Cenário - implantar hosts protegidos e máquinas virtuais blindadas no VMM
Este artigo fornece uma visão geral da implantação de hosts protegidos do Hyper-V e máquinas virtuais blindadas em uma malha de computação do System Center Virtual Machine Manager (VMM).
As malhas protegidas fornecem proteções adicionais para VMs para evitar adulteração e roubo por administradores mal-intencionados e malware. Como provedor de serviços de nuvem ou administrador de nuvem privada, você pode implantar uma malha protegida que normalmente consiste em um servidor que executa o HGS (Serviço Guardião de Host), um ou mais servidores host Hyper-V protegidos e uma ou mais VMs blindadas em execução nesses hosts. Saiba mais sobre malhas protegidas.
Por que preciso proteger as VMs?
As máquinas virtuais contêm dados confidenciais e configurações que o proprietário da VM não gostaria que um administrador de malha visse. No entanto, como todos os dados das VMs são armazenados em arquivos, os dados podem ser facilmente copiados e inspecionados por malware ou um administrador mal-intencionado.
As VMs blindadas no Windows Server ajudam a evitar esses ataques atestando rigorosamente a integridade de um host Hyper-V antes de inicializar uma VM, garantindo que a VM só possa ser iniciada em datacenters autorizados pelo proprietário da VM e permitindo que o sistema operacional convidado criptografe seus próprios dados usando um novo TPM virtual. O proprietário da VM pode selecionar entre os dois tipos de proteção a seguir ao criar uma VM sensível à segurança:
- Suporte a criptografia: ideal para cenários de nuvem privada da empresa em que a criptografia de dados inativos e em trânsito é necessária, mas os administradores da malha ainda são confiáveis. O console da VM e outras conveniências de gerenciamento permanecem disponíveis para os administradores de malha.
- Blindado: a opção de implantação mais segura, a blindagem impede que os administradores de malha se conectem ao console da VM ou modifiquem os aspectos de segurança da configuração da VM. Os proprietários de VM só podem acessar a VM por meio de ferramentas de gerenciamento remoto que optarem por habilitar. Isso é recomendado para locatários que executam cargas de trabalho confidenciais em infraestrutura pública ou compartilhada.
Gerenciar uma malha protegida com o VMM
A infraestrutura de malha protegida principal (que consiste em um ou mais hosts Hyper-V protegidos, o Serviço Guardião de Host e os artefatos necessários para criar VMs blindadas) está incluída no Windows Server 2016 e posterior e deve ser configurada de acordo com a documentação da malha protegida. Depois de configurado, você pode usar opcionalmente o System Center Virtual Machine Manager para simplificar o gerenciamento da malha protegida.
A infraestrutura de malha protegida principal (que consiste em um ou mais hosts Hyper-V protegidos, o Serviço Guardião de Host e os artefatos necessários para criar VMs blindadas) está incluída na versão aplicável do Windows Server e deve ser configurada de acordo com a documentação da malha protegida. Depois de configurado, você pode usar opcionalmente o System Center Virtual Machine Manager para simplificar o gerenciamento da malha protegida.
O VMM pode ser usado para:
- Provisionar e gerenciar hosts protegidos na malha do VMM: você pode adicionar e gerenciar hosts protegidos à malha do VMM. Um host protegido é um servidor Hyper-V que:
- Atende aos pré-requisitos do host protegido.
- É autorizado pelo Serviço Guardião de Host para que a malha execute VMs blindadas. O administrador do HGS determina os requisitos para que os hosts atestem com êxito e se tornem protegidos.
- É marcado como protegido no VMM configurando-o para usar as mesmas URLs do HGS especificadas nas configurações globais do VMM.
- Configure um disco rígido virtual blindado e, opcionalmente, um modelo de VM: os discos de modelo assinados (VHDX) usados para implantar novas VMs blindadas podem ser armazenados na biblioteca do VMM para facilitar a implantação. Em seguida, você pode usar esse VHDX em um modelo de VM.
- Provisionar e gerenciar VMs blindadas: o VMM dá suporte a todo o ciclo de vida de VMs blindadas. Isso inclui:
- Criar novas VMs blindadas de um VHDX (disco de modelo assinado) e, opcionalmente, usar um modelo de VM.
- Convertendo as VMs existentes em VMs blindadas.