Inicio seguro para máquinas virtuales de Azure

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes

Azure ofrece inicio seguro como una manera sin problemas de mejorar la seguridad de las máquinas virtuales (VM) de Generación 2. El inicio seguro protege contra técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de forma independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.

Importante

• Inicio seguro está seleccionado como el estado predeterminado para las máquinas virtuales de Azure recién creadas. Si la nueva máquina virtual requiere características que no son compatibles con el inicio de confianza, consulte las preguntas más frecuentes de inicio seguro.
• Lasmáquinas virtuales (VM) existentes pueden tener habilitado el inicio seguro después de crearse. Para obtener más información, consulte Habilitar inicio seguro en máquinas virtuales existentes.
• Los conjuntos de escalado de máquinas virtuales (VMSS ) existentes pueden tener habilitado el inicio de confianza después de crearse. Para obtener más información, consulte Habilitar inicio seguro en conjuntos de escalado existentes.

Ventajas

• Implemente máquinas virtuales de forma segura con cargadores de arranque comprobados, kernels del sistema operativo (OS) y controladores.
• Proteja de forma segura las claves, los certificados y los secretos en las máquinas virtuales.
• Obtenga información y confianza de la integridad de toda la cadena de arranque.
• Asegúrese de que las cargas de trabajo son de confianza y verificables.

Tamaños de máquinas virtuales

Tipo	Familias de tamaños admitidas	Familias de tamaños no admitidas actualmente	Familias de tamaños no admitidas
Uso general	Serie B, serie DCsv2, serie DCsv3, serie DCdsv3, serie Dv4, serie Dsv4, serie Dsv3, serie Dsv2, serie Dav4, serie Dasv4, serie Ddv4, serie Ddsv4, serie Dv5, serie Dsv5, serie Ddv5, serie Ddsv5, serie Dasv5, serie Dadsv5, serie Dlsv5, serie Dldsv5	Serie Dpsv5, serie Dpdsv5, serie Dplsv5, serie Dpldsv5	Serie Av2, serie Dv2, serie Dv3
Proceso optimizado	Serie FX, serie Fsv2	Se admiten todos los tamaños.
Memoria optimizada	Serie Dsv2, serie Esv3, serie Ev4, serie Esv4, serie Edv4, serie Edsv4, serie Eav4, serie Easv4, serie Easv5, serie Eadsv5, serie Ebsv5,serie Ebdsv5, serie Edv5, serie Edsv5	Serie Epsv5, serie Epdsv5, serie M, serie Msv2, serie Mdsv2 con memoria mediana, serie Mv2	Serie Ev3
Almacenamiento optimizado	Serie Lsv2, serie Lsv3, serie Lasv3	Se admiten todos los tamaños.
GPU	Serie NCv2, serie NCv3, serie NCasT4_v3, serie NVv3, serie NVv4, serie NDv2, serie NC_A100_v4, serie NVadsA10 v5	Serie NDasrA100_v4, serie NDm_A100_v4	Serie NC, serie NV, serie NP
Proceso de alto rendimiento	Serie HB, serie HBv2, serie HBv3, serie HBv4, serie HC, serie HX	Se admiten todos los tamaños.

Nota:

• La instalación de los controladores de CUDA & GRID en máquinas virtuales Windows habilitadas para arranque seguro no requiere ningún paso adicional.
• La instalación del controlador CUDA en máquinas virtuales Ubuntu habilitadas para arranque seguro requiere pasos adicionales. Para obtener más información, consulte Instalación de controladores de GPU de NVIDIA en máquinas virtuales de la serie N que ejecutan Linux. El arranque seguro debe deshabilitarse para instalar controladores CUDA en otras máquinas virtuales Linux.
• La instalación del controlador GRID requiere que se deshabilite el arranque seguro para las máquinas virtuales Linux.
• No se admiten familias de tamaño no admiten máquinas virtualesGeneración 2. Cambie el tamaño de la máquina virtual a familias de tamaño equivalentes admitidos para habilitar el inicio seguro.

Sistemas operativos admitidos

SO	Versión
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022*
Window Server (Azure Edition)	2022

* Se admiten variaciones de este sistema operativo.

Más información

Regiones:

• Todas las regiones públicas
• Todas las regiones de Azure Government
• Todas las regiones de Azure China

Precios: el inicio seguro no aumenta los costos de precios de las máquinas virtuales existentes.

Características no admitidas

Actualmente, las siguientes características de máquina virtual no se admiten con el inicio seguro:

• Azure Site Recovery (disponible con carácter general para Windows).
• Imagen administrada (se recomienda a los clientes que usen Azure Compute Gallery).
• Virtualización anidada (se admiten familias de tamaño de máquina virtual v5).
• Hibernación de máquinas virtuales Linux

Arranque seguro

En la raíz del inicio seguro es arranque seguro para la máquina virtual. El arranque seguro, que se implementa en el firmware de la plataforma, protege contra la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual.

Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) requieren la firma de editores de confianza. Tanto Windows como las distribuciones de Linux seleccionadas admiten el arranque seguro. Si el arranque seguro no puede autenticar que la imagen está firmada por un publicador de confianza, la máquina virtual no se puede iniciar. Para obtener más información, consulta Arranque seguro.

vTPM

El inicio seguro también presenta el módulo de plataforma segura virtual (vTPM) para las máquinas virtuales de Azure. Esta versión virtualizada de un Módulo de plataforma segura hardware es compatible con la especificación TPM2.0. Sirve como almacén seguro dedicado para claves y medidas.

El inicio seguro proporciona a la máquina virtual su propia instancia de TPM dedicada que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).

Inicio seguro usa vTPM para realizar la atestación remota a través de la nube. Las atestaciones habilitan las comprobaciones de estado de la plataforma y se usan para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente.

Si hubiera un error en el proceso, posiblemente porque la máquina virtual ejecutase un componente no autorizado, Microsoft Defender for Cloud emitirá alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.

Seguridad de virtualización

Seguridad basada en virtualización (VBS) usa el hipervisor para crear una región segura y aislada de memoria. Windows usa estas regiones para ejecutar varias soluciones de seguridad con mayor protección contra vulnerabilidades y vulnerabilidades de seguridad malintencionadas. El inicio seguro le permite habilitar la integridad del código de hipervisor (HVCI) y Credential Guard de Windows Defender.

HVCI es una mitigación del sistema eficaz que protege los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado. Comprueba los controladores y los archivos binarios del modo kernel antes de que se ejecuten, evitando que los archivos sin firmar se carguen en la memoria. Compruebe que el código ejecutable no se puede modificar después de poder cargarlo. Para obtener más información sobre VBS y HVCI, consulte Seguridad basada en virtualización e integridad de código aplicada por hipervisor.

Con inicio seguro y VBS, puede habilitar Credential Guard de Windows Defender. Credential Guard aísla y protege los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Ayuda a evitar el acceso no autorizado a secretos y ataques de robo de credenciales, como ataques pass-the-hash. Para obtener más información, consulte Credential Guard.

Integración de Microsoft Defender para la nube

El inicio seguro se integra con Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente. Defender for Cloud evalúa continuamente las máquinas virtuales compatibles y emite recomendaciones pertinentes:

• Recomendación para habilitar lade arranque seguro: la recomendación de arranque seguro solo se aplica a las máquinas virtuales que admiten el inicio seguro. Defender for Cloud identifica las máquinas virtuales que pueden habilitar el arranque seguro, pero que se han deshabilitado. Emite una recomendación de gravedad baja para habilitarla.

• Recomendación para habilitar vTPM: si la máquina virtual tiene vTPM habilitado, Defender for Cloud puede usarla para realizar la atestación de invitado e identificar patrones de amenazas avanzadas. Si Defender for Cloud identifica las máquinas virtuales que admiten el inicio seguro y tienen vTPM deshabilitado, emite una recomendación de gravedad baja para habilitarla.

• Recomendación para instalar la extensión de atestación de invitado: si la máquina virtual tiene habilitado el arranque seguro y vTPM, pero no tiene instalada la extensión de atestación de invitado, Defender for Cloud emite recomendaciones de baja gravedad para instalar la extensión de atestación de invitado en ella. Esta extensión permite a Defender for Cloud atestiguar y supervisar proactivamente la integridad de arranque de las máquinas virtuales. La integridad del arranque se atestigua mediante la atestación remota.

• Evaluación del estado de atestación o supervisión de la integridad de arranque: si la máquina virtual tiene habilitado el arranque seguro y vTPM y la extensión de atestación instalada, Defender for Cloud puede validar de forma remota que la máquina virtual se ha arrancado de forma correcta. Esta práctica se conoce como supervisión de la integridad de arranque. Defender for Cloud emite una evaluación que indica el estado de la atestación remota.

  Si las máquinas virtuales están configuradas correctamente con el inicio seguro, Defender for Cloud puede detectar y avisarle de problemas de mantenimiento de la máquina virtual.

• Error de atestación de máquina virtual: Defender for Cloud realiza periódicamente la atestación en las máquinas virtuales. Esta atestación también ocurre después de que la máquina virtual se arranque. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación de la máquina virtual puede producir un error por las razones siguientes:

  • La información atestada, que incluye un registro de arranque, se desvía de una línea base de confianza. Cualquier desviación puede indicar que se han cargado módulos que no son de confianza y que el sistema operativo podría estar en peligro.

  • No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Un origen no comprobado puede indicar que el malware está presente y podría interceptar el tráfico al vTPM.

    Nota:

    Las alertas están disponibles para las máquinas virtuales con vTPM habilitado y la extensión de atestación instalada. El arranque seguro debe estar habilitado para que se supere la atestación. Se produce un error en la atestación si el arranque seguro está deshabilitado. Si debe deshabilitar el arranque seguro, puede suprimir esta alerta para evitar falsos positivos.

• Alerta del módulo de kernel de Linux que no es de confianza: para inicio seguro con arranque seguro habilitado, es posible que una máquina virtual arranque incluso si se produce un error en la validación de un controlador de kernel y está prohibido cargar. Si se produce este escenario, Defender for Cloud emite alertas de baja gravedad. Aunque no hay ninguna amenaza inmediata, porque no se ha cargado el controlador que no es de confianza, estos eventos deben investigarse. Pregúntese:

  • ¿Qué controlador de kernel produjo un error? ¿Estoy familiarizado con este controlador y espero que se cargue?
  • ¿Es esta la versión exacta del controlador que se espera? ¿Los archivos binarios del controlador están intactos? Si se trata de un controlador de terceros, ¿ha superado el proveedor las pruebas de cumplimiento del sistema operativo para que se firmen?

Contenido relacionado

Implementación de unaMáquina virtual de inicio seguro.