Důvěryhodné spuštění pro virtuální počítače Azure

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Azure nabízí důvěryhodné spuštění jako bezproblémový způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2 . Trusted Launch chrání před pokročilými a trvalými technikami útoku. Trusted Launch se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami.

Důležité

• Jako výchozí stav pro nově vytvořené virtuální počítače Azure je vybráno důvěryhodné spuštění. Pokud váš nový virtuální počítač vyžaduje funkce, které důvěryhodné spuštění nepodporuje, podívejte se na nejčastější dotazy k důvěryhodnému spuštění.
• Existující virtuální počítače můžou mít po vytvoření povolené důvěryhodné spuštění. Další informace najdete v tématu Povolení důvěryhodného spuštění na existujících virtuálních počítačích.
• Existující škálovací sady virtuálních počítačů (VMSS) můžou mít po vytvoření povolené důvěryhodné spuštění. Další informace najdete v tématu Povolení důvěryhodného spuštění ve stávajících škálovacích sadách.

Zaměstnanecké výhody

• Bezpečně nasaďte virtuální počítače s ověřenými zavaděči spouštění, jádry operačního systému a ovladači.
• Bezpečně chraňte klíče, certifikáty a tajné kódy ve virtuálních počítačích.
• Získejte přehledy a jistotu o integritě celého spouštěcího řetězce.
• Ujistěte se, že úlohy jsou důvěryhodné a ověřitelné.

Velikosti virtuálních počítačů

Typ	Podporované rodiny velikostí	V současné době nejsou podporované rodiny velikostí.	Nepodporovaná velikostní rodiny
Obecné účely	řada B, DCsv2-series, DCsv3-series, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Řada Dldsv5	Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series	Av2-series, Dv2-series, Dv3-series
Optimalizované pro výpočty	FX-series, Fsv2-series	Podporují se všechny velikosti.
Optimalizované pro paměť	Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series, Edv5-series, Edsv5-series	Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series	Řada Ev3
Optimalizované pro úložiště	Řada Lsv2, řada Lsv3, Lasv3	Podporují se všechny velikosti.
GPU	NCv2-series, NCv3-series, NCasT4_v3-series, NVv3-series, NVv4-series, NDv2-series, NC_A100_v4-series, NVadsA10 v5-series	NDasrA100_v4 řad, NDm_A100_v4 řad	NC-series, NV-series, NP-series
Vysokovýkonné výpočetní prostředky	Řada HB, řada HBv2, řada HBv3, řada HBv4, HC-series, HX-series	Podporují se všechny velikosti.

Poznámka:

• Instalace ovladačů CUDA &GRID na virtuálních počítačích s Windows s podporou zabezpečeného spouštění nevyžaduje žádné další kroky.
• Instalace ovladače CUDA na virtuálních počítačích Ubuntu s podporou zabezpečeného spouštění vyžaduje další kroky. Další informace naleznete v tématu Instalace ovladačů NVIDIA GPU na virtuální počítače řady N-series s Linuxem. Zabezpečené spouštění by mělo být zakázané pro instalaci ovladačů CUDA na jiné virtuální počítače s Linuxem.
• Instalace ovladače GRID vyžaduje zakázání zabezpečeného spouštění pro virtuální počítače s Linuxem.
• Nepodporovaná rodina velikostí virtuální počítače generace 2 nepodporují. Změňte velikost virtuálního počítače na ekvivalentní podporované rodiny velikostí pro povolení důvěryhodného spuštění.

Podporované operační systémy

Operační systém	Verze
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Windows Server (Azure Edition)	2022

* Podporují se varianty tohoto operačního systému.

Více informací

Oblasti:

• Všechny veřejné oblasti
• Všechny oblasti Azure Government
• Všechny oblasti Azure China

Ceny: Důvěryhodné spuštění nezvyšuje stávající náklady na ceny virtuálních počítačů.

Nepodporované funkce

V současné době se u důvěryhodného spuštění nepodporují následující funkce virtuálních počítačů:

• Azure Site Recovery (aktuálně ve verzi Preview)
• Spravovaná image (zákazníkům se doporučuje používat Galerii výpočetních prostředků Azure).
• Vnořená virtualizace (podporované rodiny velikostí virtuálních počítačů v5)

Zabezpečené spouštění

V kořenovém adresáři důvěryhodného spuštění je zabezpečené spouštění pro váš virtuální počítač. Zabezpečené spouštění, které je implementováno ve firmwaru platformy, chrání před instalací rootkitů a spouštěcích sad založených na malwaru. Zabezpečené spouštění funguje s cílem zajistit, aby se mohly spouštět jenom podepsané operační systémy a ovladače. Vytvoří "kořen důvěryhodnosti" pro softwarový zásobník na vašem virtuálním počítači.

Pokud je povolené zabezpečené spouštění, všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) vyžadují podepisování důvěryhodných vydavatelů. Windows i výběr linuxových distribucí podporují zabezpečené spouštění. Pokud se zabezpečené spuštění nepodaří ověřit, že je image podepsaná důvěryhodným vydavatelem, virtuální počítač se nepodaří spustit. Další informace najdete v tématu Zabezpečené spouštění.

vTPM

Trusted Launch také zavádí virtuální modul vTPM (Trusted Platform Module) pro virtuální počítače Azure. Tato virtualizovaná verze hardwaru Trusted Platform Module je kompatibilní se specifikací TPM2.0. Slouží jako vyhrazený trezor zabezpečení pro klíče a měření.

Trusted Launch poskytuje virtuálnímu počítači vlastní vyhrazenou instanci TPM, která běží v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače. Virtuální počítač vTPM umožňuje ověření tím , že měří celý spouštěcí řetězec vašeho virtuálního počítače (UEFI, OS, systém a ovladače).

Trusted Launch používá virtuální počítač vTPM k vzdálenému ověření identity prostřednictvím cloudu. Ověření identity umožňují kontroly stavu platformy a používají se k rozhodování na základě důvěryhodnosti. Při kontrole stavu může důvěryhodné spuštění kryptograficky certifikovat, že se váš virtuální počítač správně spustil.

Pokud proces selže, pravděpodobně kvůli tomu, že váš virtuální počítač používá neautorizovaný komponentu, Microsoft Defender for Cloud problémy s upozorněními na integritu. Mezi výstrahy patří podrobnosti o tom, které komponenty neprošly kontrolou integrity.

Zabezpečení na základě virtualizace

Zabezpečení na základě virtualizace (VBS) používá hypervisor k vytvoření zabezpečené a izolované oblasti paměti. Systém Windows používá tyto oblasti ke spouštění různých řešení zabezpečení se zvýšenou ochranou před ohroženími zabezpečení a škodlivými zneužitími. Důvěryhodné spuštění umožňuje povolit integritu kódu hypervisoru (HVCI) a ochranu Credential Guard v programu Windows Defender.

HVCI je výkonné zmírnění rizik systému, které chrání procesy režimu jádra Windows před injektáží a spuštěním škodlivého nebo neověřeného kódu. Před spuštěním kontroluje ovladače a binární soubory režimu jádra, což brání načtení nepodepsaných souborů do paměti. Zkontroluje, že spustitelný kód nelze po načtení upravit. Další informace o VBS a HVCI naleznete v tématu Zabezpečení na základě virtualizace a integrity kódu vynucené hypervisorem.

S důvěryhodným spuštěním a VBS můžete povolit ochranu Credential Guard v programu Windows Defender. Credential Guard izoluje a chrání tajné kódy, aby k nim měl přístup pouze privilegovaný systémový software. Pomáhá zabránit neoprávněnému přístupu k tajným kódům a útokům krádeží přihlašovacích údajů, jako jsou útoky Pass-the-Hash. Další informace najdete v tématu Credential Guard.

Integrace Microsoft Defenderu pro cloud

Důvěryhodné spuštění je integrované s defenderem pro cloud, aby se zajistilo, že jsou vaše virtuální počítače správně nakonfigurované. Defender pro cloud průběžně posuzuje kompatibilní virtuální počítače a problémy s příslušnými doporučeními:

• Doporučení k povolení zabezpečeného spouštění: Doporučení zabezpečeného spouštění platí jenom pro virtuální počítače, které podporují důvěryhodné spuštění. Defender pro cloud identifikuje virtuální počítače, které můžou povolit zabezpečené spouštění, ale mají ho zakázané. Vydává doporučení s nízkou závažností, aby ji povolila.

• Doporučení k povolení virtuálního počítače vTPM: Pokud má váš virtuální počítač povolený virtuální počítač, může ho Defender for Cloud použít k ověření identity hosta a identifikaci pokročilých vzorců hrozeb. Pokud Defender pro cloud identifikuje virtuální počítače, které podporují důvěryhodné spuštění a mají zakázaný virtuální počítač vTPM, vydá doporučení s nízkou závažností, aby ho povolil.

• Doporučení k instalaci rozšíření ověření identity hosta: Pokud má váš virtuální počítač povolené zabezpečené spouštění a virtuální počítač vTPM, ale nemá nainstalované rozšíření Ověření identity hosta, Defender for Cloud vydává doporučení s nízkou závažností pro instalaci rozšíření Ověření identity hosta. Toto rozšíření umožňuje defenderu pro cloud proaktivně testovat a monitorovat integritu spouštění virtuálních počítačů. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity.

• Posouzení stavu ověření identity nebo monitorování integrity spouštění: Pokud je na vašem virtuálním počítači povolené zabezpečené spouštění a vTPM a nainstalované rozšíření Ověření identity, může Defender for Cloud vzdáleně ověřit, že se virtuální počítač spouští v dobrém stavu. Tento postup se označuje jako monitorování integrity spouštění. Defender for Cloud vydává posouzení, které označuje stav vzdáleného ověření identity.

  Pokud jsou vaše virtuální počítače správně nastavené s důvěryhodným spuštěním, může Defender for Cloud rozpoznat a upozornit vás na problémy se stavem virtuálního počítače.

• Upozornění na selhání ověření identity virtuálního počítače: Defender for Cloud na virtuálních počítačích pravidelně provádí ověření identity. Ověření identity se také provede po spuštění virtuálního počítače. Pokud ověření identity selže, aktivuje výstrahu se střední závažností. Ověření identity virtuálního počítače může selhat z následujících důvodů:

  • Ověřené informace, které zahrnují spouštěcí protokol, se liší od důvěryhodného směrného plánu. Jakákoli odchylka může znamenat, že byly načteny nedůvěryhodné moduly a že by mohlo dojít k ohrožení operačního systému.
  • Nabídku ověření identity nešlo ověřit tak, aby pocházela z virtuálního počítače s ověřením virtuálního počítače, který je ověřený. Neověřený původ může znamenat, že je k dispozici malware a může zachytit provoz do virtuálního počítače vTPM.

  Poznámka:

  Výstrahy jsou k dispozici pro virtuální počítače s povoleným virtuálním heslem a nainstalovaným rozšířením Ověření identity. Aby ověření identity prošlo, musí být povolené zabezpečené spouštění. Ověření identity selže, pokud je zakázané zabezpečené spouštění. Pokud je nutné zakázat zabezpečené spouštění, můžete tuto výstrahu potlačit, abyste se vyhnuli falešně pozitivním výsledkům.

• Upozornění na nedůvěryhodný modul jádra Linuxu: Pro důvěryhodné spuštění s povoleným zabezpečeným spouštěním je možné, že se virtuální počítač spustí i v případě, že ovladač jádra selže s ověřením a není možné ho načíst. Pokud k tomuto scénáři dojde, Defender for Cloud vydává upozornění s nízkou závažností. I když neexistuje žádná okamžitá hrozba, protože nedůvěryhodný ovladač nebyl načten, měly by se tyto události prošetřit. Zeptejte se sami sebe:

  • Který ovladač jádra selhal? Jsem obeznámen s tímto ovladačem a očekávám, že se načte?
  • Je to přesná verze ovladače, který očekávám? Jsou binární soubory ovladače nedotčené? Pokud se jedná o ovladač třetí strany, prošel dodavatel testům dodržování předpisů operačního systému, aby ho podepsal?

Související obsah

Nasazení důvěryhodného spouštěcího virtuálního počítače