Habilitar el inicio seguro en máquinas virtuales de Azure existentes

Se aplica a: ✔️ Máquina virtual de Linux ✔️ máquina virtual de Windows ✔️ máquina virtual de Generation 2

Microsoft Azure Virtual Machines admite la habilitación del inicio seguro en máquinas virtuales existentes de Azure Generation 2 mediante la actualización al tipo de seguridad de inicio seguro.

El inicio seguro es una manera de habilitar la seguridad del proceso fundamental en máquinas virtuales de Azure Generation 2. El inicio seguro protege Microsoft Azure Virtual Machines frente a técnicas avanzadas y persistentes de ataque como kits de arranque y rootkits mediante la combinación de tecnologías de infraestructura como arranque seguro, vTPM y supervisión de integridad de arranque en la máquina virtual.

Importante

• Si está habilitado para la máquina virtual de generación 2, la opción Cifrado del servidor con claves administradas por el cliente (SSE-CMK) debe deshabilitarse antes de ejecutar la actualización de inicio seguro. El cifrado SSE-CMK debe volver a habilitarse una vez completada la actualización de inicio seguro.
• La compatibilidad con la habilitación del inicio seguro en máquinas virtuales existentes de Azure de generación 1 se encuentra actualmente en versión preliminar privada. Puede obtener acceso a la versión preliminar mediante el vínculo de registro https://aka.ms/Gen1ToTLUpgrade.
• Actualmente no se admite la habilitación del inicio seguro en los conjuntos existentes de escalado de máquinas virtuales (VMSS) de Azure Uniform & Flex.

Requisitos previos

• Las VM de Azure Generation 2 están configuradas con:
  • Familia de tamaños compatibles con el inicio seguro
  • Imagen del sistema operativo compatible con el inicio seguro. En el caso de las imágenes o discos del sistema operativo personalizados, la imagen base debe ser compatible con el inicio seguro.
• Las VM de Azure Generation 2 no usan características que actualmente no sean compatibles con el inicio seguro.
• Las VM de Azure Generation 2 deben detenerse y desasignarse antes de habilitar el tipo de seguridad de inicio seguro.
• Azure Backup, si se ha habilitado para las máquinas virtuales, debe configurarse con la directiva de copia de seguridad mejorada. El tipo de seguridad de inicio seguro no se puede habilitar para las VM de Generation 2 configuradas con la protección de copia de seguridad de la directiva Estándar.
  • La copia de seguridad existente de la máquina virtual de Azure se puede migrar de la directiva estándar a la mejorada con la característica de migración de versión preliminar privada. Envíe una solicitud de incorporación a la versión preliminar mediante el vínculo https://aka.ms/formBackupPolicyMigration.

procedimientos recomendados

• Habilite el inicio seguro en una VM Generation 2 de prueba y verifique si se requieren cambios para cumplir los requisitos previos antes de habilitar el inicio seguro en VM Generation 2 que ejecuten cargas de trabajo de producción.
• Cree un punto de restauración para las VM de Azure Generation 2 asociadas con las cargas de trabajo de producción antes de habilitar el tipo de seguridad de inicio seguro. Puede usar el punto de restauración para volver a crear los discos y la máquina virtual de Generation 2 con el estado conocido anterior.

Habilitar el inicio seguro en una máquina virtual existente

Nota:

• Después de habilitar el inicio seguro, actualmente, la máquina virtual no se puede revertir al tipo de seguridad Estándar (configuración de inicio no seguro).
• vTPM está habilitado de manera predeterminada.
• Se recomienda habilitar el arranque seguro (no habilitado de forma predeterminada) si no usa controladores o kernel sin firma personalizados. El arranque seguro conserva la integridad de arranque y habilita la seguridad fundamental para la máquina virtual.

Portal

En esta sección se describe el uso de Azure Portal para habilitar el inicio seguro en una VM de Azure Generation 2 existente.

1. Inicie sesión en Azure Portal.
2. Valide que la generación de máquinas virtuales sea V2 y Detenga la VM.

3. En la página Información general de las Propiedades de la VM, seleccione Estándar en Tipo de seguridad. Esto lo llevará a la página Configuración de la VM.

4. Seleccione la lista desplegable Tipo de seguridad en la sección Tipo de seguridad de la página Configuración.

5. Seleccione Inicio seguro en la lista desplegable y active las casillas correspondientes para habilitar el Arranque seguro y vTPM. Haga clic en Guardar después de realizar los cambios necesarios.

Nota:

• Las VM Generation 2 creadas con Azure Compute Gallery (ACG), la Imagen administrada y el Disco del sistema operativo no se pueden actualizar al inicio seguro mediante el portal. Asegúrese de que la versión del sistema operativo sea compatible con el inicio seguro y use PowerShell, la CLI o la plantilla de ARM para ejecutar la actualización.

6. Cierre la página Configuración una vez completada correctamente la actualización y valide el tipo de seguridad en las propiedades de la VM en la página Información general.

7. Inicie la VM de inicio seguro actualizada, asegúrese de haber iniciado correctamente y compruebe que pueda iniciar sesión en la máquina virtual mediante RDP (para VM de Windows) o SSH (para máquinas virtuales Linux).

CLI

En esta sección se describe el uso de la CLI de Azure para habilitar el inicio seguro en una máquina virtual de Azure Generation 2 existente.

Asegúrese de haber instalado la versión más reciente de la CLI de Azure y de haber iniciado sesión en una cuenta de Azure con az login.

1. Inicio de sesión en la suscripción de Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Desasignar una máquina virtual

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Habilite el inicio seguro estableciendo --security-type en TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Valide la salida del comando anterior. La configuración de securityProfile se devuelve con la salida del comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Inicie la máquina virtual.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Inicie la VM de inicio seguro actualizada, asegúrese de haber iniciado correctamente y compruebe que pueda iniciar sesión en la máquina virtual mediante RDP (para VM de Windows) o SSH (para máquinas virtuales Linux).

PowerShell

En esta sección se describe el uso de Azure PowerShell para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2.

Asegúrese de haber instalado la versión más reciente de PowerShell de Azure y de haber iniciado sesión en una cuenta de Azure con Connect-AzAccount.

1. Inicio de sesión en la suscripción de Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Desasignar una máquina virtual

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Habilite el inicio seguro estableciendo --security-type en TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ValidesecurityProfile en la configuración actualizada de la máquina virtual.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Inicie la máquina virtual.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Inicie la VM de inicio seguro actualizada, asegúrese de haber iniciado correctamente y compruebe que pueda iniciar sesión en la máquina virtual mediante RDP (para VM de Windows) o SSH (para máquinas virtuales Linux).

Plantilla

En esta sección se describe el uso de una plantilla de ARM para habilitar el inicio seguro en una máquina virtual existente de Azure Generation 2.

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Se describe la implementación deseada sin escribir la secuencia de comandos de programación para crear la implementación.

1. Revise la plantilla.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Edite el archivo JSON de parámetros con máquinas virtuales que se van a actualizar con el tipo de seguridad de TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definición del archivo de parámetros

Propiedad	Descripción de propiedad	Valor de la plantilla de ejemplo
vmName	Nombre de la máquina virtual de Azure Generation 2	"myVm"
ubicación	Ubicación de la máquina virtual de Azure Generation 2	"westus3"
secureBootEnabled	Habilitar el arranque seguro con el tipo de seguridad de inicio seguro	true

3. Desasigne todas las máquinas virtuales de Azure Generation 2 que se van a actualizar.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Ejecute la implementación de la plantilla de ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Comprobación de que la implementación se ha realizado correctamente. Compruebe el tipo de seguridad y la configuración de UEFI de la máquina virtual mediante Azure Portal. Compruebe la sección Tipo de seguridad de la página Información general.

6. Inicie la VM de inicio seguro actualizada, asegúrese de haber iniciado correctamente y compruebe que pueda iniciar sesión en la máquina virtual mediante RDP (para VM de Windows) o SSH (para máquinas virtuales Linux).

Pasos siguientes

(Recomendado) Las actualizaciones posteriores permiten la supervisión de la integridad de arranque para supervisar el estado de la máquina virtual mediante Microsoft Defender for Cloud.

Obtenga más información sobre el inicio seguro y revise las preguntas más frecuentes