ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة
الإطلاق الموثوق به هو وسيلة لتحسين أمان الجيل 2 من الأجهزة الظاهرية. يحمي الإطلاق الموثوق به من تقنيات الهجوم المتقدمة والمستمرة من خلال الجمع بين تقنيات البنية التحتية مثل vTPM والتمهيد الآمن.
المتطلبات الأساسية
تحتاج إلى إعداد اشتراكك في Microsoft Defender for Cloud إذا لم يكن مشتركا بالفعل. يحتوي Microsoft Defender for Cloud على طبقة مجانية، والتي توفر رؤى مفيدة للغاية لمختلف موارد Azure و Hybrid. يعمل الإطلاق الموثوق به على الاستفادة من Defender for Cloud لعرض توصيات متعددة فيما يتعلق بصحة الجهاز الظاهري.
قم بتعيين مبادرات نهج Azure لاشتراكك. يجب تعيين مبادرات السياسة هذه مرة واحدة فقط لكل اشتراك. سيؤدي ذلك تلقائيا إلى تثبيت جميع الإضافات المطلوبة على جميع الأجهزة الظاهرية المدعومة.
تكوين المتطلبات الأساسية لتمكين Guest Attestation على الأجهزة الظاهرية التي تم تمكينها بواسطة Trusted Launch.
تكوين الأجهزة لتثبيت عوامل Azure Monitor وAzure Security تلقائيا على الأجهزة الظاهرية.
السماح بعلامة الخدمة AzureAttestation في قواعد NSG الصادرة للسماح بنسبة استخدام الشبكة ل Microsoft Azure Attestation. راجع علامات خدمة الشبكة الظاهرية.
تأكد من أن نهج جدار الحماية تسمح بالوصول إلى *.attest.azure.net.
إشعار
إذا كنت تستخدم صورة Linux وتتوقع أن يكون لدى الجهاز الظاهري برامج تشغيل نواة إما غير موقعة أو غير موقعة من قبل مورد توزيعة Linux، فقد تحتاج إلى التفكير في إيقاف تشغيل التمهيد الآمن. في مدخل Microsoft Azure، في صفحة "إنشاء جهاز ظاهري" لمعلمة "نوع الأمان" مع تحديد "أجهزة التشغيل الظاهرية الموثوق بها"، انقر فوق "تكوين ميزات الأمان" وقم بإلغاء تحديد خانة الاختيار "تمكين التمهيد الآمن". في CLI أو PowerShell أو SDK، قم بتعيين معلمة التمهيد الآمن إلى false.
نشر جهاز ظاهري موثوق به للتشغيل
قم بإنشاء جهاز ظاهري مع تمكين التشغيل الموثوق به. اختر أحد الخيارات أدناه:
في صفحة Virtual Machines، حدد Add ثم حدد Virtual Machine.
أسفل Project details، تأكد من تحديد الاشتراك الصحيح.
أسفل Resource group، حدد Create new واكتب اسماً لمجموعة الموارد أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
ضمن تفاصيل المثيل، اكتب اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
بالنسبة لنوع الأمانحدد تشغيل الأجهزة الظاهرية الموثوق بها. سيؤدي ذلك إلى ظهور ثلاثة خيارات أخرى - التمهيد الآمن وvTPM ومراقبة التكامل. حدد الخيارات المناسبة للنشر. لمعرفة المزيد حول ميزات الأمان الموثوق بها التي تم تمكين تشغيلها.
ضمن صورة، حدد صورة من صور Gen 2 الموصى بها المتوافقة مع الإصدار الموثوق به. للحصول على قائمة، راجع التشغيل الموثوق به.
تلميح
إذا كنت لا ترى إصدار Gen 2 من الصورة التي تريدها في القائمة المنسدلة، فحدد عرض جميع الصور ثم قم بتغيير عامل تصفية نوع الأمان إلى التشغيل الموثوق به.
حدد حجم جهاز ظاهري يدعم التشغيل الموثوق به. راجع قائمة الأحجام المدعومة.
املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
في أسفل الصفحة، حدد Review + create
في الصفحة Create a virtual machine، يمكنك مشاهدة التفاصيل حول جهاز ظاهري أنت على وشك إنشائه. بمجرد أن يظهر التحقق من الصحة كما تم تمريره، حددإنشاء.
سيستغرق نشر الجهاز الظاهري بضع دقائق.
تأكد من تشغيل أحدث إصدار من Azure CLI
تسجيل الدخول إلى Azure باستخدام az login.
az login
قم بإنشاء جهاز ظاهري باستخدام التشغيل الموثوق به.
az group create -n myresourceGroup -l eastus
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Canonical:UbuntuServer:18_04-lts-gen2:latest \
--admin-username azureuser \
--generate-ssh-keys \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true
بالنسبة إلى الأجهزة الظاهرية الموجودة، يمكنك تمكين إعدادات التمهيد الآمن و vTPM أو تعطيلها. سيؤدي تحديث الجهاز الظاهري بإعدادات التمهيد الآمن و vTPM إلى إعادة التشغيل التلقائي.
az vm update \
--resource-group myResourceGroup \
--name myVM \
--enable-secure-boot true \
--enable-vtpm true
لمزيد من المعلومات حول تثبيت مراقبة تكامل التمهيد من خلال ملحق Guest Attestation، راجع تكامل التمهيد.
من أجل توفير جهاز ظاهري مع التشغيل الموثوق به، يجب أولا تمكينه TrustedLaunch باستخدام Set-AzVmSecurityProfile cmdlet. ثم يمكنك استخدام Set-AzVmUefi cmdlet لتعيين تكوين vTPM و SecureBoot. استخدم المقتطف أدناه كبداية سريعة، تذكر استبدال القيم الواردة في هذا المثال بالقيم الخاصة بك.
يمكنك نشر الأجهزة الظاهرية الموثوق بها باستخدام قالب التشغيل السريع:
Linux
Windows
نشر جهاز ظاهري لإطلاق موثوق به من صورة معرض حوسبة Azure
تدعم الأجهزة الظاهرية لإطلاق Azure الموثوق بها إنشاء الصور المخصصة ومشاركتها باستخدام Azure Compute Gallery. هناك نوعان من الصور التي يمكنك إنشاؤها، استنادا إلى أنواع الأمان للصورة:
البحث عن إصدارات صور الجهاز الظاهري وتحديدها في شريط البحث
في صفحة VM image versions ، حدد Create.
في صفحة Create VM image version ، في علامة التبويب Basics :
حدد اشتراك Azure.
قم بتحديد مجموعة موارد موجودة أو أنشئ مجموعة موارد جديدة.
حدد منطقة Azure.
أدخل رقم إصدار الصورة.
بالنسبة للمصدر، حدد إما Storage Blobs (VHD) أو Managed Image أو إصدار صورة جهاز ظاهري آخر
إذا حددت Storage Blobs (VHD)، أدخل قرص نظام التشغيل VHD (بدون حالة ضيف الجهاز الظاهري). تأكد من استخدام Gen 2 VHD.
إذا حددت صورة مدارة، فحدد صورة مدارة موجودة لجهاز ظاهري من الجيل الثاني.
إذا حددت إصدار صورة الجهاز الظاهري، فحدد إصدار صورة المعرض الحالي لجهاز ظاهري Gen2.
بالنسبة إلى معرض حساب Azure الهدف، حدد أو أنشئ معرضا لمشاركة الصورة.
بالنسبة لحالة نظام التشغيل، حدد إما عام أو متخصص وفقا لحالة الاستخدام الخاصة بك. إذا كنت تستخدم صورة مدارة كمصدر، فحدد "Generalized" دائما. إذا كنت تستخدم كائن ثنائي كبير الحجم للتخزين (VHD) وتريد تحديد عام، فاتبع الخطوات لتعميم Linux VHD أو تعميم Windows VHD قبل المتابعة. إذا كنت تستخدم إصدار صورة جهاز ظاهري موجود، فحدد إما عام أو متخصص استنادا إلى ما يتم استخدامه في تعريف صورة الجهاز الظاهري المصدر.
بالنسبة إلى Target VM Image Definition، حدد Create new.
في جزء Create a VM image definition ، أدخل اسما للتعريف. تأكد من تعيين نوع الأمان إلى Trustedlaunch Supported. أدخل معلومات الناشر والعرض وSKU. ثم حدد موافق.
في علامة التبويب Replication ، أدخل عدد النسخ المتماثلة والمناطق المستهدفة للنسخ المتماثل للصور، إذا لزم الأمر.
في علامة التبويب Encryption ، أدخل معلومات متعلقة بتشفير SSE، إذا لزم الأمر.
حدد "استعراض + إنشاء".
بعد التحقق من صحة التكوين بنجاح، حدد Create لإنهاء إنشاء الصورة.
بعد إنشاء إصدار الصورة، حدد Create VM.
في صفحة إنشاء جهاز ظاهري، أسفل مجموعة الموارد، حدد إنشاء جديد واكتب اسمًا لمجموعة الموارد أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
ضمن تفاصيل المثيل، اكتب اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
حدد Trusted launch virtual machines كنوع أمان. يتم تمكين خانتي الاختيار التمهيد الآمن وvTPM بشكل افتراضي.
املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
في صفحة التحقق من الصحة، راجع تفاصيل الجهاز الظاهري.
بعد نجاح التحقق من الصحة، حدد Create لإنهاء إنشاء الجهاز الظاهري.
تأكد من تشغيل أحدث إصدار من Azure CLI
تسجيل الدخول إلى Azure باستخدام az login.
az login
إنشاء تعريف صورة باستخدام نوع الأمان TrustedLaunchSupported
استخدم قرص نظام التشغيل VHD لإنشاء إصدار صورة. تأكد من تعميم Linux VHD قبل التحميل إلى كائن ثنائي كبير الحجم لحساب تخزين Azure باستخدام الخطوات الموضحة هنا
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
إنشاء جهاز ظاهري لإطلاق موثوق به من إصدار الصورة أعلاه
لإنشاء صورة معرض الحساب في Azure من جهاز ظاهري، افتح جهازًا ظاهريًا للتشغيل موثوق به موجودًا وحدد التقاط.
في صفحة إنشاء صورة التي تلي ذلك، اسمح بمشاركة الصورة في المعرض كإصدار صورة جهاز ظاهري. لا يتم دعم إنشاء الصور المُدارة للأجهزة الظاهرية الموثوق بها.
يمكنك إنشاء معرض الحساب في Azure الهدف الجديد أو تحديد معرض موجود.
حدد حالة نظام التشغيل إما معممة أو مخصصة. إذا كنت تريد إنشاء صورة عامة، فتأكد من تعميم الجهاز الظاهري لإزالة المعلومات الخاصة بالجهاز قبل تحديد هذا الخيار. إذا تم تمكين التشفير المستند إلى Bitlocker عند التشغيل الموثوق به لنظام التشغيل Windows VM، فقد لا تتمكن من تعميمه.
أنشئ تعريف صورة جديدًا من خلال توفير تفاصيل الاسم والناشر والعرض وSKU. يجب بالفعل تعيين نوع الأمان الخاص بتعريف الصورة على التشغيل الموثوق به.
وفّر رقم إصدار لإصدار الصورة.
عدّل خيارات النسخ المتماثل إذا لزم الأمر.
في أسفل صفحة إنشاء صورة، حدد مراجعة + إنشاء وعندما يظهر التحقق من الصحة على أنه تم تمريره، حدد إنشاء.
بمجرد إنشاء إصدار الصورة، انتقل إلى إصدار الصورة مباشرة. بدلاً من ذلك، يمكنك الانتقال إلى إصدار الصورة المطلوب من خلال تعريف الصورة.
في صفحة إصدار صورة الجهاز الظاهري، حدد + إنشاء جهاز ظاهري للانتقال إلى صفحة إنشاء جهاز ظاهري.
في صفحة إنشاء جهاز ظاهري، أسفل مجموعة الموارد، حدد إنشاء جديد واكتب اسمًا لمجموعة الموارد أو حدد مجموعة موارد موجودة من القائمة المنسدلة.
ضمن تفاصيل المثيل، اكتب اسما لاسم الجهاز الظاهري واختر منطقة تدعم التشغيل الموثوق به.
يتم ملء الصورة ونوع الأمان بالفعل استنادًا إلى إصدار الصورة المحدد. يتم تمكين خانتي الاختيار التمهيد الآمن وvTPM بشكل افتراضي.
املأ معلومات حساب المسؤول ثم قواعد المنفذ الوارد.
في أسفل الصفحة، حدد Review + create
في صفحة التحقق من الصحة، راجع تفاصيل الجهاز الظاهري.
بعد نجاح التحقق من الصحة، حدد Create لإنهاء إنشاء الجهاز الظاهري.
إذا كنت ترغب في استخدام قرص مُدار أو لقطة قرص مُدار كمصدر لإصدار الصورة (بدلاً من جهاز تشغيل موثوق به)، فاستخدم الخطوات التالية
أدخل الاشتراك ومجموعة الموارد والمنطقة ورقم إصدار الصورة
حدد المصدر كـ أقراص و/أو لقطات
حدد قرص نظام التشغيل كقرص مُدار أو لقطة قرص مُدارة من القائمة المنسدلة
حدد معرض الحساب في Azure المستهدف لإنشاء الصورة ومشاركتها. في حالة عدم وجود معرض، قم بإنشاء معرض جديد.
حدد حالة نظام التشغيل إما معممة أو مخصصة. إذا كنت تريد إنشاء صورة عامة، فتأكد من تعميم القرص أو اللقطة لإزالة المعلومات الخاصة بالجهاز.
بالنسبة إلى تعريف صورة الجهاز الظاهري المستهدف، حدد إنشاء جديد. في النافذة التي تفتح، حدد اسم تعريف الصورة وتأكد من تعيين نوع الأمان على التشغيل الموثوق به. أدخل معلومات الناشر والعرض ورقم التخزين التعريفي وحدد موافق.
يمكن استخدام علامة تبويب النسخ المتماثل لتعيين عدد النسخ المتماثلة والمناطق المستهدفة لنسخ الصورة، إذا لزم الأمر.
يمكن أيضًا استخدام علامة تبويب التشفير لتوفير المعلومات المتعلقة بتشفير SSE، إذا لزم الأمر.
حدد إنشاء في علامة تبويب مراجعة + إنشاء لإنشاء الصورة
بمجرد إنشاء إصدار الصورة بنجاح، حدد + إنشاء جهاز ظاهري للوصول إلى صفحة إنشاء جهاز ظاهري.
اتبع الخطوات من 12 إلى 18 كما ذكر سابقا لإنشاء جهاز ظاهري لإطلاق موثوق به باستخدام إصدار الصورة هذا
تأكد من تشغيل أحدث إصدار من Azure CLI
تسجيل الدخول إلى Azure باستخدام az login.
az login
إنشاء تعريف صورة باستخدام نوع الأمان TrustedLaunch
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
في حالة الحاجة إلى استخدام قرص مُدار أو لقطة قرص مُدار كمصدر للصورة لإصدار الصورة، استبدل الصورة المُدارة في الأمر أعلاه بـ --os-snapshot وقم بتوفير اسم القرص أو مورد اللقطة
إنشاء جهاز ظاهري لإطلاق موثوق به من إصدار الصورة أعلاه
بالنسبة إلى الأجهزة الظاهرية التي تم إنشاؤها مع تمكين التشغيل الموثوق به، يمكنك عرض تكوين التشغيل الموثوق به عن طريق زيارة صفحة نظرة عامة للجهاز الظاهري في مدخل Microsoft Azure. ستعرض علامة التبويب خصائص حالة ميزات التشغيل الموثوق به:
لتغيير تكوين التشغيل الموثوق به، في القائمة اليمنى، ضمن قسم الإعدادات، حدد Configuration. يمكنك تمكين أو تعطيل التمهيد الآمن وvTPM ومراقبة التكامل من قسم نوع الأمان. حدد حفظ في أعلى الصفحة عند الانتهاء.
إذا كان الجهاز الظاهري قيد التشغيل، فستتلقى رسالة تفيد بأنه سيتم إعادة تشغيل الجهاز الظاهري. حدد نعم ثم انتظر حتى تتم إعادة تشغيل الجهاز الظاهري حتى تصبح التغييرات سارية المفعول.
الخطوات التالية
تعرف على المزيد حول التشغيل الموثوق به ومراقبة تكامل التمهيد VMs.