التشغيل الموثوق به لأجهزة Azure الظاهرية

ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة

يقدم Azure إطلاق موثوق به كطريقة سلسة لتحسين أمان الأجهزة الظاهرية من الجيل 2 (VMs). يحمي التشغيل الموثوق به من تقنيات الهجوم المتقدمة والمستمرة. يتكون الإطلاق الموثوق به من العديد من تقنيات البنية الأساسية المنسقة التي يمكن تمكينها بشكل مستقل. توفر كل تقنية طبقة أخرى من الحماية ضد التهديدات المتطورة.

هام

• يتم تحديد التشغيل الموثوق به كحالة افتراضية لأجهزة Azure الظاهرية التي تم إنشاؤها حديثا. إذا كان الجهاز الظاهري الجديد يتطلب ميزات غير مدعومة من قبل Trusted Launch، فشاهد الأسئلة المتداولة حول التشغيل الموثوق به.
• يمكن تمكين "تشغيل موثوق به" للأجهزة الظاهرية الموجودة بعد إنشائها. لمزيد من المعلومات، راجع تمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة.
• يمكن أن يكون لمجموعات مقياس الجهاز الظاهري الحالية (VMSS) تمكين "التشغيل الموثوق به" بعد إنشائها. لمزيد من المعلومات، راجع تمكين التشغيل الموثوق به على مجموعات التحجيم الموجودة.

المزايا

• توزيع الأجهزة الظاهرية بأمان مع أدوات تحميل التمهيد التي تم التحقق منها، ونواة نظام التشغيل (OS)، وبرامج التشغيل.
• حماية المفاتيح والشهادات والأسرار بأمان في الأجهزة الظاهرية.
• اكتساب رؤى وثقة تكامل سلسلة التمهيد بأكملها.
• تأكد من أن أحمال العمل موثوق بها ويمكن التحقق منها.

أحجام الأجهزة الظاهرية

نوع	عائلات الحجم المدعومة	عائلات الحجم غير المدعومة حاليا	عائلات الحجم غير المدعومة
الغرض العام	سلسلة B، سلسلة DCsv2، سلسلة DCsv3، سلسلة DCdsv3، Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddsv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, سلسلة Dldsv5	سلسلة Dpsv5، سلسلة Dpdsv5، سلسلة Dplsv5، سلسلة Dpldsv5	سلسلة Av2، سلسلة Dv2، سلسلة Dv3
الحوسبة المحسنة	سلسلة FX، سلسلة Fsv2	جميع الأحجام المدعومة.
الذاكرة المحسنة	Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series, Edv5-series, Edsv5-series	سلسلة Epsv5، وسلسلة Epdsv5، وسلسلة M، وسلسلة Msv2، وسلسلة Mdsv2 متوسطة الذاكرة، وسلسلة Mv2	سلسلة Ev3
التخزين المحسن	سلسلة Lsv2، سلسلة Lsv3، سلسلة Lasv3	جميع الأحجام المدعومة.
الجرافيك	سلسلة NCv2 وسلسلة NCv3 وسلسلة NCasT4_v3 وسلسلة NVv3 وسلسلة NVv4 وسلسلة NDv2 وسلسلة NC_A100_v4 وسلسلة NVadsA10 v5	سلسلة NDasrA100_v4، سلسلة NDm_A100_v4	سلسلة NC، سلسلة NV، سلسلة NP
حساب عالي الأداء	سلسلة HB، سلسلة HBv2، سلسلة HBv3، سلسلة HBv4، سلسلة HC، سلسلة HX	جميع الأحجام المدعومة.

إشعار

• لا يتطلب تثبيت برامج تشغيل CUDA و GRID على أجهزة Windows الظاهرية الممكنة للتمهيد الآمن أي خطوات إضافية.
• يتطلب تثبيت برنامج تشغيل CUDA على أجهزة Ubuntu الظاهرية الممكنة للتمهيد الآمن خطوات إضافية. لمزيد من المعلومات، راجع تثبيت برامج تشغيل NVIDIA GPU على الأجهزة الظاهرية من السلسلة N التي تعمل بنظام Linux. يجب تعطيل التمهيد الآمن لتثبيت برامج تشغيل CUDA على أجهزة Linux الظاهرية الأخرى.
• يتطلب تثبيت برنامج تشغيل GRID تعطيل التمهيد الآمن لأجهزة Linux الظاهرية.
• لا تدعم عائلات الحجم غير المدعومة الأجهزة الظاهرية من الجيل 2. قم بتغيير حجم الجهاز الظاهري إلى مجموعات الحجم المدعومة المكافئة لتمكين "التشغيل الموثوق به".

أنظمة التشغيل المدعومة

نظام التشغيل	إصدار
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3، 8.4، 8.5، 8.6، 8.7، 8.8 LVM، 9.0، 9.1 LVM
RedHat Enterprise Linux	8.4، 8.5، 8.6، 8.7، 8.8، 9.0، 9.1 LVM، 9.2
SUSE Enterprise Linux	15SP3، 15SP4، 15SP5
Ubuntu Server	18.04 LTS، 20.04 LTS، 22.04 LTS، 23.04، 23.10
Windows 10	Pro وEnterprise وEnterprise Multi-Session *
Windows 11	Pro وEnterprise وEnterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
خادم النافذة (إصدار Azure)	2022

* يتم دعم تباينات نظام التشغيل هذا.

مزيد من المعلومات

المناطق:

• جميع المناطق العامة
• جميع مناطق Azure Government
• جميع مناطق Azure China

التسعير: لا يؤدي التشغيل الموثوق به إلى زيادة تكاليف تسعير الجهاز الظاهري الحالية.

ميزات غير معتمدة

حاليا، ميزات الجهاز الظاهري التالية غير مدعومة مع "التشغيل الموثوق به":

• Azure Site Recovery (متوفر بشكل عام لنظام التشغيل Windows).
• صورة مدارة (يتم تشجيع العملاء على استخدام معرض حوسبة Azure).
• الظاهرية المتداخلة (دعم مجموعات حجم v5 VM).
• إسبات جهاز Linux الظاهري

التمهيد الآمن

في جذر التشغيل الموثوق به هو التمهيد الآمن للجهاز الظاهري الخاص بك. التمهيد الآمن، الذي يتم تنفيذه في البرنامج الثابت للنظام الأساسي، يحمي من تثبيت rootkits المستندة إلى البرامج الضارة ومجموعات التمهيد. تعمل Secure Boot للتأكد من أن برامج التشغيل وأنظمة التشغيل الموقّعة فقط يمكن تشغيلها. إنها تنشئ "جذر الثقة" لمكدس الذاكرة المؤقتة للبرامج على جهازك الظاهري.

مع تمكين التمهيد الآمن، تتطلب جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) توقيع ناشرين موثوق بهم. يدعم كل من Windows وتوزيعات Linux المحددة Secure Boot. إذا فشل التمهيد الآمن في المصادقة على أن الصورة موقعة من قبل ناشر موثوق به، يفشل الجهاز الظاهري في التمهيد. لمزيد من المعلومات، راجعSecure Boot.

vTPM

يقدم Trusted Launch أيضا وحدة النظام الأساسي الموثوق به الظاهرية (vTPM) لأجهزة Azure الظاهرية. يتوافق هذا الإصدار الظاهري من وحدة النظام الأساسي الموثوق به للأجهزة مع مواصفات TPM2.0. وهو بمثابة مخزن آمن مخصص للمفاتيح والقياسات.

يوفر التشغيل الموثوق به الجهاز الظاهري الخاص بك مع مثيل TPM المخصص الخاص به الذي يعمل في بيئة آمنة خارج نطاق أي جهاز ظاهري. يمكّن vTPM الإثبات عن طريق قياس سلسلة التمهيد الكاملة لجهازك الظاهري (UEFI ونظام التشغيل والنظام وبرامج تشغيل الجهاز).

يستخدم التشغيل الموثوق به vTPM لإجراء تصديق عن بعد من خلال السحابة. تمكن الإثباتات الفحوصات الصحية للنظام الأساسي وتستخدم لاتخاذ قرارات تستند إلى الثقة. كتحقق من الصحة، يمكن ل Trusted Launch التصديق بشكل مشفر على أن الجهاز الظاهري الخاص بك تم تشغيله بشكل صحيح.

إذا فشلت العملية، ربما لأن الجهاز الظاهري الخاص بك يقوم بتشغيل مكون غير مصرح به، فإن Microsoft Defender for Cloud يصدر تنبيهات التكامل. تتضمن التنبيهات تفاصيل حول المكونات التي فشلت في اجتياز فحوصات تكامل البيانات.

الأمان المستند إلى الظاهرية

يستخدم الأمان المستند إلى الظاهرية (VBS) برنامج تشغيل الآلة الافتراضية لإنشاء منطقة آمنة ومعزولة من الذاكرة. يستخدم Windows هذه المناطق لتشغيل حلول أمنية متنوعة مع حماية معززة ضد نقاط الضعف ومحاولات الاستغلال الضار. يتيح لك التشغيل الموثوق به تمكين تكامل التعليمات البرمجية لبرنامج hypervisor (HVCI) وWindows Defender Credential Guard.

HVCI هو تقليل فعّال للنظام يحمي عمليات وضع kernel على Windows من تنفيذ التعليمات البرمجية الضارة أو التي لم يتم التحقق منها. إنه يتحقق من برامج تشغيل وضع kernel والثنائيات قبل تشغيلها، ما يمنع الملفات غير المُوقّعة من التحميل في الذاكرة. تضمن عمليات التحقق أنه لا يمكن تعديل التعليمات البرمجية القابلة للتنفيذ بعد السماح بتحميلها. لمزيد من المعلومات حول VBS وHVCI، راجع الأمان المستند إلى الظاهرية وتكامل التعليمات البرمجية المفروضة على hypervisor.

باستخدام Trusted Launch وVBS، يمكنك تمكين Windows Defender Credential Guard. يعزل Credential Guard البيانات السرية ويحميها بحيث يمكن لبرنامج النظام المميز فقط الوصول إليها. يساعد على منع الوصول غير المصرح به إلى الأسرار وهجمات سرقة بيانات الاعتماد، مثل هجمات Pass-the-Hash. لمزيد من المعلومات، راجع Credential Guard.

تكامل Microsoft Defender for Cloud

تم دمج التشغيل الموثوق به مع Defender for Cloud للتأكد من تكوين الأجهزة الظاهرية بشكل صحيح. يقيم Defender for Cloud باستمرار الأجهزة الظاهرية المتوافقة ويصدر التوصيات ذات الصلة:

• توصية لتمكين التمهيد الآمن: تنطبق توصية التمهيد الآمن فقط على الأجهزة الظاهرية التي تدعم التشغيل الموثوق به. يحدد Defender for Cloud الأجهزة الظاهرية التي يمكنها تمكين التمهيد الآمن ولكن تم تعطيلها. تصدر توصية منخفضة الخطورة لتمكينها.

• توصية لتمكين vTPM: إذا تم تمكين vTPM لجهاز VM الخاص بك، يمكن ل Defender for Cloud استخدامه لإجراء تصديق الضيف وتحديد أنماط التهديد المتقدمة. إذا حدد Defender for Cloud الأجهزة الظاهرية التي تدعم التشغيل الموثوق به وتم تعطيل vTPM، فإنه يصدر توصية منخفضة الخطورة لتمكينه.

• توصية بتثبيت ملحق تصديق الضيف: إذا كان الجهاز الظاهري الخاص بك قد تم تمكين التمهيد الآمن وvTPM ولكن لم يتم تثبيت ملحق Guest Attestation، فإن Defender for Cloud يصدر توصيات منخفضة الخطورة لتثبيت ملحق Guest Attestation عليه. يسمح هذا الملحق ل Defender for Cloud بالمصادقة على تكامل التمهيد للأجهزة الظاهرية ومراقبته بشكل استباقي. تتم مصادقة تكامل بيانات التمهيد من خلال الإثبات البعيد.

• تقييم صحة التصديق أو مراقبة تكامل التمهيد: إذا كان الجهاز الظاهري الخاص بك قد تم تمكين التمهيد الآمن وvTPM وتم تثبيت ملحق التصديق، يمكن ل Defender for Cloud التحقق عن بعد من أن الجهاز الظاهري الخاص بك تم تمهيده بطريقة سليمة. تعرف هذه الممارسة باسم مراقبة تكامل التمهيد. يصدر Defender for Cloud تقييما يشير إلى حالة التصديق عن بعد.

  إذا تم إعداد الأجهزة الظاهرية الخاصة بك بشكل صحيح باستخدام Trusted Launch، يمكن ل Defender for Cloud اكتشاف المشاكل الصحية للجهاز الظاهري وتنبيهك إليها.

• تنبيه لفشل تصديق الجهاز الظاهري: يقوم Defender for Cloud بشكل دوري بإجراء التصديق على الأجهزة الظاهرية الخاصة بك. يحدث التصديق أيضا بعد تمهيد الجهاز الظاهري الخاص بك. إذا فشل التصديق، فإنه يؤدي إلى تنبيه متوسط الخطورة. يمكن أن يفشل إثبات الجهاز الظاهري للأسباب التالية:

  • المعلومات التي تمت مصادقتها، والتي تتضمن سجل التمهيد، تحيد عن الأساس الموثوق. يمكن أن يشير أي انحراف إلى أنه تم تحميل وحدات غير موثوق بها، ويمكن اختراق نظام التشغيل.

  • تعذر التحقق من اقتباس التصديق لينشأ من vTPM للجهاز الظاهري المصدق عليه. يمكن أن يشير الأصل الذي لم يتم التحقق من وجوده إلى وجود برامج ضارة ويمكن أن تعترض حركة المرور إلى vTPM.

    إشعار

    تتوفر التنبيهات للأجهزة الظاهرية مع تمكين vTPM وتثبيت ملحق Attestation. يجب تمكين Secure Boot حتى ينجح الإثبات. يفشل التصديق إذا تم تعطيل التمهيد الآمن. إذا كان من اللازم تعطيل Secure Boot، يمكنك منع هذا التنبيه لتجنب النتائج الإيجابية الخاطئة.

• تنبيه لوحدة Linux kernel النمطية غير الموثوق بها: بالنسبة للتشغيل الموثوق به مع تمكين التمهيد الآمن، من الممكن أن يقوم الجهاز الظاهري بالتمهيد حتى إذا فشل برنامج تشغيل kernel في التحقق من الصحة ويحظر تحميله. إذا حدث هذا السيناريو، يصدر Defender for Cloud تنبيهات منخفضة الخطورة. على الرغم من عدم وجود تهديد فوري، لأنه لم يتم تحميل برنامج التشغيل غير الموثوق به، يجب التحقيق في هذه الأحداث. سأل نفسك:

  • أي من برامج تشغيل kernel فشل؟ هل أنا على دراية بهذا السائق وهل أتوقع تحميله؟
  • هل هذا هو الإصدار الدقيق من برنامج التشغيل الذي أتوقعه؟ هل ثنائيات برامج تشغيل الجهاز سليمة؟ إذا كان هذا برنامج تشغيل تابعا لجهة خارجية، فهل اجتاز المورد اختبارات توافق نظام التشغيل للحصول على توقيع؟

المحتوى ذو الصلة

نشر جهاز ظاهري لإطلاق موثوق به.