Sdílet prostřednictvím


Důvěryhodné spuštění pro virtuální počítače Azure

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Azure nabízí důvěryhodné spuštění jako bezproblémový způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2. generace . Trusted Launch chrání před pokročilými a trvalými technikami útoku. Trusted Launch se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami.

Důležité

Zaměstnanecké výhody

  • Bezpečně nasaďte virtuální počítače s ověřenými zavaděči spouštění, jádry operačního systému a ovladači.
  • Bezpečně chraňte klíče, certifikáty a tajné kódy ve virtuálních počítačích.
  • Získejte přehledy a jistotu o integritě celého spouštěcího řetězce.
  • Ujistěte se, že úlohy jsou důvěryhodné a ověřitelné.

Velikosti virtuálních počítačů

Typ Podporované rodiny velikostí V současné době nejsou podporované rodiny velikostí. Nepodporovaná velikostní rodiny
Obecné účely Rodina B, D-family Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series Řada A, Dv2-series, Dv3-series, DC-Confidential-family
Optimalizované pro výpočty Rodina F, Fx-family Podporují se všechny velikosti.
Optimalizované pro paměť E-family, Eb-family Řada M RODINA EK-Confidential-Family
Optimalizované pro úložiště L-rodina Podporují se všechny velikosti.
GPU Nc-family, ND-family, NV-family NDasrA100_v4 řad, NDm_A100_v4 řad NC-series, NV-series, NP-series
Vysokovýkonné výpočetní prostředky Řada HBv2, řada HBv3, řada HBv4, HC-series, HX-series Podporují se všechny velikosti.

Poznámka:

  • Instalace ovladačů CUDA &GRID na virtuálních počítačích s Windows s podporou zabezpečeného spouštění nevyžaduje žádné další kroky.
  • Instalace ovladače CUDA na virtuálních počítačích Ubuntu s podporou zabezpečeného spouštění vyžaduje další kroky. Další informace naleznete v tématu Instalace ovladačů NVIDIA GPU na virtuální počítače řady N-series s Linuxem. Zabezpečené spouštění by mělo být zakázané pro instalaci ovladačů CUDA na jiné virtuální počítače s Linuxem.
  • Instalace ovladače GRID vyžaduje zakázání zabezpečeného spouštění pro virtuální počítače s Linuxem.
  • Nepodporovaná rodina velikostí virtuální počítače generace 2 nepodporují. Změňte velikost virtuálního počítače na ekvivalentní podporované rodiny velikostí pro povolení důvěryhodného spuštění.

Podporované operační systémy

Operační systém Verze
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux 8.6, 8.8, 8.10, 9.4, 9.5, 9.6
Rocky Linux z CIQ 8.6, 8.10, 9.2, 9.4, 9.6
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition *

* Podporují se varianty tohoto operačního systému.

Více informací

Oblasti:

  • Všechny veřejné oblasti
  • Všechny oblasti Azure Government
  • Všechny oblasti Azure China

Ceny: Důvěryhodné spuštění nezvyšuje stávající náklady na ceny virtuálních počítačů.

Nepodporované funkce

V současné době se u důvěryhodného spuštění nepodporují následující funkce virtuálních počítačů:

Zabezpečené spouštění

V kořenovém adresáři důvěryhodného spuštění je zabezpečené spouštění pro váš virtuální počítač. Zabezpečené spouštění, které je implementováno ve firmwaru platformy, chrání před instalací rootkitů a spouštěcích sad založených na malwaru. Zabezpečené spouštění funguje s cílem zajistit, aby se mohly spouštět jenom podepsané operační systémy a ovladače. Vytvoří "kořen důvěryhodnosti" pro softwarový zásobník na vašem virtuálním počítači.

Pokud je povolené zabezpečené spouštění, všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) vyžadují podepisování důvěryhodných vydavatelů. Windows i výběr linuxových distribucí podporují zabezpečené spouštění. Pokud Secure Boot selže při ověření, že je image podepsaná důvěryhodným vydavatelem, virtuální počítač se nezdaří spustit. Další informace najdete v tématu Zabezpečené spouštění.

vTPM

Trusted Launch také zavádí virtuální modul vTPM (Trusted Platform Module) pro virtuální počítače Azure. Tato virtualizovaná verze hardwaru Trusted Platform Module je kompatibilní se specifikací TPM2.0. Slouží jako vyhrazený trezor zabezpečení pro klíče a měření.

Trusted Launch poskytuje virtuálnímu počítači vlastní vyhrazenou instanci TPM, která běží v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače. Virtuální počítač vTPM umožňuje ověření tím , že měří celý spouštěcí řetězec vašeho virtuálního počítače (UEFI, OS, systém a ovladače).

Trusted Launch používá virtuální počítač vTPM k vzdálenému ověření identity prostřednictvím cloudu. Ověření identity umožňují kontroly stavu platformy a používají se k rozhodování na základě důvěryhodnosti. Při kontrole stavu může důvěryhodné spuštění kryptograficky certifikovat, že se váš virtuální počítač správně spustil.

Pokud proces selže, pravděpodobně kvůli tomu, že váš virtuální počítač používá neautorizovaný komponentu, Microsoft Defender for Cloud problémy s upozorněními na integritu. Mezi výstrahy patří podrobnosti o tom, které komponenty neprošly kontrolou integrity.

Zabezpečení na základě virtualizace

Zabezpečení na základě virtualizace (VBS) používá hypervisor k vytvoření zabezpečené a izolované oblasti paměti. Systém Windows používá tyto oblasti ke spouštění různých řešení zabezpečení se zvýšenou ochranou před ohroženími zabezpečení a škodlivými zneužitími. Důvěryhodné spuštění umožňuje povolit integritu kódu hypervisoru (HVCI) a ochranu Credential Guard v programu Windows Defender.

HVCI je výkonné zmírnění rizik systému, které chrání procesy režimu jádra Windows před injektáží a spuštěním škodlivého nebo neověřeného kódu. Před spuštěním kontroluje ovladače a binární soubory režimu jádra, což brání načtení nepodepsaných souborů do paměti. Kontroly zajišťují, že spustitelný kód nelze upravit poté, co je jeho načtení povoleno HVCI. Další informace o VBS a HVCI naleznete v tématu Zabezpečení na základě virtualizace a integrity kódu vynucené hypervisorem.

S důvěryhodným spuštěním a VBS můžete povolit ochranu Credential Guard v programu Windows Defender. Credential Guard izoluje a chrání tajné kódy, aby k nim měl přístup pouze privilegovaný systémový software. Pomáhá zabránit neoprávněnému přístupu k tajným kódům a útokům krádeží přihlašovacích údajů, jako jsou útoky Pass-the-Hash. Další informace najdete v tématu Credential Guard.

Integrace Microsoft Defenderu pro cloud

Důvěryhodné spuštění je integrované s defenderem pro cloud, aby se zajistilo, že jsou vaše virtuální počítače správně nakonfigurované. Defender pro cloud průběžně posuzuje kompatibilní virtuální počítače a problémy s příslušnými doporučeními:

  • Doporučení k povolení zabezpečeného spouštění: Doporučení zabezpečeného spouštění platí jenom pro virtuální počítače, které podporují důvěryhodné spuštění. Defender pro cloud identifikuje virtuální počítače, které mají zakázané zabezpečené spouštění. Vydává doporučení s nízkou závažností, aby ji povolila.

  • Doporučení k povolení vTPM: Pokud je pro virtuální počítač povoleno vTPM, může ho Defender for Cloud použít k ověřování hostů a identifikaci pokročilých vzorců hrozeb. Pokud Defender pro cloud identifikuje virtuální počítače, které podporují Důvěryhodné spuštění s deaktivovaným virtuálním TPM, vydá doporučení s nízkou úrovní závažnosti, aby jej povolil.

  • Doporučení k instalaci rozšíření ověření identity hosta: Pokud má váš virtuální počítač povolené zabezpečené spouštění a virtuální počítač vTPM, ale nemá nainstalované rozšíření Ověření identity hosta, Defender for Cloud vydává doporučení s nízkou závažností pro instalaci rozšíření Ověření identity hosta. Toto rozšíření umožňuje defenderu pro cloud proaktivně testovat a monitorovat integritu spouštění virtuálních počítačů. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity.

  • Posouzení stavu ověření identity nebo monitorování integrity spouštění: Pokud je na vašem virtuálním počítači povolené zabezpečené spouštění a vTPM a nainstalované rozšíření Ověření identity, může Defender for Cloud vzdáleně ověřit, že se virtuální počítač spouští v dobrém stavu. Tento postup se označuje jako monitorování integrity spouštění. Defender for Cloud vydává posouzení, které označuje stav vzdáleného ověření identity.

    Pokud jsou vaše virtuální počítače správně nastavené s důvěryhodným spuštěním, může Defender for Cloud rozpoznat a upozornit vás na problémy se stavem virtuálního počítače.

  • Upozornění na selhání ověření identity virtuálního počítače: Defender for Cloud na virtuálních počítačích pravidelně provádí ověření identity. Ověření identity se také provede po spuštění virtuálního počítače. Pokud ověření identity selže, aktivuje výstrahu se střední závažností. Ověření identity virtuálního počítače může selhat z následujících důvodů:

    • Ověřené informace, které zahrnují spouštěcí protokol, se liší od důvěryhodného směrného plánu. Jakákoli odchylka může znamenat, že jsou načteny nedůvěryhodné moduly a operační systém by mohl být ohrožen.

    • Nabídku ověření identity nešlo ověřit tak, aby pocházela z virtuálního počítače s ověřením virtuálního počítače, který je ověřený. Neověřený původ může znamenat, že je k dispozici malware a může zachytit provoz do virtuálního počítače vTPM.

      Poznámka:

      Výstrahy jsou k dispozici pro virtuální počítače s povoleným virtuálním heslem a nainstalovaným rozšířením Ověření identity. Aby ověření identity prošlo, musí být povolené zabezpečené spouštění. Ověření identity selže, pokud je zakázané zabezpečené spouštění. Pokud je nutné zakázat zabezpečené spouštění, můžete tuto výstrahu potlačit, abyste se vyhnuli falešně pozitivním výsledkům.

  • Upozornění na nedůvěryhodný modul jádra Linuxu: Pro důvěryhodné spuštění s povoleným zabezpečeným spouštěním je možné, že se virtuální počítač spustí i v případě, že ovladač jádra selže s ověřením a není možné ho načíst. Pokud dojde k selhání ověření ovladače jádra, Defender for Cloud vydává upozornění s nízkou závažností. I když neexistuje žádná okamžitá hrozba, protože nedůvěryhodný ovladač se nenačetl, měly by se tyto události prošetřit. Zeptejte se sami sebe:

    • Který ovladač jádra selhal? Znám ovladač jádra, který selhal, a očekávám, že se načte?
    • Je přesná verze ovladače stejná, jak se očekávalo? Jsou binární soubory ovladače nedotčené? Pokud je ovladač partnera neúspěšný, prošl partner testům dodržování předpisů operačního systému, aby ho podepsal?

Výchozí možnost: Důvěryhodné spuštění

Důležité

Výchozí nastavení důvěryhodného spuštění je aktuálně ve verzi Preview. Tato verze Preview je určená jenom pro účely testování, vyhodnocení a zpětné vazby. Produkční úlohy se nedoporučují. Při registraci verze Preview vyjadřujete souhlas s dodatečnými podmínkami použití. Některé aspekty této funkce se můžou změnit s obecnou dostupností (GA).

Důvěryhodné spuštění jako výchozí (TLaD) je k dispozici ve verzi Preview pro nové virtuální počítače Gen2 a škálovací sady virtuálních počítačů (škálovací sady).

TLaD je rychlý a bezkontaktní způsob, jak zlepšit úroveň zabezpečení nových virtuálních počítačů Azure založených na Gen2 a nasazení služby Virtual Machine Scale Sets. Při použití funkce Trusted Launch jako výchozí se všechny nové virtuální počítače nebo škálovací sady Gen2 vytvořené prostřednictvím jakýchkoliv klientských nástrojů (jako je šablona ARM, Bicep) ve výchozím nastavení stávají důvěryhodnými spouštěcími virtuálními počítači s povoleným zabezpečeným spouštěním a aktivovaným vTPM.

Verze Public Preview umožňuje ověřit tyto změny ve vašem příslušném prostředí pro všechny nové virtuální počítače Azure Gen2, škálovací sadu a připravit se na tuto nadcházející změnu.

Poznámka:

Všechny nové virtuální počítače Gen2, škálovací sada, nasazení pomocí libovolného klientského nástroje (šablona ARM, Bicep, Terraform atd.) mají výchozí nastavení důvěryhodného spuštění po onboardingu ve verzi Preview. Tato změna nepřepíše vstupy poskytované jako součást kódu nasazení.

Povolení TLaD Preview

Zaregistrujte funkci Preview v názvu oboru TrustedLaunchByDefaultPreview v předplatném virtuálního počítače. Další informace najdete v tématu Nastavení funkcí Preview v předplatném Azure.

Pokud chcete vytvořit nový virtuální počítač Gen2 nebo škálovací sadu s výchozím nastavením důvěryhodného spuštění, spusťte svůj stávající skript nasazení tak, jak je, pomocí Azure SDK, Terraformu nebo jiného způsobu, který nezahrnuje Azure Portal, CLI nebo PowerShell. Výsledkem nového virtuálního počítače nebo škálovací sady vytvořené v registrovaném předplatném je důvěryhodný spouštěcí virtuální počítač nebo škálovací sada virtuálních počítačů.

Nasazení virtuálních počítačů a škálovacích sad s využitím funkce TLaD v ukázkovém režimu

Existující chování

Pokud chcete vytvořit důvěryhodný spouštěcí virtuální počítač a škálovací sadu, musíte do nasazení přidat následující element securityProfile:

"securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
        "secureBootEnabled": true,
        "vTpmEnabled": true,
    }
}

Nepřítomnost prvku securityProfile v nasazovacím kódu nasadí virtuální počítač a měřítkovou sadu, aniž by bylo povoleno důvěryhodné spuštění.

Příklady

  • vm-windows-admincenter – Šablona Azure Resource Manageru (ARM) nasadí virtuální počítač Gen2 bez povolení důvěryhodného spuštění.
  • vm-simple-windows – šablona ARM nasadí důvěryhodný spouštěcí virtuální počítač (bez výchozího nastavení, protože bylo securityProfile explicitně přidáno do šablony ARM).

Nové chování

Při použití rozhraní API verze 2021-11-01 nebo novější a převedení na verzi Preview absence elementu securityProfile z nasazení ve výchozím nastavení umožní důvěryhodné spuštění pro nově nasazené virtuální počítače a škálovací sady, pokud jsou splněny následující podmínky:

Nasazení nebude mít ve výchozím nastavení důvěryhodné spuštění, pokud není splněna jedna nebo více uvedených podmínek a nelze úspěšně vytvořit novou Gen2 virtuální počítačovou sadu a škálovací sadu bez povolení důvěryhodného spuštění.

Výchozí nastavení pro nasazení virtuálních počítačů a škálovací sady můžete výslovně obejít nastavením hodnoty Standard pro parametr securityType. Další informace najdete v tématu Můžu zakázat důvěryhodné spuštění pro nové nasazení virtuálního počítače.

Známá omezení

Po registraci do náhledu se nepodařilo obejít výchozí nastavení důvěryhodného spuštění a vytvořit virtuální počítač Gen2 (nedůvěryhodné spuštění) pomocí Azure Portal.

Po registraci předplatného ve verzi Preview se nastavením typu zabezpečení na webu Standard Azure Portal nasadí virtuální počítač nebo škálovací sada Trusted launch. Toto omezení bude vyřešeno před obecnou dostupností ve výchozím nastavení funkce Trusted Launch.

Pokud chcete toto omezení zmírnit, můžete zrušit registraci náhledové funkce odebráním příznaku TrustedLaunchByDefaultPreview funkce v rámci Microsoft.Compute oboru názvů pro dané předplatné.

Snímek obrazovky s rozevíracím seznamem typu zabezpečení na portálu

Nejde změnit velikost virtuálního počítače nebo VMSS na nepodporovanou rodinu velikostí Trusted launch VM (například M-Series) po výchozím nastavení Trusted launch.

Změna velikosti důvěryhodného spouštěcího virtuálního počítače na rodinu velikostí virtuálních počítačů, která není podporována s důvěryhodným spuštěním , není možná.

Při zmírnění rizik zaregistrujte příznak funkce UseStandardSecurityType v oboru názvů Microsoft.Compute a vraťte virtuální počítač z důvěryhodného spuštění na pouze Gen2 (nedůvěryhodné spuštění) nastavením securityType = Standard pomocí dostupných klientských nástrojů (s výjimkou portálu Azure).

Zpětná vazba k náhledu TLaD

Spojte se s námi se zpětnou vazbou, dotazy nebo obavami týkajícími se této nadcházející změny v průzkumu zpětné vazby k přednastavenému důvěryhodnému spuštění.

Zakázání náhledu TLaD

Chcete-li zakázat náhled TLaD, zrušte registraci funkce TrustedLaunchByDefaultPreview Preview v oboru názvů Microsoft.Compute na předplatném virtuálního počítače. Další informace najdete v tématu Zrušení registrace funkce Preview.

Nasazení důvěryhodného spouštěcího virtuálního počítače