Habilitar el inicio seguro en máquinas virtuales de Azure existentes

Artículo
06/25/2024

Se aplica a: ✔️ Máquina virtual de Linux ✔️ máquina virtual de Windows ✔️ máquina virtual de Generation 2

Azure Virtual Machines (VM) admite la habilitación del inicio seguro en máquinas virtuales existentes de Azure Generation 2 mediante la actualización al tipo de seguridad de inicio seguro.

El inicio seguro es una manera de habilitar la seguridad de proceso fundacional en máquinas virtuales y conjuntos de escalado de Azure Generation 2 y protege contra técnicas avanzadas y persistentes de ataque, como kits de arranque y rootkits. Para ello, combina tecnologías de infraestructura como arranque seguro, vTPM y supervisión de integridad del arranque en el conjunto de escalado.

Importante

La compatibilidad con la habilitación del inicio seguro en máquinas virtuales existentes de Azure de generación 1 se encuentra actualmente en versión preliminar privada. Puede obtener acceso a la versión preliminar mediante el vínculo de registro https://aka.ms/Gen1ToTLUpgrade.

Requisitos previos

Las máquinas virtuales de Azure Generation 2 están configuradas con:
- Familia de tamaños compatibles con el inicio seguro
- Imagen del sistema operativo compatible con el inicio seguro. En el caso de las imágenes o discos del sistema operativo personalizados, la imagen base debe ser compatible con el inicio seguro.
Las máquinas virtuales de Azure Generation 2 no usan características que actualmente no sean compatibles con el inicio seguro.
Las máquinas virtuales de Azure Generation 2 deben detenerse y desasignarse antes de habilitar el tipo de seguridad de inicio seguro.
Azure Backup, si se ha habilitado para las máquinas virtuales, debe configurarse con la directiva de copia de seguridad mejorada. El tipo de seguridad de inicio seguro no se puede habilitar para las máquinas virtuales de Generation 2 configuradas con la protección de copia de seguridad de la directiva estándar.
- La copia de seguridad de máquinas virtuales de Azure existente se puede migrar de la directiva Estándar a Mejorada mediante la Migración de copias de seguridad de máquinas virtuales de Azure de la directiva estándar a mejorada (versión preliminar).

procedimientos recomendados

Habilite el inicio seguro en una VM Generation 2 de prueba y verifique si se requieren cambios para cumplir los requisitos previos antes de habilitar el inicio seguro en VM Generation 2 que ejecuten cargas de trabajo de producción.
Cree un punto de restauración para las máquinas virtuales de Azure Generation 2 asociadas con las cargas de trabajo de producción antes de habilitar el tipo de seguridad de inicio seguro. Puede usar el punto de restauración para volver a crear los discos y la máquina virtual de Generation 2 con el estado conocido anterior.

Habilitar el inicio seguro en una máquina virtual existente

Nota:

Después de habilitar el inicio seguro, actualmente, la máquina virtual no se puede revertir al tipo de seguridad Estándar (configuración de inicio no seguro).
vTPM está habilitado de manera predeterminada.
Se recomienda habilitar el arranque seguro (no habilitado de forma predeterminada) si no usa controladores o kernel sin firma personalizados. El arranque seguro conserva la integridad de arranque y habilita la seguridad fundamental para la máquina virtual.

Habilite el inicio seguro en una máquina virtual de Azure Generation 2 existente mediante Azure Portal.

Inicie sesión en Azure Portal
Valide que la generación de máquinas virtuales sea V2 y Detenga la VM.
En la página Información general de las Propiedades de la VM, seleccione Estándar en Tipo de seguridad. Esto lo llevará a la página Configuración de la VM.
Seleccione la lista desplegable Tipo de seguridad en la sección Tipo de seguridad de la página Configuración.
Seleccione Inicio seguro en la lista desplegable y active las casillas correspondientes para habilitar el Arranque seguro y vTPM. Haga clic en Guardar después de realizar los cambios necesarios.
Nota:
- Las VM Generation 2 creadas con Azure Compute Gallery (ACG), la Imagen administrada y el Disco del sistema operativo no se pueden actualizar al inicio seguro mediante el portal. Asegúrese de que la versión del sistema operativo sea compatible con el inicio seguro y use PowerShell, la CLI o la plantilla de ARM para ejecutar la actualización.
Cierre la página Configuración una vez completada correctamente la actualización y valide el tipo de seguridad en las propiedades de la VM en la página Información general.
Inicie la máquina virtual de inicio seguro actualizada y asegúrese de haber iniciado sesión correctamente en ella mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

En esta sección se describe el uso de la CLI de Azure para habilitar el inicio seguro en una máquina virtual de Azure Generation 2 existente.

Asegúrese de haber instalado la versión más reciente de la CLI de Azure y de haber iniciado sesión en una cuenta de Azure con az login.

Inicio de sesión en la suscripción de Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Desasignar una máquina virtual

az vm deallocate \
    --resource-group myResourceGroup --name myVm

Habilite el inicio seguro estableciendo --security-type en TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Valide la salida del comando anterior. La configuración de securityProfile se devuelve con la salida del comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Inicie la máquina virtual.

az vm start \
    --resource-group myResourceGroup --name myVm

Inicie la máquina virtual de inicio seguro actualizada y asegúrese de haber iniciado sesión correctamente en ella mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

En esta sección se describe el uso de Azure PowerShell para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2.

Asegúrese de haber instalado la versión más reciente de PowerShell de Azure y de haber iniciado sesión en una cuenta de Azure con Connect-AzAccount.

Inicio de sesión en la suscripción de Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Desasignar una máquina virtual

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Habilite el inicio seguro estableciendo -SecurityType en TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

ValidesecurityProfile en la configuración actualizada de la máquina virtual.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Inicie la máquina virtual.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Inicie la máquina virtual de inicio seguro actualizada y asegúrese de haber iniciado sesión correctamente en ella mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

En esta sección se describe el uso de una plantilla de ARM para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2.

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Se describe la implementación deseada sin escribir la secuencia de comandos de programación para crear la implementación.

Revise la plantilla.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Edite el archivo JSON de parámetros con máquinas virtuales que se van a actualizar con el tipo de seguridad de TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definición del archivo de parámetros

Propiedad	Descripción de propiedad	Valor de la plantilla de ejemplo
vmName	Nombre de la máquina virtual de Azure Generation 2	"myVm"
ubicación	Ubicación de la máquina virtual de Azure Generation 2	"westus3"
secureBootEnabled	Habilitar el arranque seguro con el tipo de seguridad de inicio seguro	true

Desasigne todas las máquinas virtuales de Azure Generation 2 que se van a actualizar.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Ejecute la implementación de la plantilla de ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Comprobación de que la implementación se ha realizado correctamente. Compruebe el tipo de seguridad y la configuración de UEFI de la máquina virtual mediante Azure Portal. Compruebe la sección Tipo de seguridad de la página Información general.
Inicie la máquina virtual de inicio seguro actualizada y asegúrese de haber iniciado sesión correctamente en ella mediante RDP (para máquinas virtuales Windows) o SSH (para máquinas virtuales Linux).

Pasos siguientes

(Recomendado) Las actualizaciones posteriores permiten la supervisión de la integridad de arranque para supervisar el estado de la máquina virtual mediante Microsoft Defender for Cloud.

Obtenga más información sobre el inicio seguro y revise las preguntas más frecuentes

Compartir a través de