Habilitar el inicio seguro en máquinas virtuales de Azure existentes
Se aplica a: ✔️ Máquina virtual de Linux ✔️ máquina virtual de Windows ✔️ máquina virtual de Generation 2
Microsoft Azure Virtual Machines admite la habilitación del inicio seguro en máquinas virtuales existentes de Azure Generation 2 mediante la actualización al tipo de seguridad de inicio seguro.
El inicio seguro es una manera de habilitar la seguridad del proceso fundamental en máquinas virtuales de Azure Generation 2. El inicio seguro protege Microsoft Azure Virtual Machines frente a técnicas avanzadas y persistentes de ataque como kits de arranque y rootkits mediante la combinación de tecnologías de infraestructura como arranque seguro, vTPM y supervisión de integridad de arranque en la máquina virtual.
Importante
- Si está habilitado para la máquina virtual de generación 2, la opción Cifrado del servidor con claves administradas por el cliente (SSE-CMK) debe deshabilitarse antes de ejecutar la actualización de inicio seguro. El cifrado SSE-CMK debe volver a habilitarse una vez completada la actualización de inicio seguro.
- La compatibilidad con la habilitación del inicio seguro en máquinas virtuales existentes de Azure de generación 1 se encuentra actualmente en versión preliminar privada. Puede obtener acceso a la versión preliminar mediante el vínculo de registro https://aka.ms/Gen1ToTLUpgrade.
- Actualmente no se admite la habilitación del inicio seguro en los conjuntos existentes de escalado de máquinas virtuales (VMSS) de Azure Uniform & Flex.
Requisitos previos
- Las VM de Azure Generation 2 están configuradas con:
- Familia de tamaños compatibles con el inicio seguro
- Imagen del sistema operativo compatible con el inicio seguro. En el caso de las imágenes o discos del sistema operativo personalizados, la imagen base debe ser compatible con el inicio seguro.
- Las VM de Azure Generation 2 no usan características que actualmente no sean compatibles con el inicio seguro.
- Las VM de Azure Generation 2 deben detenerse y desasignarse antes de habilitar el tipo de seguridad de inicio seguro.
- Azure Backup, si se ha habilitado para las máquinas virtuales, debe configurarse con la directiva de copia de seguridad mejorada. El tipo de seguridad de inicio seguro no se puede habilitar para las VM de Generation 2 configuradas con la protección de copia de seguridad de la directiva Estándar.
- La copia de seguridad existente de la máquina virtual de Azure se puede migrar de la directiva estándar a la mejorada con la característica de migración de versión preliminar privada. Envíe una solicitud de incorporación a la versión preliminar mediante el vínculo https://aka.ms/formBackupPolicyMigration.
procedimientos recomendados
- Habilite el inicio seguro en una VM Generation 2 de prueba y verifique si se requieren cambios para cumplir los requisitos previos antes de habilitar el inicio seguro en VM Generation 2 que ejecuten cargas de trabajo de producción.
- Cree un punto de restauración para las VM de Azure Generation 2 asociadas con las cargas de trabajo de producción antes de habilitar el tipo de seguridad de inicio seguro. Puede usar el punto de restauración para volver a crear los discos y la máquina virtual de Generation 2 con el estado conocido anterior.
Habilitar el inicio seguro en una máquina virtual existente
Nota:
- Después de habilitar el inicio seguro, actualmente, la máquina virtual no se puede revertir al tipo de seguridad Estándar (configuración de inicio no seguro).
- vTPM está habilitado de manera predeterminada.
- Se recomienda habilitar el arranque seguro (no habilitado de forma predeterminada) si no usa controladores o kernel sin firma personalizados. El arranque seguro conserva la integridad de arranque y habilita la seguridad fundamental para la máquina virtual.
En esta sección se describe el uso de Azure Portal para habilitar el inicio seguro en una VM de Azure Generation 2 existente.
- Inicie sesión en Azure Portal.
- Valide que la generación de máquinas virtuales sea V2 y Detenga la VM.
- En la página Información general de las Propiedades de la VM, seleccione Estándar en Tipo de seguridad. Esto lo llevará a la página Configuración de la VM.
- Seleccione la lista desplegable Tipo de seguridad en la sección Tipo de seguridad de la página Configuración.
- Seleccione Inicio seguro en la lista desplegable y active las casillas correspondientes para habilitar el Arranque seguro y vTPM. Haga clic en Guardar después de realizar los cambios necesarios.
Nota:
- Las VM Generation 2 creadas con Azure Compute Gallery (ACG), la Imagen administrada y el Disco del sistema operativo no se pueden actualizar al inicio seguro mediante el portal. Asegúrese de que la versión del sistema operativo sea compatible con el inicio seguro y use PowerShell, la CLI o la plantilla de ARM para ejecutar la actualización.
- Cierre la página Configuración una vez completada correctamente la actualización y valide el tipo de seguridad en las propiedades de la VM en la página Información general.
- Inicie la VM de inicio seguro actualizada, asegúrese de haber iniciado correctamente y compruebe que pueda iniciar sesión en la máquina virtual mediante RDP (para VM de Windows) o SSH (para máquinas virtuales Linux).
Pasos siguientes
(Recomendado) Las actualizaciones posteriores permiten la supervisión de la integridad de arranque para supervisar el estado de la máquina virtual mediante Microsoft Defender for Cloud.
Obtenga más información sobre el inicio seguro y revise las preguntas más frecuentes