Hyper-V 第 2 代虚拟机(VM)提供可靠的安全功能,旨在保护敏感数据,并防止未经授权的访问或篡改。 本文探讨第 2 代 VM Hyper-V Manager 中提供的安全设置,并演示如何对其进行配置。 了解这些功能如何帮助保护 VM 免受威胁,并确保符合安全最佳做法。
Hyper-V 第 2 代 VM 的可用安全功能包括:
- 安全启动。
- 对受信任的平台模块(TPM)、实时迁移和保存状态的加密支持。
- 受防护的 VM。
- 主机保护者服务(HGS)。
这些安全功能旨在帮助保护虚拟机的数据和状态。 可以保护 VM 免受可能在主机和数据中心管理员上运行的恶意软件的检查、盗窃和篡改。 获得的安全级别取决于运行的主机硬件、虚拟机生成以及是否设置配套主机保护者服务(HGS),该服务授权主机启动受防护的 VM。
主机保护者服务首次在 Windows Server 2016 中引入。 它标识合法的 Hyper-V 主机,并允许它们运行一组受防护的 VM。 你通常会为数据中心启用主机保护者服务,但也可以创建受防护的 VM 以在本地运行它,而无需设置主机保护者服务。 稍后可以将受防护的虚拟机分发到主机保护者服务。
若要了解如何使用主机保护者服务使 VM 更安全,请参阅 受保护的构造和受防护的 VM 并 强化构造:在 Hyper-V(Ignite 视频)中保护租户机密。
安全启动
安全启动是第 2 代 VM 提供的一项功能,可帮助防止未经授权的固件、作系统或统一可扩展固件接口(UEFI)驱动程序(也称为选项 ROM)在启动时运行。 默认情况下,安全启动处于启用状态。 可以将安全启动功能用于运行 Windows 或 Linux 发行版操作系统的第二代虚拟机 (VM)。
有三个不同的模板可用,具体取决于 VM 的作系统和配置。 下表列出了每个模板,并引用了需要验证启动过程完整性的证书:
| 模板名称 | Compatibility |
|---|---|
| Microsoft Windows | Windows操作系统。 |
| Microsoft UEFI 证书颁发机构 | Linux 发行版操作系统。 |
| 开放源受防护的 VM | 基于 Linux 的受防护 VM。 |
加密支持
Hyper-V 第 2 代虚拟机提供可靠的加密功能,为虚拟化基础结构提供多层保护。 加密支持包括三个关键领域:TPM(受信任的平台模块)功能、实时迁移网络流量和保存的状态数据。 这些安全功能协同工作,全面防范未经授权的访问和数据泄露,确保敏感信息在静态和传输过程中都受到保护。
虚拟化 TPM (vTPM) 功能表示 VM 安全体系结构的显著进步。 通过将 vTPM 添加到第 2 代虚拟机,使来宾操作系统能够使用类似于物理计算机上可用的基于硬件的安全功能。 此虚拟化安全芯片允许来宾 OS 使用 BitLocker 驱动器加密加密整个虚拟机磁盘,从而创建额外的保护层,防止未经授权的访问。 vTPM 还可以支持需要 TPM 的其他安全技术,使其成为需要严格符合安全标准和法规的企业环境的基本组件。
可以将启用了虚拟 TPM 的虚拟机迁移到运行受支持版本的 Windows Server 或 Windows 的任何主机。 如果将其迁移到另一个主机,则可能无法启动它。 必须更新该虚拟机的密钥保护程序,才能授权新主机运行该虚拟机。 有关详细信息,请参阅受保护的结构和受防护的 VM 和 Windows Server 上的 Hyper-V 的系统要求。
Hyper-V 管理器中的安全策略
受防护的虚拟机表示 Hyper-V 第 2 代 VM 可用的最高安全级别,提供针对外部威胁和特权访问攻击的全面保护。 在虚拟机上启用防护时,会创建一个强化的环境,用于加密 VM 的状态和迁移流量,同时限制对关键 VM 功能的管理访问。 通过防止数据中心管理员和主机级恶意软件在实时迁移作期间访问 VM 的内存、已保存状态或网络流量,此保护超出了传统的安全措施。
防护功能会自动强制实施多个安全要求,包括安全启动、TPM 启用和已保存状态和迁移流量的加密。 此外,受防护的 VM 会禁用某些管理功能,例如控制台连接、PowerShell Direct 和攻击者可能利用的特定集成组件。 此方法可创建深度防御安全模型,其中虚拟机在主机系统中有效不透明,确保敏感工作负载即使在受入侵的托管环境中仍受到保护。 组织可以使用主机保护者服务为企业规模实现部署受防护的 VM,或在本地运行这些 VM,以便在较小的部署中增强安全性。
可以在本地运行受防护的虚拟机,而无需设置主机保护者服务。 如果将其迁移到另一个主机,则可能无法启动它。 必须更新该虚拟机的密钥保护程序,才能授权新主机运行该虚拟机。 有关详细信息,请参阅受保护的结构和受防护的 VM。
相关内容
如需了解更多信息,请参阅以下文章: