Table of contents
TOC
Recolher sumário
Expandir sumário

Cenário - implantar hosts protegidos e máquinas virtuais blindadas no VMM

Rayne Wiselman|Última Atualização: 24/11/2016
|
1 Colaborador

Aplica-se a: System Center 2016 – Virtual Machine Manager

Este artigo fornece uma visão geral da implantação de hosts protegidos do Hyper-V e máquinas virtuais blindadas na malha de computação do System Center 2016 – VMM (Virtual Machine Manager).

Malhas protegidas fornecem proteções adicionais para que as VMs evitem violação e roubo por administradores e malware mal-intencionados. Como um provedor de serviço de nuvem ou administrador de nuvem privada, você pode implantar uma malha protegida, que geralmente consiste em um servidor que executa o HGS (Serviço Guardião de Host), um ou mais servidores de host Hyper-V protegidos e uma ou mais VMs blindadas em execução nesses hosts. Saiba mais sobre malhas protegidas no Windows Server 2016.

Por que preciso proteger as VMs?

Máquinas virtuais contêm dados confidenciais e configurações que o proprietário da VM não quer que um administrador de malha veja. No entanto, como todos os dados de VMs são armazenados em arquivos, podem facilmente ser copiados e inspecionados por malware ou um administrador mal-intencionado. VMs protegidas no Windows Server 2016 ajudam a prevenir tais ataques, certificando rigorosamente a integridade de um host do Hyper-V antes de inicializar uma VM, garantindo que a VM só possa ser iniciada em datacenters autorizados pelo proprietário da VM e permitindo que o SO convidado criptografe seus próprios dados através do uso de um novo TPM virtual. O proprietário da VM pode selecionar os seguintes dois tipos de proteção ao criar uma VM de segurança:

  • Suporte a criptografia: ideal para cenários de nuvem privada da empresa em que a criptografia de dados em repouso e em trânsito é necessária, mas os administradores da malha ainda são confiáveis. O console da VM e outras conveniências de gerenciamento permanecem disponíveis aos administradores de malha.
  • Blindado: opção de implantação mais segura, a blindagem impede que os administradores da malha se conectem ao console da VM ou modifiquem aspectos de segurança de configuração da VM. Os proprietários da VM só podem acessá-la por meio de ferramentas de gerenciamento remoto que optam por habilitar. Recomendado para locatários que executam cargas de trabalho confidenciais na infraestrutura pública ou compartilhada.

Saiba mais sobre as diferenças entre criptografia com suporte e VMs blindadas.

Gerenciando uma malha protegida com o VMM

A infraestrutura de malha protegida principal (que consiste em um ou mais hosts Hyper-V protegidos, Serviço Guardião de Host e os artefatos necessários para criar VMs blindadas) está incluída no Windows Server 2016 e deve ser configurada de acordo com a documentação de malha protegida. Uma vez configurada, você pode opcionalmente usar System Center 2016 – Virtual Machine Manager para simplificar o gerenciamento da malha protegida.

O VMM pode ser usado para:

  • Provisionar e gerenciar hosts protegidos na malha do VMM: adicione e gerencie hosts protegidos na malha do VMM. Um host protegido é um servidor Hyper-V que:
    • Cumpre os pré-requisitos de host protegido.
    • É autorizado pelo Serviço Guardião de Host para execução na fábrica de VMs blindadas. O administrador do HGS determina os requisitos para que os hosts sejam certificados com êxito e se tornem "protegidos".
    • É marcado como protegido no VMM, configurando-o para usar as mesmas URLs de HGS especificadas nas configurações globais do VMM.
  • Configurar um disco rígido virtual blindado e, opcionalmente, um modelo de VM: discos de modelo assinado (VHDX) usados para implantar novas VMs blindadas podem ser armazenados na biblioteca do VMM para facilitar a implantação. Você pode usar esse VHDX em um modelo de VM.
  • Provisionar e gerenciar VMs blindadas: o VMM dá suporte ao ciclo de vida completo de VMs blindadas. Isso inclui:
    • Criar novas VMs de um disco de modelo assinado (VHDX) e, opcionalmente, usar um modelo de VM.
    • Converter VMs existentes em VMs blindadas.

Próximas etapas

© 2017 Microsoft