Přehled monitorování integrity spouštění

Článek
04/25/2024

Aby bylo možné lépe zabránit útokům rootkitu se zlými úmysly na virtuálních počítačích, používá se ověření hosta prostřednictvím koncového bodu MaA (Microsoft Azure Attestation) k monitorování integrity spouštěcí sekvence. Tato ověření identity je zásadní pro zajištění platnosti stavů platformy. Pokud má vaše důvěryhodné virtuální počítače Azure nainstalované zabezpečené spouštění a rozšíření ověřování virtuálních počítačů a rozšíření ověření identity, Microsoft Defender for Cloud ověří, že je správně nastavený stav a integrita spouštění vašeho virtuálního počítače. Další informace o integraci MDC najdete v tématu Integrace důvěryhodného spuštění s Microsoft Defenderem pro cloud.

Důležité

Pro monitorování integrity spouštění – rozšíření Ověření identity hosta je teď k dispozici automatický upgrade rozšíření. Přečtěte si další informace o automatickém upgradu rozšíření.

Požadavky

Aktivní předplatné Azure + důvěryhodný spouštěcí virtuální počítač

Povolení monitorování integrity

Přihlaste se k portálu Azure.
Vyberte prostředek (Virtual Machines).
V části Nastavení vyberte konfiguraci. Na panelu typů zabezpečení vyberte monitorování integrity.
Uložte změny.

Na stránce přehledu virtuálních počítačů by teď měl být povolený typ zabezpečení pro monitorování integrity.

Tím se nainstaluje rozšíření ověření identity hosta, na které se dá odkazovat prostřednictvím nastavení na kartě rozšíření + aplikace.

Rozšíření ověření identity hosta pro důvěryhodné spouštěcí virtuální počítače můžete nasadit pomocí šablony rychlého startu:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

Vytvořte virtuální počítač s důvěryhodným spuštěním, který má funkce zabezpečeného spouštění + vTPM prostřednictvím počátečního nasazení důvěryhodného spouštěcího virtuálního počítače. K nasazení rozšíření ověření identity hosta (--enable_integrity_monitoring). Konfigurace virtuálních počítačů je přizpůsobitelná vlastníkem virtuálního počítače (az vm create).
U existujících virtuálních počítačů můžete povolit nastavení monitorování integrity spouštění aktualizací, abyste měli jistotu, že je zapnuté--enable_integrity_monitoring (povolit monitorování integrity).

Poznámka:

Rozšíření ověření identity hosta musí být nakonfigurované explicitně.

Průvodce odstraňováním potíží s instalací rozšíření ověření identity hosta

Příznaky

Rozšíření Microsoft Azure Attestation nebudou správně fungovat, když zákazníci nastaví skupinu zabezpečení sítě nebo proxy server. Chyba podobná (Microsoft.Azure.Security.WindowsAttestation.GuestAttestationing selhala.)

Řešení

V Azure se skupiny zabezpečení sítě (NSG) používají k filtrování síťového provozu mezi prostředky Azure. Skupiny zabezpečení sítě obsahují pravidla zabezpečení, která povolují nebo zakazují příchozí síťový provoz nebo odchozí síťový provoz z několika typů prostředků Azure. U koncového bodu Ověření identity Microsoft Azure by měl být schopný komunikovat s rozšířením ověření identity hosta. Bez tohoto koncového bodu nemůže důvěryhodné spuštění přistupovat k ověření identity hosta, což umožňuje programu Microsoft Defender for Cloud monitorovat integritu spouštěcí sekvence vašich virtuálních počítačů.

Odblokování provozu ověření identity Microsoft Azure ve skupinách zabezpečení sítě pomocí značek služeb

Přejděte na virtuální počítač , který chcete povolit odchozí provoz.
V části Sítě na levém bočním panelu vyberte kartu nastavení sítě.
Pak vyberte vytvořit pravidlo portu a přidejte pravidlo odchozího portu.
Pokud chcete povolit ověření identity Microsoft Azure, nastavte cílovou značku služby. To umožňuje, aby se rozsah IP adres aktualizoval a automaticky nastavil pravidla pro ověření identity Microsoft Azure. Značka cílové služby je AzureAttestation a akce je nastavená na Povolit.

Brány firewall chrání virtuální síť, která obsahuje několik virtuálních počítačů Trusted Launch. Odblokování provozu ověření identity Microsoft Azure v bráně firewall pomocí kolekce pravidel aplikace

Přejděte na bránu Azure Firewall, která má provoz blokovaný z prostředku virtuálního počítače Důvěryhodné spuštění.
V nastavení vyberte Pravidla (Classic) a začněte odblokovat ověření hosta za bránou firewall.
Vyberte kolekci pravidel sítě a přidejte síťové pravidlo.
Uživatel může podle svých potřeb nakonfigurovat své jméno, prioritu, typ zdroje a cílové porty. Název značky služby je následující: AzureAttestation a akce musí být nastavená jako povolená.

Odblokování provozu ověření identity Microsoft Azure v bráně firewall pomocí kolekce pravidel aplikace

Přejděte na bránu Azure Firewall, která má provoz blokovaný z prostředku virtuálního počítače Důvěryhodné spuštění. Kolekce pravidel musí obsahovat alespoň jedno pravidlo, přejděte na cílové plně kvalifikované názvy domén (plně kvalifikované názvy domén).
Vyberte kolekci pravidel aplikace a přidejte pravidlo aplikace.
Vyberte název, číselnou prioritu pro pravidla aplikace. Akce pro kolekci pravidel je nastavená na POVOLIT. Další informace o zpracování a hodnotách aplikace najdete tady.
Uživatel může konfigurovat název, zdroj, protokol. Typ zdroje pro jednu IP adresu, vyberte skupinu IP, aby bylo možné prostřednictvím brány firewall povolit více IP adres.

Místní sdílení zprostředkovatelé

Ověření identity Azure poskytuje regionálního sdíleného poskytovatele v každé dostupné oblasti. Zákazníci se můžou rozhodnout použít regionálního sdíleného poskytovatele pro ověření identity nebo vytvořit vlastní poskytovatele s vlastními zásadami. Ke sdíleným poskytovatelům může přistupovat libovolný uživatel Azure AD a zásady přidružené k němu nelze změnit.

Poznámka:

Uživatelé můžou nakonfigurovat typ zdroje, službu, rozsahy cílových portů, protokol, prioritu a název.

Další kroky

Přečtěte si další informace o důvěryhodném spuštění a nasazení důvěryhodného virtuálního počítače.