Důvěryhodné spuštění pro virtuální počítače Azure

  • Článek

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Azure nabízí důvěryhodné spuštění jako bezproblémový způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2 . generace. Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku. Důvěryhodné spuštění se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami.

Důležité

  • Jako výchozí stav pro nově vytvořené virtuální počítače Azure je vybráno důvěryhodné spuštění. Pokud váš nový virtuální počítač vyžaduje funkce, které nejsou podporovány důvěryhodným spuštěním, přečtěte si nejčastější dotazy k důvěryhodnému spuštění.
  • Stávající virtuální počítače Azure Generation 2 můžou mít po vytvoření povolené důvěryhodné spuštění. Další informace najdete v tématu Povolení důvěryhodného spuštění na existujících virtuálních počítačích.
  • Nelze povolit důvěryhodné spuštění ve stávající škálovací sadě virtuálních počítačů(VMSS), která byla původně vytvořena bez ní. Důvěryhodné spuštění vyžaduje vytvoření nových VMSS.

Zaměstnanecké výhody

  • Bezpečně nasaďte virtuální počítače s ověřenými zavaděči spouštění, jádry operačního systému a ovladači.
  • Bezpečně chraňte klíče, certifikáty a tajné kódy ve virtuálních počítačích.
  • Získejte přehledy a jistotu o integritě celého spouštěcího řetězce.
  • Ujistěte se, že úlohy jsou důvěryhodné a ověřitelné.

Velikosti virtuálních počítačů

Typ Podporované rodiny velikostí V současné době nejsou podporované rodiny velikostí. Nepodporovaná velikostní rodiny
Obecné použití řada B, DCsv2-series, DCsv3-series, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Řada Dldsv5 Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series Av2-series, Dv2-series, Dv3-series
Optimalizované pro výpočty FX-series, Fsv2-series Podporují se všechny velikosti.
Optimalizované pro paměť Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series,Edv5-series, Edsv5-series Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series Řada Ev3
Optimalizované pro úložiště Řada Lsv2, řada Lsv3, Lasv3 Podporují se všechny velikosti.
GPU NCv2-series, NCv3-series, NCasT4_v3-series, NVv3-series, NVv4-series, NDv2-series, NC_A100_v4-series, NVadsA10 v5-series NDasrA100_v4 řad, NDm_A100_v4 řad NC-series, NV-series, NP-series
Vysokovýkonné výpočetní prostředky Řada HB, řada HBv2, řada HBv3, řada HBv4, HC-series, HX-series Podporují se všechny velikosti.

Poznámka:

  • Instalace ovladačů CUDA &GRID na virtuálních počítačích s Windows s podporou zabezpečeného spouštění nevyžaduje žádné další kroky.
  • Instalace ovladače CUDA na virtuálních počítačích s podporou zabezpečeného spouštění Ubuntu vyžaduje další kroky popsané v tématu Instalace ovladačů NVIDIA GPU na virtuálních počítačích řady N-series s Linuxem. Zabezpečené spouštění by mělo být zakázané pro instalaci ovladačů CUDA na jiné virtuální počítače s Linuxem.
  • Instalace ovladače GRID vyžaduje, aby pro virtuální počítače s Linuxem bylo zakázané zabezpečené spouštění.
  • Podporované rodiny velikostí nepodporují virtuální počítače generace 2 . Změňte velikost virtuálního počítače na ekvivalentní podporované rodiny velikostí pro povolení důvěryhodného spuštění.

Podporované operační systémy

Operační systém Verze
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Windows Server (Azure Edition) 2022

* Podporují se varianty tohoto operačního systému.

Další informace

Oblasti:

  • Všechny veřejné oblasti
  • Všechny oblasti Azure Government
  • Všechny oblasti Azure China

Ceny: Důvěryhodné spuštění nezvyšuje stávající náklady na ceny virtuálních počítačů.

Nepodporované funkce

Poznámka:

Při důvěryhodném spuštění se v současné době nepodporují následující funkce virtuálního počítače.

  • Azure Site Recovery
  • Spravovaná image (zákazníkům se doporučuje používat Galerii výpočetních prostředků Azure)
  • Vnořená virtualizace (většina podporovaných rodin velikostí virtuálních počítačů v5)

Zabezpečené spuštění

V kořenovém adresáři důvěryhodného spuštění je zabezpečené spouštění pro váš virtuální počítač. Zabezpečené spouštění, které je implementováno ve firmwaru platformy, chrání před instalací rootkitů a spouštěcích sad založených na malwaru. Zabezpečené spouštění funguje s cílem zajistit, aby se mohly spouštět jenom podepsané operační systémy a ovladače. Vytvoří "kořen důvěryhodnosti" pro softwarový zásobník na vašem virtuálním počítači. Pokud je povolené zabezpečené spouštění, všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) vyžadují podepisování důvěryhodných vydavatelů. Windows i výběr linuxových distribucí podporují zabezpečené spouštění. Pokud se zabezpečené spuštění nepodaří ověřit, že je image podepsaná důvěryhodným vydavatelem, virtuální počítač se nepodaří spustit. Další informace najdete v tématu Zabezpečené spouštění.

vTPM

Důvěryhodné spuštění také zavádí virtuální počítač vTPM pro virtuální počítače Azure. vTPM je virtualizovaná verze hardwaru Trusted Platform Module, která je kompatibilní se specifikací TPM2.0. Slouží jako vyhrazený trezor zabezpečení pro klíče a měření. Důvěryhodné spuštění poskytuje virtuálnímu počítači vlastní vyhrazenou instanci TPM spuštěnou v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače. Virtuální počítač vTPM umožňuje ověření tím , že měří celý spouštěcí řetězec vašeho virtuálního počítače (UEFI, OS, systém a ovladače).

Důvěryhodné spuštění používá virtuální počítač vTPM k vzdálenému ověření identity prostřednictvím cloudu. Ověření identity umožňují kontroly stavu platformy a rozhodování na základě důvěryhodnosti. Při kontrole stavu může důvěryhodné spuštění kryptograficky certifikovat, že se váš virtuální počítač správně spustil. Pokud proces selže, pravděpodobně kvůli tomu, že váš virtuální počítač používá neautorizovaný komponentu, Microsoft Defender for Cloud problémy s upozorněními na integritu. Mezi výstrahy patří podrobnosti o tom, které komponenty neprošly kontrolou integrity.

Zabezpečení na základě virtualizace

Zabezpečení založené na virtualizaci (VBS) používá hypervisor k vytvoření zabezpečené a izolované oblasti paměti. Systém Windows používá tyto oblasti ke spouštění různých řešení zabezpečení se zvýšenou ochranou před ohroženími zabezpečení a škodlivými zneužitími. Důvěryhodné spuštění umožňuje povolit integritu kódu hypervisoru (HVCI) a ochranu Credential Guard v programu Windows Defender.

HVCI je výkonné zmírnění rizik systému, které chrání procesy režimu jádra Windows před injektáží a spuštěním škodlivého nebo neověřeného kódu. Před spuštěním kontroluje ovladače a binární soubory režimu jádra, což brání načtení nepodepsaných souborů do paměti. Kontroluje, že spustitelný kód nelze upravit, jakmile je povoleno načíst. Další informace o VBS a HVCI naleznete v tématu Virtual Based Security (VBS) a Vynucená integrita kódu hypervisoru (HVCI).

S důvěryhodným spuštěním a VBS můžete povolit ochranu Credential Guard v programu Windows Defender. Credential Guard izoluje a chrání tajné kódy, aby k nim měl přístup pouze privilegovaný systémový software. Pomáhá zabránit neoprávněnému přístupu k tajným kódům a útokům na krádež přihlašovacích údajů, jako jsou útoky Pass-the-Hash (PtH). Další informace najdete v tématu Credential Guard.

Integrace Microsoft Defenderu pro cloud

Důvěryhodné spuštění je integrované s Microsoft Defenderem pro cloud, aby se zajistilo, že jsou vaše virtuální počítače správně nakonfigurované. Microsoft Defender pro cloud průběžně posuzuje kompatibilní virtuální počítače a vydává příslušná doporučení.

  • Doporučení k povolení zabezpečeného spouštění – Doporučení zabezpečeného spouštění platí jenom pro virtuální počítače, které podporují důvěryhodné spuštění. Microsoft Defender pro cloud identifikuje virtuální počítače, které můžou povolit zabezpečené spouštění, ale mají zakázané. Vystavuje doporučení s nízkou závažností, aby ji povolila.
  • Doporučení k povolení virtuálního počítače – Pokud má váš virtuální počítač povolený virtuální počítač, může ho Microsoft Defender pro cloud použít k ověření identity hosta a identifikaci pokročilých vzorů hrozeb. Pokud Microsoft Defender pro cloud identifikuje virtuální počítače, které podporují důvěryhodné spuštění a mají zakázaný virtuální počítač vTPM, vydá doporučení s nízkou závažností, aby ho povolil.
  • Doporučení k instalaci rozšíření ověření identity hosta – Pokud má váš virtuální počítač povolené zabezpečené spouštění a virtuální počítač vTPM, ale nemá nainstalované rozšíření ověření identity hosta, Microsoft Defender for Cloud vydává doporučení s nízkou závažností pro instalaci rozšíření ověření identity hosta. Toto rozšíření umožňuje, aby Microsoft Defender for Cloud proaktivně otestování a monitorování integrity spouštění virtuálních počítačů. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity.
  • Posouzení stavu ověření identity nebo monitorování integrity spouštění – Pokud je na vašem virtuálním počítači nainstalované zabezpečené spouštění a rozšíření ověřování vTPM, může Microsoft Defender pro Cloud vzdáleně ověřit, že se váš virtuální počítač správně spouštěl. To se označuje jako monitorování integrity spouštění. Microsoft Defender for Cloud vydává posouzení označující stav vzdáleného ověření identity.

Pokud jsou vaše virtuální počítače správně nastavené s důvěryhodným spuštěním, Může vás Microsoft Defender for Cloud zjistit a upozornit na problémy se stavem virtuálního počítače.

  • Upozornění na selhání ověření identity virtuálního počítače: Microsoft Defender for Cloud pravidelně provádí ověření identity na vašich virtuálních počítačích. Ověření identity se také provede po spuštění virtuálního počítače. Pokud ověření identity selže, aktivuje výstrahu střední závažnosti. Ověření identity virtuálního počítače může selhat z následujících důvodů:

    • Ověřené informace, které zahrnují spouštěcí protokol, se liší od důvěryhodného směrného plánu. Jakákoli odchylka může znamenat, že byly načteny nedůvěryhodné moduly a že by mohlo dojít k ohrožení operačního systému.
    • Nabídku ověření identity nešlo ověřit tak, aby pocházela z virtuálního počítače s ověřením virtuálního počítače, který je ověřený. Neověřený původ může znamenat, že je k dispozici malware a může zachytit provoz do virtuálního počítače vTPM.

    Poznámka:

    Výstrahy jsou k dispozici pro virtuální počítače s povoleným virtuálním heslem a nainstalovaným rozšířením Ověření identity. Aby ověření identity prošlo, musí být povolené zabezpečené spouštění. Ověření identity selže, pokud je zakázané zabezpečené spouštění. Pokud je nutné zakázat zabezpečené spouštění, můžete tuto výstrahu potlačit, abyste se vyhnuli falešně pozitivním výsledkům.

  • Upozornění na modul nedůvěryhodného jádra Linuxu: Pro důvěryhodné spuštění s povoleným zabezpečeným spouštěním je možné, že se virtuální počítač spustí i v případě, že ovladač jádra selže s ověřením a není možné ho načíst. V takovém případě Microsoft Defender for Cloud problémy s nízkou závažností. I když neexistuje žádná okamžitá hrozba, protože nedůvěryhodný ovladač nebyl načten, měly by se tyto události prošetřit.

    • Který ovladač jádra selhal? Jsem obeznámen s tímto ovladačem a očekávám, že se načte?
    • Je to přesná verze ovladače, který očekávám? Jsou binární soubory ovladače nedotčené? Pokud se jedná o ovladač třetí strany, prošel dodavatel testy dodržování předpisů operačního systému, aby ho podepsal?

Další kroky

Nasaďte důvěryhodný spouštěcí virtuální počítač.