ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة
يقدم Azure إطلاق موثوق به كطريقة سلسة لتحسين أمان الأجهزة الظاهرية من الجيل 2 (VM). يحمي التشغيل الموثوق به من تقنيات الهجوم المتقدمة والمستمرة. يتكون الإطلاق الموثوق به من العديد من تقنيات البنية الأساسية المنسقة التي يمكن تمكينها بشكل مستقل. توفر كل تقنية طبقة أخرى من الحماية ضد التهديدات المتطورة.
هام
- التشغيل الموثوق به هو الحالة الافتراضية لأجهزة Azure Gen2 الظاهرية ومجموعات المقياس التي تم إنشاؤها حديثا. راجع الأسئلة المتداولة حول التشغيل الموثوق به إذا كان الجهاز الظاهري الجديد يتطلب ميزات غير مدعومة مع التشغيل الموثوق به.
- يمكن تمكين "تشغيل موثوق به" في الجهاز الظاهري الحالي بعد إنشائه. لمزيد من المعلومات، راجع تمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة.
- يمكن أن يكون لمجموعة مقياس الجهاز الظاهري الحالية تمكين "التشغيل الموثوق به" بعد إنشائه. لمزيد من المعلومات، راجع تمكين التشغيل الموثوق به على مجموعة التحجيم الموجودة.
المزايا
- توزيع الأجهزة الظاهرية بأمان مع أدوات تحميل التمهيد التي تم التحقق منها، ونواة نظام التشغيل (OS)، وبرامج التشغيل.
- حماية المفاتيح والشهادات والأسرار بأمان في الأجهزة الظاهرية.
- اكتساب رؤى وثقة تكامل سلسلة التمهيد بأكملها.
- تأكد من أن أحمال العمل موثوق بها ويمكن التحقق منها.
أحجام الأجهزة الظاهرية
| نوع | عائلات الحجم المدعومة | عائلات الحجم غير المدعومة حاليا | عائلات الحجم غير المدعومة |
|---|---|---|---|
| الغرض العام | B-family, D-family | سلسلة Dpsv5، سلسلة Dpdsv5، سلسلة Dplsv5، سلسلة Dpldsv5 | A-family, Dv2-series, Dv3-series, DC-Confidential-family |
| الحوسبة المحسنة | F-family، Fx-family | جميع الأحجام المدعومة. | |
| الذاكرة المحسنة | E-family, Eb-family | M-family | EC-Confidential-family |
| التخزين المحسن | L-family | جميع الأحجام المدعومة. | |
| الجرافيك | NC-family, ND-family, NV-family | سلسلة NDasrA100_v4، سلسلة NDm_A100_v4 | سلسلة NC، سلسلة NV، سلسلة NP |
| حساب عالي الأداء | سلسلة HBv2، سلسلة HBv3، سلسلة HBv4، سلسلة HC، سلسلة HX | جميع الأحجام المدعومة. |
إشعار
- لا يتطلب تثبيت برامج تشغيل CUDA و GRID على أجهزة Windows الظاهرية الممكنة للتمهيد الآمن أي خطوات إضافية.
- يتطلب تثبيت برنامج تشغيل CUDA على أجهزة Ubuntu الظاهرية الممكنة للتمهيد الآمن خطوات إضافية. لمزيد من المعلومات، راجع تثبيت برامج تشغيل NVIDIA GPU على الأجهزة الظاهرية من السلسلة N التي تعمل بنظام Linux. يجب تعطيل التمهيد الآمن لتثبيت برامج تشغيل CUDA على أجهزة Linux الظاهرية الأخرى.
- يتطلب تثبيت برنامج تشغيل GRID تعطيل التمهيد الآمن لأجهزة Linux الظاهرية.
- لا تدعم عائلات الحجم غير المدعومة الأجهزة الظاهرية من الجيل 2. قم بتغيير حجم الجهاز الظاهري إلى مجموعات الحجم المدعومة المكافئة لتمكين "التشغيل الموثوق به".
أنظمة التشغيل المدعومة
| نظام التشغيل | إصدار |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| دبيان | 11, 12 |
| Oracle Linux | 8.3، 8.4، 8.5، 8.6، 8.7، 8.8 LVM، 9.0، 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux من CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3، 15SP4، 15SP5 |
| خادم Ubuntu | 18.04 LTS، 20.04 LTS، 22.04 LTS، 23.04، 23.10 |
| Windows 10 | Pro وEnterprise وEnterprise Multi-Session * |
| Windows 11 | Pro وEnterprise وEnterprise Multi-Session * |
| Windows Server | 2016، 2019، 2022، 2022-Azure-Edition، 2025، 2025-Azure-Edition * |
* يتم دعم تباينات نظام التشغيل هذا.
مزيد من المعلومات
المناطق:
- جميع المناطق العامة
- جميع مناطق Azure Government
- جميع مناطق Azure China
التسعير: لا يؤدي التشغيل الموثوق به إلى زيادة تكاليف تسعير الجهاز الظاهري الحالية.
ميزات غير معتمدة
حاليا، ميزات الجهاز الظاهري التالية غير مدعومة مع "التشغيل الموثوق به":
- صورة مدارة (يتم تشجيع العملاء على استخدام معرض حوسبة Azure).
- إسبات جهاز Linux الظاهري
التمهيد الآمن
في جذر التشغيل الموثوق به هو التمهيد الآمن للجهاز الظاهري الخاص بك. التمهيد الآمن، الذي يتم تنفيذه في البرنامج الثابت للنظام الأساسي، يحمي من تثبيت rootkits المستندة إلى البرامج الضارة ومجموعات التمهيد. تعمل Secure Boot للتأكد من أن برامج التشغيل وأنظمة التشغيل الموقّعة فقط يمكن تشغيلها. إنها تنشئ "جذر الثقة" لمكدس الذاكرة المؤقتة للبرامج على جهازك الظاهري.
مع تمكين التمهيد الآمن، تتطلب جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) توقيع ناشرين موثوق بهم. يدعم كل من Windows وتوزيعات Linux المحددة Secure Boot. إذا فشل التمهيد الآمن في المصادقة على أن الصورة موقعة مع ناشر موثوق به، يفشل الجهاز الظاهري في التمهيد. لمزيد من المعلومات، راجعSecure Boot.
vTPM
يقدم Trusted Launch أيضا وحدة النظام الأساسي الموثوق به الظاهرية (vTPM) لأجهزة Azure الظاهرية. يتوافق هذا الإصدار الظاهري من وحدة النظام الأساسي الموثوق به للأجهزة مع مواصفات TPM2.0. وهو بمثابة مخزن آمن مخصص للمفاتيح والقياسات.
يوفر التشغيل الموثوق به الجهاز الظاهري الخاص بك مع مثيل TPM المخصص الخاص به الذي يعمل في بيئة آمنة خارج نطاق أي جهاز ظاهري. يمكّن vTPM الإثبات عن طريق قياس سلسلة التمهيد الكاملة لجهازك الظاهري (UEFI ونظام التشغيل والنظام وبرامج تشغيل الجهاز).
يستخدم التشغيل الموثوق به vTPM لإجراء تصديق عن بعد من خلال السحابة. تمكن الإثباتات الفحوصات الصحية للنظام الأساسي وتستخدم لاتخاذ قرارات تستند إلى الثقة. كتحقق من الصحة، يمكن ل Trusted Launch التصديق بشكل مشفر على أن الجهاز الظاهري الخاص بك تم تشغيله بشكل صحيح.
إذا فشلت العملية، ربما لأن الجهاز الظاهري الخاص بك يقوم بتشغيل مكون غير مصرح به، فإن Microsoft Defender for Cloud يصدر تنبيهات التكامل. تتضمن التنبيهات تفاصيل حول المكونات التي فشلت في اجتياز فحوصات تكامل البيانات.
الأمان المستند إلى الظاهرية
يستخدم الأمان المستند إلى الظاهرية (VBS) برنامج تشغيل الآلة الافتراضية لإنشاء منطقة آمنة ومعزولة من الذاكرة. يستخدم Windows هذه المناطق لتشغيل حلول أمنية متنوعة مع حماية معززة ضد نقاط الضعف ومحاولات الاستغلال الضار. يتيح لك التشغيل الموثوق به تمكين تكامل التعليمات البرمجية لبرنامج hypervisor (HVCI) وWindows Defender Credential Guard.
HVCI هو تقليل فعّال للنظام يحمي عمليات وضع kernel على Windows من تنفيذ التعليمات البرمجية الضارة أو التي لم يتم التحقق منها. إنه يتحقق من برامج تشغيل وضع kernel والثنائيات قبل تشغيلها، ما يمنع الملفات غير المُوقّعة من التحميل في الذاكرة. تضمن عمليات التحقق أنه لا يمكن تعديل التعليمات البرمجية القابلة للتنفيذ بعد أن يسمح HVCI بتحميلها. لمزيد من المعلومات حول VBS وHVCI، راجع الأمان المستند إلى الظاهرية وتكامل التعليمات البرمجية المفروضة على hypervisor.
باستخدام Trusted Launch وVBS، يمكنك تمكين Windows Defender Credential Guard. يعزل Credential Guard البيانات السرية ويحميها بحيث يمكن لبرنامج النظام المميز فقط الوصول إليها. يساعد على منع الوصول غير المصرح به إلى الأسرار وهجمات سرقة بيانات الاعتماد، مثل هجمات Pass-the-Hash. لمزيد من المعلومات، راجع Credential Guard.
تكامل Microsoft Defender for Cloud
تم دمج التشغيل الموثوق به مع Defender for Cloud للتأكد من تكوين الأجهزة الظاهرية بشكل صحيح. يقيم Defender for Cloud باستمرار الأجهزة الظاهرية المتوافقة ويصدر التوصيات ذات الصلة:
توصية لتمكين التمهيد الآمن: تنطبق توصية التمهيد الآمن فقط على الأجهزة الظاهرية التي تدعم التشغيل الموثوق به. يحدد Defender for Cloud الأجهزة الظاهرية التي تم تعطيل التمهيد الآمن لها. تصدر توصية منخفضة الخطورة لتمكينها.
توصية لتمكين vTPM: إذا تم تمكين vTPM للجهاز الظاهري، يمكن ل Defender for Cloud استخدامه لإجراء تصديق الضيف وتحديد أنماط التهديد المتقدمة. إذا حدد Defender for Cloud الأجهزة الظاهرية التي تدعم التشغيل الموثوق به مع تعطيل vTPM، فإنه يصدر توصية منخفضة الخطورة لتمكينه.
توصية بتثبيت ملحق تصديق الضيف: إذا كان الجهاز الظاهري الخاص بك قد تم تمكين التمهيد الآمن وvTPM ولكن لم يتم تثبيت ملحق Guest Attestation، فإن Defender for Cloud يصدر توصيات منخفضة الخطورة لتثبيت ملحق Guest Attestation عليه. يسمح هذا الملحق ل Defender for Cloud بالمصادقة على تكامل التمهيد للأجهزة الظاهرية ومراقبته بشكل استباقي. تتم مصادقة تكامل بيانات التمهيد من خلال الإثبات البعيد.
تقييم صحة التصديق أو مراقبة تكامل التمهيد: إذا كان الجهاز الظاهري الخاص بك قد تم تمكين التمهيد الآمن وvTPM وتم تثبيت ملحق التصديق، يمكن ل Defender for Cloud التحقق عن بعد من أن الجهاز الظاهري الخاص بك تم تمهيده بطريقة سليمة. تعرف هذه الممارسة باسم مراقبة تكامل التمهيد. يصدر Defender for Cloud تقييما يشير إلى حالة التصديق عن بعد.
إذا تم إعداد الأجهزة الظاهرية الخاصة بك بشكل صحيح باستخدام Trusted Launch، يمكن ل Defender for Cloud اكتشاف المشاكل الصحية للجهاز الظاهري وتنبيهك إليها.
تنبيه لفشل تصديق الجهاز الظاهري: يقوم Defender for Cloud بشكل دوري بإجراء التصديق على الأجهزة الظاهرية الخاصة بك. يحدث التصديق أيضا بعد تمهيد الجهاز الظاهري الخاص بك. إذا فشل التصديق، فإنه يؤدي إلى تنبيه متوسط الخطورة. يمكن أن يفشل إثبات الجهاز الظاهري للأسباب التالية:
المعلومات التي تمت مصادقتها، والتي تتضمن سجل التمهيد، تحيد عن الأساس الموثوق. يمكن أن يشير أي انحراف إلى أنه يتم تحميل الوحدات النمطية غير الموثوق بها، ويمكن اختراق نظام التشغيل.
تعذر التحقق من اقتباس التصديق لينشأ من vTPM للجهاز الظاهري المصدق عليه. يمكن أن يشير الأصل الذي لم يتم التحقق من وجوده إلى وجود برامج ضارة ويمكن أن تعترض حركة المرور إلى vTPM.
إشعار
تتوفر التنبيهات للأجهزة الظاهرية مع تمكين vTPM وتثبيت ملحق Attestation. يجب تمكين Secure Boot حتى ينجح الإثبات. يفشل التصديق إذا تم تعطيل التمهيد الآمن. إذا كان من اللازم تعطيل Secure Boot، يمكنك منع هذا التنبيه لتجنب النتائج الإيجابية الخاطئة.
تنبيه لوحدة Linux kernel النمطية غير الموثوق بها: بالنسبة للتشغيل الموثوق به مع تمكين التمهيد الآمن، من الممكن أن يقوم الجهاز الظاهري بالتمهيد حتى إذا فشل برنامج تشغيل kernel في التحقق من الصحة ويحظر تحميله. إذا حدث فشل في التحقق من صحة برنامج تشغيل kernel، يصدر Defender for Cloud تنبيهات منخفضة الخطورة. على الرغم من عدم وجود تهديد فوري، لأنه لم يتم تحميل برنامج التشغيل غير الموثوق به، يجب التحقيق في هذه الأحداث. سأل نفسك:
- أي من برامج تشغيل kernel فشل؟ هل أنا على دراية برنامج تشغيل النواة الفاشل وهل أتوقع تحميله؟
- هل الإصدار الدقيق لبرنامج التشغيل هو نفسه المتوقع؟ هل ثنائيات برامج تشغيل الجهاز سليمة؟ إذا كان برنامج التشغيل الفاشل هو برنامج تشغيل شريك، فهل اجتاز الشريك اختبارات توافق نظام التشغيل للحصول على توقيع؟
(معاينة) التشغيل الموثوق به كافتراضي
هام
التشغيل الافتراضي الموثوق به قيد المعاينة حاليا. هذه المعاينة مخصصة لأغراض الاختبار والتقييم والملاحظات فقط. لا يوصى بأحمال عمل الإنتاج. عند التسجيل للمعاينة، فأنت توافق على شروط الاستخدام التكميلية. قد تتغير بعض جوانب هذه الميزة مع التوفر العام (GA).
يتوفر التشغيل الموثوق به كافتراضي (TLaD) في المعاينة لأجهزة Gen2 الظاهرية الجديدة (VM) ومجموعات مقياس الجهاز الظاهري (مجموعات التحجيم).
TLaD هو وسيلة سريعة بدون لمس لتحسين الوضع الأمني لأجهزة Azure الظاهرية الجديدة المستندة إلى Gen2 ومجموعات مقياس الجهاز الظاهري. باستخدام Trusted Launch كافتراضي، يتم تعيين أي أجهزة ظاهرية جديدة من Gen2 أو مجموعات مقياس تم إنشاؤها من خلال أي أدوات عميل (مثل قالب ARM وBicep) افتراضيا إلى Trusted Launch VMs مع تمكين التمهيد الآمن وvTPM.
يسمح لك إصدار المعاينة العامة بالتحقق من صحة هذه التغييرات في البيئة الخاصة بك لجميع أجهزة Azure Gen2 الظاهرية الجديدة ومجموعة التحجيم والاستعداد لهذا التغيير القادم.
إشعار
جميع الأجهزة الظاهرية الجديدة من Gen2 ومجموعة التحجيم والنشرات باستخدام أي أداة عميل (قالب ARM وBicep وTerraform وما إلى ذلك) الافتراضية إلى نشر التشغيل الموثوق به على متن الطائرة للمعاينة. لا يتجاوز هذا التغيير المدخلات المقدمة كجزء من التعليمات البرمجية للتوزيع.
تمكين معاينة TLaD
تسجيل ميزة TrustedLaunchByDefaultPreview المعاينة ضمن Microsoft.Compute مساحة الاسم على اشتراك الجهاز الظاهري. لمزيد من المعلومات، راجع إعداد ميزات المعاينة في اشتراك Azure
لإنشاء جهاز ظاهري جديد من Gen2 أو مجموعة مقياس مع تشغيل موثوق افتراضي، قم بتنفيذ البرنامج النصي للتوزيع الحالي كما هو الحال من خلال Azure SDK أو Terraform أو أسلوب آخر ليس مدخل Azure أو CLI أو PowerShell. ينتج عن الجهاز الظاهري الجديد أو مجموعة المقياس التي تم إنشاؤها في الاشتراك المسجل جهاز ظاهري موثوق به أو مجموعة مقياس الجهاز الظاهري.
VM &scale sets deployments with TLaD preview
السلوك الحالي
لإنشاء مجموعة تحجيم وتشغيل موثوق به للجهاز الظاهري، تحتاج إلى إضافة عنصر securityProfile التالي في النشر:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
يؤدي عدم وجود عنصر securityProfile في التعليمات البرمجية للتوزيع إلى نشر VM ومجموعة التحجيم دون تمكين التشغيل الموثوق به.
الأمثلة
- vm-windows-admincenter - يقوم قالب Azure Resource Manager (ARM) بنشر الجهاز الظاهري Gen2 دون تمكين التشغيل الموثوق به.
-
vm-simple-windows – ينشر قالب ARM جهازا ظاهريا موثوقا به (بدون افتراضي كما
securityProfileهو مضاف بشكل صريح إلى قالب ARM)
سلوك جديد
باستخدام إصدار واجهة برمجة التطبيقات 2021-11-01 أو أعلى و على متن الطائرة للمعاينة، فإن عدم وجود securityProfile عنصر من النشر سيمكن التشغيل الموثوق به بشكل افتراضي إلى VM الجديد ومجموعة التحجيم المنشورة في حالة استيفاء الشروط التالية:
- تدعم صورة نظام التشغيل Source Marketplace التشغيل الموثوق به.
- تدعم صورة نظام تشغيل ACG المصدر التشغيل الموثوق به ويتم التحقق من صحتها.
- يدعم القرص المصدر التشغيل الموثوق به.
- يدعم حجم الجهاز الظاهري التشغيل الموثوق به.
لن يتم التوزيع افتراضيا على Trusted launch إذا لم يتم استيفاء خام واحد أو أكثر من الشرط (الشروط) المدرجة وإكماله بنجاح لإنشاء جهاز ظاهري جديد من الجيل الثاني ومجموعة التحجيم دون تشغيل موثوق به.
يمكنك اختيار تجاوز الافتراضي بشكل صريح لنشر مجموعة مقياس الجهاز الظاهري عن طريق تعيين Standard كقيمة للمعلمة securityType. لمزيد من المعلومات، راجع هل يمكنني تعطيل "التشغيل الموثوق به" لنشر جهاز ظاهري جديد.
القيود المعروفة
يتعذر تجاوز التشغيل الافتراضي الموثوق به وإنشاء جهاز ظاهري Gen2 (تشغيل غير موثوق به) باستخدام مدخل Microsoft Azure بعد التسجيل للمعاينة.
بعد تسجيل الاشتراك للمعاينة، سيؤدي تعيين نوع الأمان إلى في مدخل Microsoft Azure إلى Standard نشر الجهاز الظاهري أو مجموعة Trusted launchالمقياس . سيتم معالجة هذا القيد قبل التوفر العام الافتراضي لبدء التشغيل الموثوق به.
للتخفيف من هذا القيد، يمكنك إلغاء تسجيل ميزة المعاينة عن طريق إزالة علامة TrustedLaunchByDefaultPreview الميزة ضمن Microsoft.Compute مساحة الاسم في اشتراك معين.
يتعذر إعادة حجم الجهاز الظاهري أو VMSS إلى مجموعة حجم الجهاز الظاهري غير المدعومة التي يتم تشغيلها بشكل موثوق به (مثل M-Series) بعد الافتراضي إلى التشغيل الموثوق به.
لن يتم دعم إعادة تغيير حجم الجهاز الظاهري للتشطيب الموثوق به إلى عائلة حجم الجهاز الظاهري غير المدعومة مع التشغيل الموثوق به.
كتخفيف، يرجى تسجيل علامة UseStandardSecurityType الميزة ضمن Microsoft.Compute مساحة الاسم والتراجع عن الجهاز الظاهري من التشغيل الموثوق به إلى Gen2 فقط (تشغيل غير موثوق به) عن طريق الإعداد securityType = Standard باستخدام أدوات العميل المتوفرة (باستثناء مدخل Microsoft Azure).
ملاحظات معاينة TLaD
تواصل معنا مع أي ملاحظات أو استعلامات أو مخاوف بشأن هذا التغيير القادم في استطلاع ملاحظات المعاينة الافتراضية للمعاينة الموثوق بها.
تعطيل معاينة TLaD
لتعطيل معاينة TLaD، قم بإلغاء تسجيل ميزة TrustedLaunchByDefaultPreview المعاينة ضمن Microsoft.Compute مساحة الاسم على اشتراك الجهاز الظاهري. لمزيد من المعلومات، راجع إلغاء تسجيل ميزة المعاينة
المحتوى ذو الصلة
نشر جهاز ظاهري لإطلاق موثوق به.