Habilitar el inicio seguro en máquinas virtuales de Azure existentes

Se aplica a: ✔️ Máquina virtual de Linux ✔️ máquina virtual de Windows ✔️ máquina virtual de Generation 2

Azure Virtual Machines admite la habilitación del inicio seguro de Azure en máquinas virtuales (VM) existentes de Azure Generation 2 mediante la actualización al tipo de seguridad Inicio seguro.

Inicio seguro es una manera de habilitar la seguridad de proceso fundamental en Máquinas virtuales de Azure Generation 2 y protege contra técnicas de ataque avanzadas y persistentes, como kits de arranque y rootkits. Para ello, combina tecnologías de infraestructura como arranque seguro, módulo de plataforma segura virtual (vTPM) y supervisión de integridad de arranque en la máquina virtual.

Importante

La compatibilidad con la habilitación del inicio seguro en máquinas virtuales existentes de Azure de generación 1 se encuentra actualmente en versión preliminar privada. Puede obtener acceso a la versión preliminar mediante elformulario de registro.

Requisitos previos

• Las máquinas virtuales de Azure Generation 2 están configuradas con:
  • Familia de tamaño admitido con el inicio seguro.
  • imagen compatible con el sistema operativo (SO) de inicio seguro. En el caso de las imágenes o discos del sistema operativo personalizados, la imagen base debe ser compatible con el inicio seguro.
• La máquina virtual de Azure Generation 2no usa características de actualmente no se admite con el inicio seguro.
• Las máquinas virtuales de Azure Generation 2 deben estar detenidas y desasignadas antes de habilitar el tipo de seguridad inicio seguro.
• Azure Backup, si está habilitado, para las máquinas virtuales debe configurarse con la Directiva de copia de seguridad mejorada. El tipo de seguridad De inicio seguro no se puede habilitar para las máquinas virtuales de generación 2 configuradas con directiva estándar protección de copia de seguridad.
  • La copia de seguridad de máquina virtual de Azure existente se puede migrar desde el Estándar a la directiva de Mejorado. Siga los pasos descritos en Migración de copias de seguridad de máquinas virtuales de Azure de Estándar a Directiva mejorada (versión preliminar).

procedimientos recomendados

• Habilite el inicio de confianza en una máquina virtual de la generación 2 de prueba y determine si se requieren cambios para cumplir los requisitos previos antes de habilitar el inicio seguro en máquinas virtuales de generación 2 asociadas a cargas de trabajo de producción.
• Creación de puntos de restauración para máquinas virtuales de Azure Generation 2 asociadas a cargas de trabajo de producción antes de habilitar el tipo de seguridad inicio seguro. Puede usar los puntos de restauración para volver a crear los discos y la máquina virtual de generación 2 con el estado conocido anterior.

Habilitación del inicio seguro en una máquina virtual existente

Nota:

• Después de habilitar el inicio seguro, las máquinas virtuales actualmente no se pueden revertir al tipo de seguridad Estándar (configuración de inicio no de confianza).
• vTPM está habilitado de manera predeterminada.
• Se recomienda habilitar el arranque seguro si no usa controladores o kernel sin firmar personalizados. que no está habilitado de manera predeterminada. El arranque seguro conserva la integridad del arranque y habilita la seguridad básica para las máquinas virtuales.

Portal

Habilite el inicio seguro en una máquina virtual de Azure Generation 2 existente mediante Azure Portal.

1. Inicie sesión en Azure Portal.

2. Confirme que la generación de máquinas virtuales está V2 y seleccione Detener para la máquina virtual.

   

3. En la página Información general de las propiedades de la máquina virtual, en Tipo de seguridad, seleccione Estándar. Se abre la página Configuración de la máquina virtual.

   

4. En la página Configuración, en la sección Tipo de seguridad , seleccione la lista desplegable Tipo de seguridad.

   

5. En la lista desplegable, seleccione inicio seguro. Active las casillas para habilitar Arranque seguro y vTPM. Después de realizar los cambios, seleccione Guardar.

   Nota:

   • Las máquinas virtuales de generación 2 creadas mediante Azure Compute Gallery (ACG), imagen administradao un disco del sistema operativo no se pueden actualizar al inicio seguro mediante el portal. Asegúrese de que la versión del sistema operativo de sea compatible con el inicio seguro. Use PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager (plantilla de ARM) para ejecutar la actualización.

   

6. Una vez finalizada correctamente la actualización, cierre la página Configuración. En la página Información general de las propiedades de la máquina virtual, confirme la configuración de Tipo de seguridad.

   

7. Inicie la máquina virtual de inicio seguro actualizada. Compruebe que puede iniciar sesión en la máquina virtual mediante el Protocolo de escritorio remoto (RDP) para máquinas virtuales Windows o el Protocolo Secure Shell (SSH) para máquinas virtuales Linux.

CLI

Siga los pasos para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2 mediante la CLI de Azure.

Asegúrese de instalar el CLI de Azure más reciente e inicie sesión en una cuenta de Azure con az login.

1. Inicie sesión en la suscripción de Azure de máquina virtual.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Desasigne la máquina virtual.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Habilite el inicio seguro estableciendo --security-type en TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Valide la salida del comando anterior. Asegúrese de que la configuración de securityProfile se devuelve con la salida del comando.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Inicie la máquina virtual.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Inicie la máquina virtual de inicio seguro actualizada. Compruebe que puede iniciar sesión en la máquina virtual mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

PowerShell

Siga los pasos para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2 mediante Azure PowerShell.

Asegúrese de instalar la Azure PowerShellmás reciente e inicie sesión en una cuenta de Azure con Connect-AzAccount.

1. Inicie sesión en la suscripción de Azure de máquina virtual.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Desasigne la máquina virtual.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Habilite el inicio seguro estableciendo -SecurityType en TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Valide securityProfile en la configuración de máquina virtual actualizada.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Inicie la máquina virtual.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Inicie la máquina virtual de inicio seguro actualizada. Compruebe que puede iniciar sesión en la máquina virtual mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

Plantilla

Siga los pasos para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2 mediante una plantilla de ARM.

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Se describe la implementación deseada sin escribir la secuencia de comandos de programación para crear la implementación.

1. Revise la plantilla.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Edite el archivo JSON parameters con máquinas virtuales que se actualizarán con el tipo de seguridad TrustedLaunch.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definición del archivo de parámetros

   Propiedad	Descripción de la propiedad	Valor de la plantilla de ejemplo
   vmName	Nombre de la máquina virtual de Azure Generation 2.	myVm
   ubicación	Ubicación de la máquina virtual de Azure Generation 2.	westus3
   secureBootEnabled	Habilite Arranque seguro con el tipo de seguridad Inicio seguro.	true

3. Desasigne todas las máquinas virtuales de Azure Generation 2 que se van a actualizar.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Ejecute la implementación de la plantilla de ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Inicie la máquina virtual de inicio seguro actualizada. Compruebe que puede iniciar sesión en la máquina virtual mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

Recomendación de Azure Advisor

Azure Advisor incluye una recomendación de excelencia operativa Habilitar el inicio seguro y la seguridad moderna para máquinas virtuales de generación 2 existentes para que las máquinas virtuales de generación 2 existentes adopten el inicio seguro, una posición de seguridad más alta para las máquinas virtuales de Azure sin costo adicional. Asegúrese de que la máquina virtual de generación 2 tiene todos los requisitos previos para migrar al inicio seguro, siga todos los procedimientos recomendados, como la validación de la imagen del sistema operativo, el tamaño de máquina virtual y la creación de puntos de restauración. Para que la recomendación de Advisor se considere completa, siga los pasos descritos en el Habilitar inicio seguro en una máquina virtual existente para actualizar el tipo de seguridad de las máquinas virtuales y habilitar el inicio seguro.

¿Qué ocurre si hay máquinas virtuales de generación 2, que no se ajustan a los requisitos previos para el inicio seguro?

En el caso de una máquina virtual de generación 2, que no cumple los requisitos previos para actualizar al inicio seguro, consulte cómo cumplir los requisitos previos. Por ejemplo, si no se admite el uso de un tamaño de máquina virtual, busque una tamaño compatible con inicio seguro equivalente que admita el inicio seguro.

Nota:

Descarte la recomendación si la máquina virtual Gen2 está configurada con familias de tamaño de máquina virtual que actualmente no se admiten con el inicio seguro, como la serie MSv2.

Contenido relacionado

• Habilite Inicio seguro para nuevas implementaciones de máquinas virtuales. Para más información, consulte Implementación de máquinas virtuales de inicio seguro.
• Después de las actualizaciones, se recomienda habilitar la supervisión de la integridad de arranque para supervisar el estado de la máquina virtual mediante Microsoft Defender for Cloud.
• Obtenga más información sobre el inicio seguro y revise las preguntas más frecuentes.