保障数据免受他人窥探，是IT长期存在的一大问题。如果IT部门有权限访问数据，组织要如何才能保证敏感数据的机密性？多年来，企业IT一直试图解决这个问题，包括最小特权访问控制和各种基于角色的访问控制。随着组织开始考虑云计算，这类隐私问题也受到了越来越多的关注；如何保障公有云上的数据隐私？

为此，微软为Windows Server 2016 Hyper-V开发名为Host Guardian（主机守护者）的新功能。Host Guardian是一个服务器角色，用于提供虚拟机管理程序级别的虚拟机隐私保护。Host Guardian采用三种不同的功能组合来提供隐私保护。

Host Guardian采用Hyper-V级的安全保护

三项功能之一是虚拟磁盘加密。微软提供的通过BitLocker对物理硬盘进行加密的功能已经有相当一段时间。Host Guardian通过在客户操作系统中启用BitLocker，对Hyper-V中虚拟机的相关虚拟硬盘进行加密。正如BitLocker采用物理服务器的可信平台模块芯片（TPM），BitLocker利用虚拟TPM芯片对虚拟机进行加密。

Host Guardian的第二项功能是实时加密。虚拟机不是静态的。Hyper-V虚拟机可以从一台主机上实时迁移到另外一台。Host Guardian可用于迁移时对虚拟机进行加密。

第三个功能是Host Guardian能阻止对虚拟机内存的访问。这样可以避免主机级别的内存提取攻击对虚拟机数据进行访问。

微软希望Host Guardian能够推动云虚拟机的使用

尽管这些机制可以保护Hyper-V 虚拟机免于管理员窥视，但如果只将 Host Guardian作为虚拟机管理程序级别的保密机制，就有点目光短浅了。微软已宣称Windows Server 2016将是第一款云操作系统。Host Guardian不仅能够确保组织内部数据中心虚拟机的隐私，还能够为公有云上的虚拟机提供隐私保障。

当你思考微软在保护云虚拟机数据隐私的目标时，很容易看出为何微软选择设计Host Guardian要包含这三点安全功能。微软需要一种方式，在无须影响云级别或数据中心级别运营的情况下，实现虚拟机级别的隐私保障。无论虚拟机在何种平台上运行，管理员需要做的唯一事情，就是确保环境的健康稳定。管理员同样还需要能够创建虚拟机备份。微软设计Host Guardian时抱着这样的思路，保障虚拟机隐私免遭入侵。

安全是需要付出代价的

Host Guardian有两种应用方式。当管理员设置Host Guardian时，必须选择一个认证方式。该认证方式可以基于硬件或基于管理员；但不能两者同时使用。

基于硬件的认证更适用于公共宿主环境。基于硬件的认证是比较复杂的认证配置类型，但同样也提供了最大的隐私保证，因为信任植根于硬件。基于硬件的认证要求配备了TPM 2.0芯片和统一可扩展固件接口(UEFI)2.3.1或更高版本。

基于管理员的认证，更适合企业IT。它比基于硬件的认证复杂性低，但依赖于一个可靠的活动目录环境。

Host Guardian角色可以被用于确保虚拟机所有者的隐私。然而，这种保密是需要付出代价的。加密过程无疑会一定程度上增加Hyper-V主机的开销。对虚拟机的保护同样可能导致某些特定的升级或灾难恢复操作更加困难。还需要注意的是，不是所有虚拟机都可以用Host Guardian进行保护，系统要求至少是运行Server 2012或Windows 8和更高级别的版本。同样还有一些微软的文档表名，只能支持第二代虚拟机。