Implementación de una máquina virtual con el inicio seguro habilitado
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes
El inicio seguro es una manera de mejorar la seguridad de las máquinas virtuales de generación 2. Protege frente a técnicas de ataque persistentes y avanzadas, gracias a la combinación de tecnologías de infraestructura como vTPM y el arranque seguro.
Requisitos previos
Debe incorporar su suscripción a Microsoft Defender for Cloud si aún no lo está. Microsoft Defender for Cloud tiene un nivel gratuito, que ofrece información muy útil para varios recursos de Azure e híbridos. El inicio seguro aprovecha Defender for Cloud para mostrar varias recomendaciones sobre el estado de las máquinas virtuales.
Asigne iniciativas de directivas de Azure a su suscripción. Estas iniciativas de directiva solo se deben asignar una vez por suscripción. Esto instalará automáticamente todas las extensiones necesarias en todas las máquinas virtuales compatibles.
Configurar los requisitos previos para habilitar la atestación de invitado en máquinas virtuales habilitadas para el inicio seguro.
Configurar las máquinas para instalar automáticamente los agentes de Azure Monitor y de seguridad de Azure en máquinas virtuales.
Permita la etiqueta de servicio AzureAttestation en las reglas de salida de NSG para permitir el tráfico de Microsoft Azure Attestation. Consulte Etiquetas de servicio de red virtual.
Asegúrese de que las directivas de firewall permiten el acceso a
*.attest.azure.net
.
Nota:
Si usa una imagen de Linux y prevé que la máquina virtual puede tener controladores de kernel sin firmar o no firmados por el proveedor de distribución de Linux, es posible que quiera considerar la posibilidad de desactivar el arranque seguro. En Azure Portal, en la página "Crear una máquina virtual" para el parámetro "Tipo de seguridad" con "Inicio seguro de Virtual Machines" seleccionado, haga clic en "Configurar características de seguridad" y desactive la casilla "Habilitar arranque seguro". En la CLI, PowerShell o SDK, establezca el parámetro de arranque seguro en false.
Implementación de una máquina virtual con inicio seguro
Cree una máquina virtual con el inicio seguro habilitado. Elija una de las siguientes opciones:
- Inicie sesión en Azure Portal.
- Busque Máquinas virtuales.
- En Servicios, seleccione Máquinas virtuales.
- En la página Máquinas virtuales, seleccione Agregar y, después, Máquina virtual.
- En Detalles del proyecto, asegúrese de que está seleccionada la suscripción correcta.
- En Grupo de recursos, seleccione Crear nuevo y especifique un nombre para el grupo de recursos, o bien seleccione un grupo de recursos existente en la lista desplegable.
- En Detalles de la instancia, escriba un nombre para la máquina virtual y elija una región que admita el inicio seguro.
- En Tipo de seguridad, seleccione Máquinas virtuales de inicio seguro. Esto hará que aparezcan tres opciones más: arranque seguro, vTPM y Supervisión de integridad. Seleccione las opciones adecuadas para su implementación. Para obtener más información sobre las características de seguridad habilitadas para el inicio seguro.
- En Imagen, seleccione una imagen de las imágenes recomendadas de Gen 2 compatibles con el inicio seguro. Para obtener una lista, consulte inicio seguro.
Sugerencia
Si no ve la versión de segunda generación de la imagen que desea en la lista desplegable, seleccione Ver todas las imágenes y cambie el filtro Tipo de seguridad a Inicio seguro.
- Seleccione un tamaño de máquina virtual que admita el inicio seguro. Consulte la lista de tamaños compatibles.
- Rellene la información de Cuenta de administrador y Reglas del puerto de entrada.
- En la parte inferior de la página, seleccione Revisar y crear.
- En la página Crear una máquina virtual verá los detalles de la máquina virtual que va a implementar. Una vez que se supere la validación, seleccione Crear.
La implementación de la máquina virtual tardará unos minutos.
Implementación de una máquina virtual de inicio seguro desde una imagen de Azure Compute Gallery
Las máquinas virtuales de inicio seguro de Azure admiten la creación y el uso compartido de imágenes personalizadas mediante Azure Compute Gallery. Hay dos tipos de imágenes que puede crear, en función de los tipos de seguridad de la imagen:
- RecomendadoLas imágenes compatibles con la máquina virtual de inicio seguro (
TrustedLaunchSupported
) son imágenes en las que el origen no tiene información de estado de invitado de máquina virtual y se pueden usar para crear máquinas virtuales de generación 2 o máquinas virtuales de inicio de seguro. - Las imágenes de máquina virtual de inicio seguro (
TrustedLaunch
) son imágenes en las que el origen normalmente tiene información de estado de invitado de máquina virtual y se pueden usar para crear únicamente máquinas virtuales de inicio seguro.
Imágenes admitidas de máquina virtual de inicio seguro
Para los siguientes orígenes de imagen, el tipo de seguridad de la definición de imagen debería establecerse en TrustedLaunchsupported
:
- VHD del disco del sistema operativo Gen2
- Imagen administrada de segunda generación
- Versión de imagen de la galería Gen2
No se incluirá información de estado de invitado de máquinas virtuales en el origen de la imagen.
La versión de la imagen resultante se puede usar para crear máquinas virtuales Gen2 de Azure o máquinas virtuales de inicio seguro.
Estas imágenes se pueden compartir mediante Azure Compute Gallery: galería compartida de forma directa y Azure Compute Gallery: galería de la comunidad
Nota:
El VHD del disco del sistema operativo, la imagen administrada o la versión de la imagen de la galería deben crearse a partir de una imagen de Gen2 que sea compatible con las máquinas virtuales de inicio seguro.
- Inicie sesión en Azure Portal.
- Busque y seleccione Versiones de imagen de máquina virtual en la barra de búsqueda.
- En la página Versiones de imagen de máquina virtual, seleccione Crear.
- En la pestaña Aspectos básicos de la página Crear la versión de la imagen de máquina virtual:
- seleccione la suscripción de Azure.
- Seleccione un grupo de recursos existente o cree uno nuevo.
- Seleccione la región de Azure.
- Escriba un número de versión de imagen.
- En Origen, seleccione Blobs de almacenamiento (VHD) o Imagen administrada u otra versión de imagen de máquina virtual.
- Si seleccionó Blobs de almacenamiento (VHD), escriba un VHD de disco del sistema operativo (sin el estado de invitado de la máquina virtual). Asegúrese de usar un VHD Gen2.
- Si seleccionó Imagen administrada, seleccione una imagen administrada existente de una máquina virtual Gen2.
- Si seleccionó Versión de la imagen de máquina virtual, seleccione una versión de imagen de galería existente de una máquina virtual Gen2.
- En Galería de procesos de Azure objetivo, seleccione o cree una galería para compartir la imagen.
- En Estado del sistema operativo, seleccione Generalizado o Especializado, en función de su caso de uso. Si usa una imagen administrada como origen, seleccione Generalizado siempre. Si usa un blob de almacenamiento (VHD) y quiere seleccionar Generalizado, siga los pasos para generalizar un VHD Linux o generalizar un VHD Windows antes de continuar. Si usa una versión de imagen de máquina virtual existente, seleccione Generalizado o Especializado en función de lo que se usa en la definición de imagen de máquina virtual de origen.
- En Definición de imagen de máquina virtual de destino, seleccione Crear nuevo.
- En el panel Crear una definición de imagen de máquina virtual, escriba un nombre para la definición. Asegúrese de que el tipo de seguridad está establecido en Compatibilidad con "TrustedLaunch". Escriba la información del publicador, la oferta y la SKU. Luego, seleccione Aceptar.
- En la pestaña Replicación, escriba el recuento de réplicas y las regiones de destino para la replicación de imágenes, si es necesario.
- En la pestaña Cifrado, escriba información relacionada con el cifrado SSE, si es necesario.
- Seleccione Revisar + crear.
- Una vez validada correctamente la configuración, seleccione Crear para terminar de crear la imagen.
- Una vez creada la versión de la imagen, seleccione Crear máquina virtual.
- En la página Crear una máquina virtual, en Grupo de recursos, seleccione Crear nuevo y escriba un nombre para el grupo de recursos, o bien seleccione un grupo de recursos existente en la lista desplegable.
- En Detalles de la instancia, escriba un nombre para la máquina virtual y elija una región que admita el inicio seguro.
- Seleccione Máquinas virtuales de inicio seguro como tipo de seguridad. Las casillas Arranque seguro y vTPM están habilitadas de forma predeterminada.
- Rellene la información de Cuenta de administrador y Reglas del puerto de entrada.
- En la página de validación, revise los detalles de la máquina virtual.
- Una vez que la validación se ha realizado correctamente, seleccione Crear para terminar de crear la máquina virtual.
Imágenes de máquina virtual de inicio seguro
Para los siguientes orígenes de imagen, el tipo de seguridad de la definición de imagen debería establecerse en TrustedLaunch
:
- Captura de máquina virtual de inicio seguro
- Disco de sistema operativo administrado
- Instantánea de disco del sistema operativo administrado
La versión de imagen resultante solo se puede usar para crear máquinas virtuales de inicio seguro de Azure.
- Inicie sesión en Azure Portal.
- Para crear una imagen de Azure Compute Gallery desde una máquina virtual, abra una máquina virtual de inicio seguro existente y seleccione Capturar.
- En la página Crear una imagen, a continuación, permita que la imagen se comparta en la galería como una versión de la imagen de máquina virtual, ya que las imágenes administradas no se admiten para el inicio seguro.
- Cree una instancia de Azure Compute Gallery de destino o seleccione una galería existente.
- Seleccione el Estado del sistema operativo como Generalizado o Especializado. Si desea crear una imagen generalizada, asegúrese de generalizar la máquina virtual para quitar información específica de la máquina antes de seleccionar esta opción. Si el cifrado basado en Bitlocker está habilitado en la máquina virtual Windows de inicio seguro, es posible que no pueda generalizar lo mismo.
- Proporcione un nombre, un publicador, una oferta y detalles de la SKU para crear una definición de la imagen. El tipo de seguridad de la definición de imagen ya está establecido en Inicio seguro.
- Proporcione un número de versión para la versión de la imagen.
- Modifique las opciones de replicación si es necesario.
- En la parte inferior de la página Crear una imagen, seleccione Revisar y crear y, cuando la validación se muestre como aprobada, seleccione Crear.
- Una vez creada la versión de la imagen, vaya a esta directamente. Como alternativa, puede navegar a la versión de la imagen requerida a través de la definición de la imagen.
- En la página Versión de imagen de VM, seleccione Crear máquina virtual para ir a la página Crear una máquina virtual.
- En la página Crear una máquina virtual, en Grupo de recursos, seleccione Crear nuevo y escriba un nombre para el grupo de recursos, o bien seleccione un grupo de recursos existente en la lista desplegable.
- En Detalles de la instancia, escriba un nombre para la máquina virtual y elija una región que admita el inicio seguro.
- La imagen y el tipo de seguridad ya están rellenados en función de la versión de imagen seleccionada. Las casillas Arranque seguro y vTPM están habilitadas de forma predeterminada.
- Rellene la información de Cuenta de administrador y Reglas del puerto de entrada.
- En la parte inferior de la página, seleccione Revisar y crear.
- En la página de validación, revise los detalles de la máquina virtual.
- Una vez que la validación se ha realizado correctamente, seleccione Crear para terminar de crear la máquina virtual.
En caso de que quiera usar un disco administrado o una instantánea de disco administrado como origen de la versión de la imagen (en lugar de una máquina virtual de inicio seguro), siga estos pasos.
- Inicie sesión en el portal.
- Busque Versiones de imagen de máquina virtual y seleccione Crear.
- Proporcione la suscripción, el grupo de recursos, la región y el número de versión de la imagen.
- Seleccione el origen como Discos o Instantáneas.
- Seleccione el disco del sistema operativo como un disco administrado o una instantánea de disco administrado en la lista desplegable.
- Seleccione una galería de Azure Compute Gallery de destino para crear y compartir la imagen. Si no existe ninguna galería, cree una nueva galería.
- Seleccione el Estado del sistema operativo como Generalizado o Especializado. Si desea crear una imagen generalizada, asegúrese de generalizar el disco o la instantánea para quitar información específica de la máquina.
- En Definición de imagen de máquina virtual de destino, seleccione Crear nuevo. En la ventana que se abre, seleccione un nombre de definición de imagen y asegúrese de que el tipo de seguridad esté establecido en Inicio seguro. Proporcione la información del publicador, la oferta y la SKU y seleccione Aceptar.
- La pestaña Replicación se puede usar para establecer el recuento de réplicas y las regiones de destino para la replicación de imágenes, si es necesario.
- La pestaña Cifrado también se puede usar para proporcionar información relacionada con el cifrado SSE, si es necesario.
- Seleccione Crear en la pestaña Revisar y crear para crear la imagen.
- Una vez que la versión de la imagen se haya creado correctamente, seleccione el botón + Crear máquina virtual para acceder a la página Crear una máquina virtual.
- Siga los pasos del 12 al 18 como se mencionó anteriormente para crear una máquina virtual de inicio seguro con esta versión de imagen.
Comprobación o actualización de la configuración
Para las máquinas virtuales creadas con el inicio seguro habilitado, puede ver la configuración de esta característica si visita la página Información general de la máquina virtual en Azure Portal. La pestaña Propiedades mostrará el estado de las características de inicio seguro:
Para cambiar la configuración del inicio seguro, en el menú de la izquierda, seleccione Configuración en la sección Configuración. Puede habilitar o deshabilitar el arranque seguro, vTPM y la supervisión de la integridad desde la sección Tipo de seguridad. Cuando haya terminado, seleccione Guardar en la parte superior de la página.
Si la máquina virtual se está ejecutando, recibirá un mensaje que indica que se reiniciará la máquina virtual. Seleccione Sí y espere a que se reinicie la máquina virtual para que los cambios surtan efecto.
Pasos siguientes
Obtenga más información sobre el inicio seguro y la supervisión de la integridad de arranque de las máquinas virtuales.