセス許可を設定して適用します。 一方、VSM では、コードの整合性チェックが渡された後にのみ、ページが実行されます。 バッファー オーバーフローなどの脆弱性が発生し、マルウェアによってメモリの変更が試行された場合でも、コード ページは変更されないため、変更されたメモリが実行されません。 VBS と HVCI は、コードの整合性ポリシーの適用を大幅に強化します。 すべてのカーネル モード ドライバーとバイナリは、開始前にチェックされ、署名されていないドライバーやシステム ファイルはシステム メモリに読み込まれません。

エンタープライズ向け高信頼仮想化のデプロイ

このセクションでは、エンタープライズ向け高信頼仮想化を使用する安全性の高いインフラストラクチャを管理目的で Azure Stack HCI と Windows Admin Center でデプロイするために、ハードウェアを取得する方法の概要について説明します。

手順 1: Azure Stack HCI で信頼できるエンタープライズ仮想化用のハードウェアを取得する

最初に、ハードウェアを調達する必要があります。 最も簡単な方法としては、Azure Stack HCI カタログで適切な Microsoft ハードウェア パートナーを見つけて、Azure Stack HCI オペレーティング システムがプレインストールされている統合システムを購入します。 カタログでは、フィルターを適用して、この種類のワークロードに最適化されたベンダーのハードウェアを表示できます。

それ以外の場合は、Azure Stack HCI オペレーティング システムを独自のハードウェアにデプロイする必要があります。 Azure Stack HCI デプロイ オプションの詳細および Windows Admin Center のインストールについては、「Azure Stack HCI オペレーティング システムのデプロイ」を参照してください。

次に、Windows Admin Center を使用して、Azure Stack HCI クラスターを作成します

Azure Stack HCI のすべてのパートナー ハードウェアは、ハードウェア アシュアランスの追加の認定を受けています。 認定プロセスでは、必要なすべての VBS 機能がテストされます。 ただし、Azure Stack HCI では、VBS および HVCI は自動的には有効になりません。 ハードウェア アシュアランスの追加の認定の詳細については、Windows Server カタログシステムに関するページのハードウェア アシュアランスに関するセクションを参照してください。

警告

HVCI は、Azure Stack HCI カタログに記載されていないハードウェア デバイスと互換性がない可能性があります。 エンタープライズ向け高信頼仮想化インフラストラクチャについては、パートナーの Azure Stack HCI の検証済みハードウェアを使用することを強くお勧めします。

手順 2: HVCI を有効にする

サーバーのハードウェアと VM で HVCI を有効にします。 詳細については、「コード整合性に対する仮想化ベースの保護を有効にする」を参照してください。

手順 3: Windows Admin Center で Azure Security Center を設定する

Windows Admin Center で、Azure Security Center を設定して、脅威防止を追加し、ワークロードのセキュリティ体制を迅速に評価します。

詳細については、「Security Center を使用した Windows Admin Center リソースの保護」を参照してください。

Security Center の使用を開始するには:

  • 使用を開始するには、 Microsoft Azureのサブスクリプションが必要です。 サブスクリプションがない場合は、無料試用版にサインアップできます。
  • Azure portal の Azure Security Center ダッシュボードにアクセスしたとき、または API を介してプログラムで有効にした場合は、現在のすべての Azure サブスクリプションで Security Center の Free の価格レベルが有効になります。 高度なセキュリティ管理と脅威検出の機能を利用するには、Azure Defender を有効にする必要があります。 Azure Defender は 30 日間無料で試用いただけます。 詳しくは、「Security Center の価格」をご覧ください。
  • Azure Defender を有効にする準備ができたら、「 Quickstart: Azure Security Center のセットアップ 手順を参照してください。

Windows Admin Center を使用して、Backup、File Sync、Site Recovery、ポイント対サイト VPN、Update Management などの追加の Azure ハイブリッド サービスを設定することもできます。

次のステップ

エンタープライズ向け高信頼仮想化に関する詳細については、以下を参照してください。