Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Hyper-V máquinas virtuais (VMs) de 2ª geração fornecem recursos de segurança robustos projetados para proteger dados confidenciais e impedir acesso não autorizado ou adulteração. Este artigo explora as configurações de segurança disponíveis no Hyper-V Manager para VMs de 2ª geração e mostra como configurá-las. Saiba como esses recursos podem ajudar a proteger suas VMs contra ameaças e garantir a conformidade com as práticas recomendadas de segurança.
Os recursos de segurança disponíveis para VMs de 2ª geração em Hyper-V incluem:
- Arranque Seguro.
- Suporte de criptografia para TPM (Trusted Platform Module), migração ao vivo e estado salvo.
- VMs blindadas.
- Serviço Guardião do Anfitrião (HGS).
Esses recursos de segurança são projetados para ajudar a proteger os dados e o estado de uma máquina virtual. Você pode proteger as VMs de inspeção, roubo e adulteração por parte de malware que possa ser executado no host, assim como de administradores do centro de dados. O nível de segurança que você obtém depende do hardware do host executado, da geração da máquina virtual e se você configurou o Host Guardian Service (HGS) complementar, que autoriza os hosts a iniciar VMs blindadas.
O Serviço Guardião do Host foi introduzido pela primeira vez no Windows Server 2016. Ele identifica hosts Hyper-V legítimos e permite que eles executem um conjunto de VMs blindadas. Você normalmente habilitaria o Serviço Guardião do Host para um datacenter, mas também pode criar uma VM blindada para executá-lo localmente sem configurar o Serviço Guardião do Host. Mais tarde, você pode distribuir a máquina virtual blindada para o Serviço Guardião do Host.
Para saber como você pode tornar suas VMs mais seguras com o Serviço Guardião do Host, consulte Malha protegida e VMs blindadas e Harden the Fabric: Protecting Tenant Secrets in Hyper-V (vídeo do Ignite).
Arranque Seguro
A Inicialização Segura é um recurso disponível com VMs de 2ª geração que ajuda a impedir que firmware, sistemas operacionais ou drivers UEFI (Unified Extensible Firmware Interface) não autorizados (também conhecidos como ROMs de opção) sejam executados no momento da inicialização. A Inicialização Segura está habilitada por padrão. Você pode usar a inicialização segura com VMs de 2ª geração que executam sistemas operacionais de distribuição Windows ou Linux.
Há três modelos diferentes disponíveis, dependendo do sistema operacional e da configuração da VM. A tabela a seguir lista cada um desses modelos e se refere aos certificados necessários para verificar a integridade do processo de inicialização:
| Nome do modelo | Compatibility |
|---|---|
| Microsoft Windows | Sistemas operativos Windows. |
| Autoridade de certificação UEFI da Microsoft | Sistemas operacionais de distribuição Linux. |
| VM blindada de código aberto | VMs blindadas baseadas em Linux. |
Suporte de criptografia
Hyper-V máquinas virtuais de 2ª geração oferecem recursos de criptografia robustos que fornecem várias camadas de proteção para sua infraestrutura virtualizada. O suporte à criptografia abrange três áreas críticas: funcionalidade TPM (Trusted Platform Module), tráfego de rede de migração ao vivo e dados de estado salvos. Esses recursos de segurança trabalham juntos para criar uma defesa abrangente contra acesso não autorizado e violações de dados, garantindo que as informações confidenciais permaneçam protegidas em repouso e em trânsito.
O recurso TPM virtualizado (vTPM) representa um avanço significativo na arquitetura de segurança de VM. Ao adicionar um vTPM à sua máquina virtual de Geração 2, você permite que o sistema operacional convidado use funções de segurança baseadas em hardware semelhantes às funções disponíveis em máquinas físicas. Esse chip de segurança virtualizado permite que o SO convidado criptografe todo o disco da máquina virtual usando a Criptografia de Unidade de Disco BitLocker, criando uma camada extra de proteção contra acesso não autorizado. O vTPM também pode suportar outras tecnologias de segurança que precisam de um TPM, tornando-o um componente essencial para ambientes empresariais que exigem conformidade rigorosa com normas e regulamentos de segurança.
Você pode migrar uma máquina virtual com TPM virtual habilitado para qualquer host que execute uma versão suportada do Windows Server ou Windows. Se você migrá-lo para outro host, talvez não seja possível iniciá-lo. Você deve atualizar o Protetor de Chave dessa máquina virtual para autorizar o novo host a executar a máquina virtual. Para obter mais informações, consulte Malha protegida e VMs blindadas e Requisitos do sistema para Hyper-V no Windows Server.
Política de Segurança no Hyper-V Manager
As máquinas virtuais blindadas representam o mais alto nível de segurança disponível para VMs de Hyper-V Geração 2, fornecendo proteção abrangente contra ameaças externas e ataques de acesso privilegiado. Ao habilitar a blindagem em uma máquina virtual, você cria um ambiente protegido que criptografa o estado da VM e o tráfego de migração e, ao mesmo tempo, restringe o acesso administrativo a funções críticas da VM. Essa proteção vai além das medidas de segurança tradicionais, impedindo que até mesmo administradores de datacenter e malware no nível do host acessem a memória, o estado salvo ou o tráfego de rede da VM durante as operações de migração ao vivo.
O recurso de blindagem impõe automaticamente vários requisitos de segurança, incluindo Inicialização Segura, ativação do TPM e criptografia do estado salvo e do tráfego de migração. Além disso, as VMs blindadas desabilitam determinados recursos de gerenciamento, como conexões de console, PowerShell Direct e componentes de integração específicos que os invasores poderiam explorar. Essa abordagem cria um modelo de segurança de defesa profunda em que a máquina virtual se torna efetivamente opaca para o sistema host, garantindo que cargas de trabalho confidenciais permaneçam protegidas mesmo em ambientes de hospedagem comprometidos. As organizações podem implantar VMs blindadas com o Host Guardian Service para implementações em escala empresarial ou executá-las localmente para maior segurança em implantações menores.
Você pode executar a máquina virtual blindada localmente sem configurar um Serviço Guardião do Host. Se você migrá-lo para outro host, talvez não seja possível iniciá-lo. Você deve atualizar o Protetor de Chave dessa máquina virtual para autorizar o novo host a executar a máquina virtual. Para obter mais informações, consulte Malha protegida e VMs blindadas.
Conteúdo relacionado
Para obter mais informações, consulte os seguintes artigos: