Teilen über

Vertrauenswürdiger Start für Azure-VMs

  • Artikel

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Azure bietet den vertrauenswürdigen Start als nahtlose Möglichkeit zur Verbesserung der Sicherheit von VMs der 2. Generation an. Das Feature „Vertrauenswürdiger Start“ bietet Schutz vor fortschrittlichen und beständigen Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen.

Wichtig

Vorteile

  • Sicheres Bereitstellen von virtuellen Computern mit überprüften Bootstrapladeprogrammen, Betriebssystemkernels und Treibern
  • Sicheres Schützen von Schlüsseln, Zertifikaten und Geheimnissen auf den VMs
  • Gewinnen von Einblicken und Vertrauen in die Integrität der gesamten Startkette.
  • Sicherstellen der Vertrauenswürdigkeit und Überprüfbarkeit von Workloads

Größen virtueller Computer

Typ Unterstützte Größenfamilien Derzeit nicht unterstützte Größenfamilien Nicht unterstützte Größenfamilien
Allgemeiner Zweck B-Serie, DCsv2-Serie, DCsv3-Serie, DCdsv3-Serie, Dv4-Serie, Dsv4-Serie, Dsv3-Serie, Dsv2-Serie, Dav4-Serie, Dasv4-Serie, Ddv4-Serie, Ddsv4-Serie, Dv5-Serie, Dsv5-Serie, Ddv5-Serie, Ddsv5-Serie, Dasv5-Serie, Dadsv5-Serie, Dlsv5-Serie, Dldsv5-Serie Dpsv5-Serie, Dpdsv5-Serie, Dplsv5-Serie, Dpldsv5-Serie Av2-Serie, Dv2-Serie, Dv3-Serie
Computeoptimiert FX-Serie, Fsv2-Serie Alle Größen werden unterstützt.
Arbeitsspeicheroptimiert Dsv2-Serie, Esv3-Serie, Ev4-Serie, Esv4-Serie, Edv4-Serie, Edsv4-Serie, Eav4-Serie, Easv4-Serie, Easv5-Serie, Eadsv5-Serie, Ebsv5-Serie, Ebdsv5-Serie, Edv5-Serie, Edsv5-Serie Epsv5-Serie, Epdsv5-Serie, M-Serie, Msv2-Serie, Mdsv2-Serie mit mittlerem Arbeitsspeicher, Mv2-Serie Ev3-Serie
Speicheroptimiert Lsv2-Serie, Lsv3-Serie, Lasv3-Serie Alle Größen werden unterstützt.
GPU NCv2-Serie, NCv3-Serie, NCasT4_v3-Serie, NVv3-Serie, NVv4-Serie, NDv2-Serie, NC_A100_v4-Serie, NVadsA10 v5-Serie NDasrA100_v4-series, NDm_A100_v4-series NC-Serie, NV-Serie, NP-Serie
Hochleistungscompute HB-Serie, HBv2-Serie, HBv3-Serie, HBv4-Serie, HC-Serie, HX-Serie Alle Größen werden unterstützt.

Hinweis

  • Für die Installation der CUDA- und GRID-Treiber für Windows-VMs mit aktiviertem sicherem Start sind keine weiteren Schritte erforderlich.
  • Die Installation des CUDA-Treibers auf Ubuntu-VMs mit aktiviertem sicheren Start erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter Installieren von NVIDIA GPU-Treibern für VMs der N-Serie unter Linux. Der sichere Start sollte für die Installation von CUDA-Treibern auf anderen Linux-VMs deaktiviert werden.
  • Für die Installation des GRID-Treibers muss der sichere Start für Linux-VMs deaktiviert werden.
  • Nicht unterstützte Größenfamilien unterstützen keine VMs der 2. Generation. Ändern Sie die VM-Größe in entsprechende unterstützte Größenfamilien, um den vertrauenswürdigen Start zu aktivieren.

Unterstützte Betriebssysteme

OS Version
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8-LVM, 9.0, 9.1-LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS
Windows 10 Pro, Enterprise, Enterprise (Mehrere Sitzungen) *
Windows 11 Pro, Enterprise, Enterprise (Mehrere Sitzungen) *
Windows Server 2016, 2019, 2022 *
Windows Server (Azure-Edition) 2022

* Variationen dieses Betriebssystems werden unterstützt.

Weitere Informationen

Regionen:

  • Alle öffentlichen Regionen
  • Alle Azure Government-Regionen
  • Alle Azure China-Regionen

Preise: Der vertrauenswürdige Start erhöht die Kosten für vorhandene VMs nicht.

Nicht unterstützte Funktionen

Derzeit werden die folgenden VM-Features nicht mit dem vertrauenswürdigen Start unterstützt:

Sicherer Start

Das Fundament des vertrauenswürdigen Starts bildet „Sicherer Start“ für Ihre VM. Der sichere Start ist in der Plattformfirmware implementiert und schützt vor der Installation von schadsoftwarebasierten Rootkits und Bootkits. Der sichere Start bewirkt, dass nur signierte Betriebssysteme und Treiber gestartet werden können. Damit wird ein Vertrauensanker für den Softwarestapel der VM erstellt.

Bei aktiviertem sicherem Start müssen alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert sein. Der sichere Start wird unter Windows sowie ausgewählten Linux-Distributionen unterstützt. Wenn beim sicheren Start nicht authentifiziert werden kann, dass das Image von einem vertrauenswürdigen Herausgeber signiert wurde, kann die VM nicht gestartet werden. Weitere Informationen finden Sie unter Sicherer Start.

vTPM

Der vertrauenswürdige Start führt auch das virtuelle Trusted Platform Module (vTPM) für Azure-VMs ein. Diese virtualisierte Hardwareversion des Trusted Platform Module ist mit den TPM 2.0-Spezifikationen konform. Sie dient als dedizierter sicherer Tresor für Schlüssel und Messungen.

Der vertrauenswürdige Start bietet für die VM eine eigene dedizierte TPM-Instanz, die in einer sicheren Umgebung außerhalb der Reichweite von VMs ausgeführt wird. vTPM ermöglicht den Nachweis durch Messung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber).

Beim vertrauenswürdigen Start wird vTPM verwendet, um einen Remotenachweis über die Cloud durchzuführen. Nachweise ermöglichen Plattformintegritätsprüfungen und werden für vertrauensbasierte Entscheidungsprozesse verwendet. Als Integritätsprüfung kann beim vertrauenswürdigen Start kryptografisch zertifiziert werden, dass die VM ordnungsgemäß gestartet wurde.

Wenn bei diesem Prozess Fehler auftreten (beispielsweise, weil auf der VM eine nicht autorisierte Komponente ausgeführt wird), werden in Microsoft Defender for Cloud Integritätswarnungen ausgegeben. Die Warnungen enthalten Details zu den Komponenten, bei denen die Integritätsprüfungen nicht erfolgreich durchgeführt wurden.

Virtualisierungsbasierte Sicherheit

Für die virtualisierungsbasierte Sicherheit (VBS) wird mit Hypervisor ein sicherer und isolierter Speicherbereich erstellt. Unter Windows werden in diesen Bereichen verschiedene Sicherheitslösungen mit erhöhtem Schutz vor Sicherheitsrisiken und schädlichen Exploits ausgeführt. Mit dem vertrauenswürdigen Start können Sie Hypervisor Code Integrity (HVCI) und Windows Defender Credential Guard aktivieren.

HVCI bietet eine leistungsstarke Risikominderung für das System und schützt Windows-Kernelmodusprozesse vor der Einschleusung und Ausführung von schädlichem oder nicht überprüftem Code. Kernelmodustreiber und -binärdateien werden vor der Ausführung überprüft, sodass nicht signierte Dateien nicht in den Speicher geladen werden können. Überprüfungen stellen sicher, dass ausführbarer Code nicht mehr geändert werden kann, nachdem das Laden erlaubt wurde. Weitere Informationen zu VBS und HVCI finden Sie unter Virtualisierungsbasierte Sicherheit und Hypervisor Enforced Code Integrity.

Mit dem vertrauenswürdigen Start und VBS können Sie Windows Defender Credential Guard aktivieren. Credential Guard isoliert und schützt Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dadurch können der nicht autorisierte Zugriff auf Geheimnisse und Diebstahl von Anmeldeinformationen verhindert werden, z. B. PtH-Angriffe (Pass-the-Hash). Weitere Informationen finden Sie unter Credential Guard.

Integration bei Microsoft Defender für Cloud

Der vertrauenswürdige Start ist mit Defender for Cloud integriert, damit Ihre virtuellen Computer ordnungsgemäß konfiguriert sind. In Defender for Cloud werden kompatible VMs kontinuierlich bewertet und relevante Empfehlungen ausgegeben:

  • Empfehlung zum Aktivieren des sicheren Starts: Die Empfehlung für den sicheren Start gilt nur für VMs, die den vertrauenswürdigen Start unterstützen. In Defender for Cloud werden VMs identifiziert, auf denen der sichere Start aktiviert werden kann, aber derzeit deaktiviert ist. Es wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.

  • Empfehlung zum Aktivieren von vTPM: Wenn auf Ihrem virtuellen Computer vTPM aktiviert ist, können in Defender for Cloud Nachweisvorgänge für Gäste durchgeführt und komplexe Bedrohungsmuster identifiziert werden. Wenn in Defender for Cloud VMs identifiziert werden, auf denen der vertrauenswürdige Start unterstützt wird und vTPM deaktiviert ist, wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.

  • Empfehlung zum Installieren der Gastnachweiserweiterung: Wenn auf Ihrer VM sicherer Start und vTPM aktiviert sind, die Gastnachweiserweiterung aber nicht installiert ist, gibt Defender for Cloud eine Empfehlung mit niedrigem Schweregrad für die Installation der Gastnachweiserweiterung aus. Mit dieser Erweiterung kann Defender for Cloud die Startintegrität Ihrer virtuellen Computer proaktiv nachweisen und überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis.

  • Nachweisintegritätsbewertung oder Startintegritätsüberwachung: Wenn auf Ihrem virtuellen Computer Secure Boot und vTPM aktiviert und die Nachweiserweiterung installiert sind, kann Defender for Cloud remote überprüfen, ob Ihr virtueller Computer fehlerfrei gestartet wurde. Diese Vorgehensweise wird als Startintegritätsüberwachung bezeichnet. Defender for Cloud gibt eine Bewertung aus, die den Status des Remotenachweises angibt.

    Wenn Ihre virtuellen Computer ordnungsgemäß mit vertrauenswürdigem Start eingerichtet sind, kann Defender for Cloud Integritätsprobleme eines virtuellen Computers erkennen und entsprechende Warnungen ausgeben.

  • Warnung bei VM-Nachweisfehlern: Defender for Cloud führt in regelmäßigen Abständen Nachweise für Ihre VMs durch. Der Nachweis erfolgt auch nach dem Starten der VM. Wenn beim Nachweis ein Fehler auftritt, wird eine Warnung mit mittlerem Schweregrad ausgelöst. Beim VM-Nachweis können aus folgenden Gründen Fehler auftreten:

    • Die nachgewiesenen Informationen, einschließlich eines Startprotokolls, weichen von einer vertrauenswürdigen Baseline ab. Jede Abweichung kann darauf hinweisen, dass nicht vertrauenswürdige Module geladen wurden und das Betriebssystem möglicherweise kompromittiert ist.

    • Es konnte nicht überprüft werden, ob das Nachweisangebot von der vTPM-Instanz der VM stammt, für die der Nachweis erstellt wurde. Ein nicht überprüfter Ursprung kann darauf hindeuten, dass Schadsoftware vorhanden ist und den Datenverkehr an das vTPM abfangen könnte.

      Hinweis

      Warnungen sind für VMs mit aktivierter vTPM-Instanz und installierter Nachweiserweiterung verfügbar. Der sichere Start muss aktiviert sein, damit der Nachweisvorgang erfolgreich durchgeführt wird. Beim Nachweis treten Fehler auf, wenn der sichere Start deaktiviert ist. Wenn Sie den sicheren Start deaktivieren möchten, können Sie diese Warnung unterdrücken, um False Positives zu vermeiden.

  • Warnung bei nicht vertrauenswürdigem Linux-Kernelmodul: Beim vertrauenswürdigen Start mit aktiviertem sicherem Start ist es möglich, dass eine VM gestartet wird, obwohl bei der Überprüfung eines Kerneltreibers ein Fehler auftritt und das Laden nicht zulässig ist. In diesem Fall gibt Defender for Cloud Warnungen mit niedrigem Schweregrad aus. Es liegt zwar keine unmittelbare Bedrohung vor, da der nicht vertrauenswürdige Treiber nicht geladen wurde, dennoch sollten diese Ereignisse untersucht werden. Fragen Sie sich selbst:

    • Bei welchem Kerneltreiber sind Fehler aufgetreten? Kenne ich mich mit diesem Treiber aus und erwarte, dass er geladen wird?
    • Handelt es sich um die richtige Version des erwarteten Treibers? Sind die Binärdateien des Treibers intakt? Wenn es sich um einen Treiber eines Drittanbieters handelt: Hat der Anbieter die Konformitätstests für das Betriebssystem erfolgreich abgeschlossen, um ihn signieren zu lassen?

Zugehöriger Inhalt

Bereitstellen einer VM mit vertrauenswürdigem Start