تمكين التشغيل الموثوق به على أجهزة Azure الظاهرية الموجودة

ينطبق على: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM

تدعم أجهزة Azure الظاهرية تمكين تشغيل Azure Trusted على الأجهزة الظاهرية الموجودة من الجيل 2 (VMs) من Azure عن طريق الترقية إلى نوع أمان التشغيل الموثوق به.

التشغيل الموثوق به هو طريقة لتمكين أمان الحوسبة الأساسية على أجهزة Azure الظاهرية من الجيل 2 ويحمي من تقنيات الهجوم المتقدمة والمستمرة مثل مجموعات التمهيد وrostkits. وهو يفعل ذلك من خلال الجمع بين تقنيات البنية الأساسية مثل التمهيد الآمن ووحدة النظام الأساسي الموثوق به الظاهرية (vTPM) ومراقبة تكامل التمهيد على الجهاز الظاهري الخاص بك.

هام

يوجد حاليا دعم لتمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة من الجيل 1 من Azure في المعاينة الخاصة. يمكنك الوصول إلى المعاينة باستخدام نموذج التسجيل.

المتطلبات الأساسية

• تم تكوين Azure Generation 2 VM مع:
  • عائلة الحجم المدعومة التي يتم تشغيلها موثوق بها.
  • صورة نظام التشغيل المعتمد (OS) الموثوق به. بالنسبة لصور نظام التشغيل المخصصة أو الأقراص، يجب أن تكون الصورة الأساسية موثوقا بها قادرة على التشغيل.
• لا يستخدم Azure Generation 2 VM ميزات غير مدعومة حاليا مع التشغيل الموثوق به.
• يجب إيقاف أجهزة Azure الظاهرية من الجيل 2 وإلغاء تخصيصها قبل تمكين نوع أمان التشغيل الموثوق به.
• يجب تكوين Azure Backup، إذا تم تمكينه، للأجهزة الظاهرية باستخدام نهج النسخ الاحتياطي المحسن. لا يمكن تمكين نوع أمان التشغيل الموثوق به للأجهزة الظاهرية من الجيل 2 التي تم تكوينها باستخدام حماية النسخ الاحتياطي للنهج القياسي.
  • يمكن ترحيل النسخ الاحتياطي الحالي لجهاز Azure الظاهري من Standard إلى النهج المحسن . اتبع الخطوات الواردة في ترحيل النسخ الاحتياطية لجهاز Azure الظاهري من النهج القياسي إلى النهج المحسن (معاينة).

أفضل الممارسات

• تمكين التشغيل الموثوق به على اختبار من الجيل 2 VM وتحديد ما إذا كانت هناك حاجة إلى أي تغييرات لتلبية المتطلبات الأساسية قبل تمكين التشغيل الموثوق به على الأجهزة الظاهرية من الجيل 2 المقترنة بأحمال عمل الإنتاج.
• إنشاء نقاط استعادة لأجهزة Azure الظاهرية من الجيل 2 المقترنة بأحمال عمل الإنتاج قبل تمكين نوع أمان التشغيل الموثوق به. يمكنك استخدام نقاط الاستعادة لإعادة إنشاء الأقراص والجيل 2 VM مع الحالة المعروفة السابقة.

تمكين التشغيل الموثوق به على جهاز ظاهري موجود

إشعار

• بعد تمكين التشغيل الموثوق به، لا يمكن إرجاع الأجهزة الظاهرية حاليا إلى نوع الأمان القياسي (تكوين التشغيل غير الموثوق به).
• يتم تمكين vTPM بشكل افتراضي.
• نوصي بتمكين التمهيد الآمن، إذا كنت لا تستخدم نواة أو برامج تشغيل مخصصة غير موقعة. لا يتم تمكينه افتراضيًا. يحافظ التمهيد الآمن على تكامل التمهيد ويمكن الأمان الأساسي للأجهزة الظاهرية.

بوابة

تمكين التشغيل الموثوق به على جهاز ظاهري موجود من الجيل 2 من Azure باستخدام مدخل Microsoft Azure.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. تأكد من أن جيل الجهاز الظاهري هو V2 وحدد إيقاف للجهاز الظاهري.

   

3. في صفحة Overview في خصائص الجهاز الظاهري، ضمن Security type، حدد Standard. تفتح صفحة التكوين للجهاز الظاهري.

   

4. في صفحة التكوين ، ضمن قسم نوع الأمان، حدد القائمة المنسدلة نوع الأمان.

   

5. ضمن القائمة المنسدلة، حدد تشغيل موثوق به. حدد خانات الاختيار لتمكين التمهيد الآمن وvTPM. بعد إجراء التغييرات، حدد حفظ.

   إشعار

   • لا يمكن ترقية الأجهزة الظاهرية من الجيل 2 التي تم إنشاؤها باستخدام Azure Compute Gallery (ACG) أو الصورة المدارة أو قرص نظام التشغيل إلى Trusted launch باستخدام المدخل. تأكد من دعم إصدار نظام التشغيل للاطلاق الموثوق به. استخدم PowerShell أو Azure CLI أو قالب Azure Resource Manager (قالب ARM) لتشغيل الترقية.

   

6. بعد انتهاء التحديث بنجاح، أغلق صفحة التكوين . في صفحة نظرة عامة في خصائص الجهاز الظاهري، تأكد من إعدادات نوع الأمان.

   

7. بدء تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته. تحقق من أنه يمكنك تسجيل الدخول إلى الجهاز الظاهري باستخدام إما بروتوكول سطح المكتب البعيد (RDP) لأجهزة Windows الظاهرية أو بروتوكول Shell الآمن (SSH) لأجهزة Linux الظاهرية.

المبادره القطريه

اتبع الخطوات لتمكين التشغيل الموثوق به على جهاز Azure ظاهري موجود من الجيل 2 باستخدام Azure CLI.

تأكد من تثبيت أحدث Azure CLI وتسجيل الدخول إلى حساب Azure باستخدام az login.

1. سجل الدخول إلى اشتراك VM Azure.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. الغ تخصيص الجهاز الظاهري.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. تمكين التشغيل الموثوق به عن طريق تعيين --security-type إلى TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. تحقق من صحة إخراج الأمر السابق. تأكد من securityProfile إرجاع التكوين مع إخراج الأمر.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. تشغيل الجهاز الظاهري.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. بدء تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته. تحقق من أنه يمكنك تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (لأجهزة Windows الظاهرية) أو SSH (لأجهزة Linux الظاهرية).

بوويرشيل

اتبع الخطوات لتمكين التشغيل الموثوق به على جهاز Azure ظاهري موجود من الجيل 2 باستخدام Azure PowerShell.

تأكد من تثبيت أحدث Azure PowerShell وتسجيل الدخول إلى حساب Azure باستخدام Connect-AzAccount.

1. سجل الدخول إلى اشتراك VM Azure.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. الغ تخصيص الجهاز الظاهري.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. تمكين التشغيل الموثوق به عن طريق تعيين -SecurityType إلى TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. securityProfile التحقق من الصحة في تكوين الجهاز الظاهري المحدث.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. تشغيل الجهاز الظاهري.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. بدء تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته. تحقق من أنه يمكنك تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (لأجهزة Windows الظاهرية) أو SSH (لأجهزة Linux الظاهرية).

القالب

اتبع الخطوات لتمكين التشغيل الموثوق به على جهاز Azure ظاهري موجود من الجيل 2 باستخدام قالب ARM.

قالب Azure Resource Manager هو ملف JavaScript Object Notation (JSON) الذي يحدد البنية الأساسية والتكوين لمشروعك. يستخدم القالب عبارات توضيحية. يمكنك وصف النشر المقصود دون كتابة تسلسل أوامر البرمجة لإنشاء النشر.

1. راجع القالب.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. قم بتحرير parameters ملف JSON باستخدام الأجهزة الظاهرية TrustedLaunch ليتم تحديثه بنوع الأمان.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   تعريف ملف المعلمة

   الخاصية	وصف الممتلكات	مثال على قيمة القالب
   vmName	اسم Azure Generation 2 VM.	myVm
   مكان	موقع Azure Generation 2 VM.	westus3
   SecureBootEnabled	تمكين التمهيد الآمن باستخدام نوع أمان التشغيل الموثوق به.	true

3. إلغاء تخصيص جميع الأجهزة الظاهرية من الجيل 2 من Azure ليتم تحديثها.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. تشغيل نشر قالب ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. بدء تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته. تحقق من أنه يمكنك تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (لأجهزة Windows الظاهرية) أو SSH (لأجهزة Linux الظاهرية).

توصية Azure Advisor

يقوم Azure Advisor بتعبئة تمكين التميز التأسيسي للإطلاق الموثوق به، والأمان الحديث لتوصية التميز التشغيلي للأجهزة الظاهرية من الجيل 2 الحالية للأجهزة الظاهرية من الجيل الثاني لاعتماد التشغيل الموثوق به، وهو وضع أمان أعلى لأجهزة Azure الظاهرية دون أي تكلفة إضافية عليك. تأكد من أن الجهاز الظاهري من الجيل 2 لديه جميع المتطلبات الأساسية للترحيل إلى التشغيل الموثوق به، واتبع جميع أفضل الممارسات بما في ذلك التحقق من صحة صورة نظام التشغيل وحجم الجهاز الظاهري وإنشاء نقاط استعادة. لكي تعتبر توصية Advisor كاملة، اتبع الخطوات الموضحة في تمكين التشغيل الموثوق به على جهاز ظاهري موجود لترقية نوع أمان الأجهزة الظاهرية وتمكين التشغيل الموثوق به.

ماذا لو كان هناك أجهزة ظاهرية من الجيل 2، لا تتناسب مع المتطلبات الأساسية للإطلاق الموثوق به؟

بالنسبة إلى الجهاز الظاهري من الجيل 2، الذي لم يفي بالمتطلبات الأساسية للترقية إلى التشغيل الموثوق به، ابحث عن كيفية استيفاء المتطلبات الأساسية. على سبيل المثال، إذا كان استخدام حجم جهاز ظاهري غير مدعوم، فالرجاء البحث عن حجم مكافئ معتمد لإطلاق موثوق به يدعم التشغيل الموثوق به.

إشعار

يرجى تجاهل التوصية إذا تم تكوين الجهاز الظاهري Gen2 مع مجموعات حجم الجهاز الظاهري غير المدعومة حاليا مع التشغيل الموثوق به مثل سلسلة MSv2.

المحتوى ذو الصلة

• تمكين التشغيل الموثوق به لنشر الجهاز الظاهري الجديد. لمزيد من التفاصيل، راجع نشر أجهزة التشغيل الظاهرية الموثوق بها
• بعد الترقيات، نوصي بتمكين مراقبة تكامل التمهيد لمراقبة صحة الجهاز الظاهري باستخدام Microsoft Defender for Cloud.
• تعرف على المزيد حول التشغيل الموثوق به ومراجعة الأسئلة المتداولة.