Přehled monitorování integrity spouštění

Aby služba Azure Trusted Launch lépe zabránila útokům rootkitu se zlými úmysly na virtuálních počítačích, použije se ověření hosta prostřednictvím koncového bodu ověření identity Azure k monitorování integrity spouštěcí sekvence. Tato ověření identity je zásadní pro zajištění platnosti stavů platformy.

Aby bylo možné nainstalovat rozšíření ověření identity, musí být váš důvěryhodný spouštěcí virtuální počítač zabezpečeným spouštěním a virtuálním modulem vTPM (Secure Boot). Microsoft Defender for Cloud nabízí sestavy na základě ověření stavu ověření hosta a správnosti nastavení integrity spouštění vašeho virtuálního počítače. Další informace o integraci Microsoft Defenderu pro cloud najdete v tématu Integrace důvěryhodného spuštění s Microsoft Defenderem pro cloud.

Důležité

Automatický upgrade rozšíření je nyní k dispozici pro monitorování integrity spouštění – rozšíření Ověření identity hosta. Další informace najdete v tématu Automatický upgrade rozšíření.

Požadavky

Potřebujete aktivní předplatné Azure a virtuální počítač důvěryhodného spuštění.

Povolení monitorování integrity

Pokud chcete povolit monitorování integrity, postupujte podle kroků v této části.

Azure Portal

1. Přihlaste se k portálu Azure.

2. Vyberte prostředek (Virtual Machines).

3. V části Nastavení vyberte Konfigurace. V podokně Typ zabezpečení vyberte Monitorování integrity.

   

4. Uložte změny.

Na stránce Přehled virtuálního počítače by se typ zabezpečení pro monitorování integrity měl zobrazit jako Povoleno.

Tato akce nainstaluje rozšíření Ověření identity hosta, na které můžete odkazovat prostřednictvím nastavení na kartě Rozšíření a aplikace .

Šablona

Rozšíření Ověření identity hosta pro virtuální počítače důvěryhodného spuštění můžete nasadit pomocí šablony rychlého startu.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Rozhraní příkazového řádku

1. Vytvořte virtuální počítač s důvěryhodným spuštěním, který má funkce zabezpečeného spouštění a virtuálníchtpm prostřednictvím počátečního nasazení důvěryhodného spouštěcího virtuálního počítače. K nasazení rozšíření Ověření identity hosta použijte --enable-integrity-monitoring. Jako vlastník virtuálního počítače můžete přizpůsobit konfiguraci virtuálního počítače pomocí az vm create.
2. U existujících virtuálních počítačů můžete povolit nastavení monitorování integrity spouštění aktualizací, abyste měli jistotu, že je zapnuté monitorování integrity. Můžete použít --enable-integrity-monitoring.

Poznámka:

Rozšíření Ověření identity hosta musí být nakonfigurované explicitně.

PowerShell

Pokud je zabezpečené spouštění a virtuální počítač vTPM nastaveny na ZAPNUTO, je integrita spouštění také nastavená na ZAPNUTO.

1. Vytvořte virtuální počítač s důvěryhodným spuštěním, který má funkce zabezpečeného spouštění a virtuálníchtpm prostřednictvím počátečního nasazení důvěryhodného spouštěcího virtuálního počítače. Jako vlastník virtuálního počítače můžete přizpůsobit konfiguraci virtuálního počítače.
2. U existujících virtuálních počítačů můžete povolit nastavení monitorování integrity spouštění aktualizací. Ujistěte se, že je zabezpečené spouštění i virtuální počítač nastavené na ZAPNUTO.

Další informace o vytvoření nebo aktualizaci virtuálního počítače tak, aby zahrnoval monitorování integrity spouštění prostřednictvím rozšíření Ověření identity hosta, najdete v tématu Nasazení virtuálního počítače s povoleným důvěryhodným spuštěním (PowerShell).

Průvodce odstraňováním potíží s instalací rozšíření Ověření identity hosta

Tato část se zabývá chybami a řešeními ověření identity.

Příznaky

Rozšíření Azure Attestation nebude správně fungovat, když nastavíte skupinu zabezpečení sítě (NSG) nebo proxy server. Zobrazí se chyba, která vypadá podobně jako "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation Zřizování selhalo".

Řešení

V Azure se skupiny zabezpečení sítě používají k filtrování síťového provozu mezi prostředky Azure. Skupiny zabezpečení sítě obsahují pravidla zabezpečení, která povolují nebo zakazují příchozí síťový provoz nebo odchozí síťový provoz z několika typů prostředků Azure. Koncový bod ověření identity Azure by měl být schopný komunikovat s rozšířením ověření identity hosta. Bez tohoto koncového bodu nemůže důvěryhodné spuštění přistupovat k ověření identity hosta, což umožňuje programu Microsoft Defender for Cloud monitorovat integritu spouštěcí sekvence vašich virtuálních počítačů.

Odblokování provozu ověření identity Azure ve skupině zabezpečení sítě pomocí značek služeb:

1. Přejděte na virtuální počítač, který chcete povolit odchozí provoz.

2. V levém podokně v části Sítě vyberte Nastavení sítě.

3. Pak vyberte Vytvořit pravidlo odchozího>portu.

   

4. Pokud chcete povolit ověření identity Azure, nastavíte jako cíl značku služby. Toto nastavení umožňuje, aby rozsah IP adres aktualizoval a automaticky nastavil pravidla, která umožňují ověření identity Azure. Nastavte značku cílové služby na AzureAttestation a nastavte akci na Povolit.

   

Brány firewall chrání virtuální síť, která obsahuje několik virtuálních počítačů s důvěryhodným spuštěním. Odblokování provozu ověření identity Azure v bráně firewall pomocí kolekce pravidel aplikace:

1. Přejděte do instance služby Azure Firewall, která má provoz blokovaný z prostředku důvěryhodného spouštěcího virtuálního počítače.

2. V části Nastavení vyberte Pravidla (Classic) a začněte odblokovat ověření hosta za bránou firewall.

3. V části Kolekce pravidel sítě vyberte Přidat kolekci pravidel sítě.

   

4. Na základě vašich potřeb nakonfigurujte název, prioritu, typ zdroje a cílové porty. Nastavte název značky služby na AzureAttestation a nastavte akci na Povolit.

Odblokování provozu ověření identity Azure v bráně firewall pomocí kolekce pravidel aplikace:

1. Přejděte do instance služby Azure Firewall, která má provoz blokovaný z prostředku důvěryhodného spouštěcího virtuálního počítače.

   

   Kolekce pravidel musí obsahovat alespoň jedno pravidlo, které cílí na plně kvalifikované názvy domén (FQDN).

2. Vyberte kolekci pravidel aplikace a přidejte pravidlo aplikace.

3. Vyberte název a číselnou prioritu pro pravidla aplikace. Nastavte akci pro kolekci pravidel na Povolit.

   

4. Nakonfigurujte název, zdroj a protokol. Typ zdroje je pro jednu IP adresu. Výběrem skupiny IP adres povolíte více IP adres přes bránu firewall.

Místní sdílení poskytovatelé

Ověření identity Azure poskytuje regionálního sdíleného poskytovatele v každé dostupné oblasti. Pro ověření identity můžete použít regionálního sdíleného zprostředkovatele nebo vytvořit vlastní zprostředkovatele s vlastními zásadami. Každý uživatel Microsoft Entra má přístup ke sdíleným poskytovatelům. Zásady přidružené k ní nelze změnit.

Poznámka:

Můžete nakonfigurovat typ zdroje, službu, rozsahy cílových portů, protokol, prioritu a název.

Související obsah

Přečtěte si další informace o důvěryhodném spuštění a nasazení virtuálního počítače Trusted Launch.