Compartir vía

Inicio seguro para máquinas virtuales de Azure

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes

Azure ofrece Inicio de Confianza como un medio perfecto de mejorar la seguridad de las máquinas virtuales (VM) de Generación 2. El inicio seguro protege contra técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de forma independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.

Importante

Ventajas

  • Implemente máquinas virtuales de forma segura con cargadores de arranque comprobados, kernels del sistema operativo (OS) y controladores.
  • Proteja de forma segura las claves, los certificados y los secretos en las máquinas virtuales.
  • Obtenga información y confianza de la integridad de toda la cadena de arranque.
  • Asegúrese de que las cargas de trabajo son de confianza y verificables.

Tamaños de máquinas virtuales

Tipo Familias de tamaños admitidas Familias de tamaños no admitidas actualmente Familias de tamaños no admitidas
Uso general Familia B y Familia D Serie Dpsv5, serie Dpdsv5, serie Dplsv5, serie Dpldsv5 Familia A, Serie Dv2, Serie Dv3 y Familia confidencial DC
Proceso optimizado Familia F y Familia Fx Se admiten todos los tamaños.
Memoria optimizada Familia E y Familia Eb Familia M Familia confidencial EC
Almacenamiento optimizado Familia L Se admiten todos los tamaños.
GPU Familia NC, Familia ND y Familia NV Serie NDasrA100_v4, serie NDm_A100_v4 Serie NC, serie NV, serie NP
Proceso de alto rendimiento Serie HBv2, Serie HBv3, Serie HBv4, Serie HC y Serie HX Se admiten todos los tamaños.

Nota:

  • La instalación de los controladores de CUDA & GRID en máquinas virtuales Windows habilitadas para arranque seguro no requiere ningún paso adicional.
  • La instalación del controlador CUDA en máquinas virtuales Ubuntu habilitadas para arranque seguro requiere pasos adicionales. Para obtener más información, consulte Instalación de controladores de GPU de NVIDIA en máquinas virtuales de la serie N que ejecutan Linux. El arranque seguro debe deshabilitarse para instalar controladores CUDA en otras máquinas virtuales Linux.
  • La instalación del controlador GRID requiere que se deshabilite el arranque seguro para las máquinas virtuales Linux.
  • No se admiten familias de tamaño no admiten máquinas virtualesGeneración 2. Cambie el tamaño de la máquina virtual a familias de tamaño equivalentes admitidos para habilitar el inicio seguro.

Sistemas operativos admitidos

SO Versión
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition *

* Se admiten variaciones de este sistema operativo.

Más información

Regiones:

  • Todas las regiones públicas
  • Todas las regiones de Azure Government
  • Todas las regiones de Azure China

Precios: el inicio seguro no aumenta los costos de precios de las máquinas virtuales existentes.

Características no admitidas

Actualmente, las siguientes características de máquina virtual no se admiten con el inicio seguro:

Arranque seguro

En la raíz del inicio seguro es arranque seguro para la máquina virtual. El arranque seguro, que se implementa en el firmware de la plataforma, protege contra la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual.

Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) requieren la firma de editores de confianza. Tanto Windows como las distribuciones de Linux seleccionadas admiten el arranque seguro. Si el arranque seguro no puede autenticar que la imagen está firmada con un publicador de confianza, la máquina virtual no se puede iniciar. Para obtener más información, consulta Arranque seguro.

vTPM

El inicio seguro también presenta el módulo de plataforma segura virtual (vTPM) para las máquinas virtuales de Azure. Esta versión virtualizada de un Módulo de plataforma segura hardware es compatible con la especificación TPM2.0. Sirve como almacén seguro dedicado para claves y medidas.

El inicio seguro proporciona a la máquina virtual su propia instancia de TPM dedicada que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).

Inicio seguro usa vTPM para realizar la atestación remota a través de la nube. Las atestaciones habilitan las comprobaciones de estado de la plataforma y se usan para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente.

Si hubiera un error en el proceso, posiblemente porque la máquina virtual ejecutase un componente no autorizado, Microsoft Defender for Cloud emitirá alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.

Seguridad de virtualización

Seguridad basada en virtualización (VBS) usa el hipervisor para crear una región segura y aislada de memoria. Windows usa estas regiones para ejecutar varias soluciones de seguridad con mayor protección contra vulnerabilidades y vulnerabilidades de seguridad malintencionadas. El inicio seguro le permite habilitar la integridad del código de hipervisor (HVCI) y Credential Guard de Windows Defender.

HVCI es una mitigación del sistema eficaz que protege los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado. Comprueba los controladores y los archivos binarios del modo kernel antes de que se ejecuten, evitando que los archivos sin firmar se carguen en la memoria. Comprueba que el código ejecutable no se puede modificar después de que HVCI lo permita cargar. Para obtener más información sobre VBS y HVCI, consulte Seguridad basada en virtualización e integridad de código aplicada por hipervisor.

Con inicio seguro y VBS, puede habilitar Credential Guard de Windows Defender. Credential Guard aísla y protege los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Ayuda a evitar el acceso no autorizado a secretos y ataques de robo de credenciales, como ataques pass-the-hash. Para obtener más información, consulte Credential Guard.

Integración de Microsoft Defender para la nube

El inicio seguro se integra con Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente. Defender for Cloud evalúa continuamente las máquinas virtuales compatibles y emite recomendaciones pertinentes:

  • Recomendación para habilitar lade arranque seguro: la recomendación de arranque seguro solo se aplica a las máquinas virtuales que admiten el inicio seguro. Defender for Cloud identifica las máquinas virtuales que tienen deshabilitado el arranque seguro. Emite una recomendación de gravedad baja para habilitarla.

  • Recomendación para habilitar vTPM: si vTPM está habilitado para la máquina virtual, Defender for Cloud puede usarlo para realizar la atestación de invitado e identificar patrones de amenazas avanzadas. Si Defender for Cloud identifica las máquinas virtuales que admiten el inicio seguro con vTPM deshabilitada, emite una recomendación de gravedad baja para habilitarla.

  • Recomendación para instalar la extensión de atestación de invitado: si la máquina virtual tiene habilitado el arranque seguro y vTPM, pero no tiene instalada la extensión de atestación de invitado, Defender for Cloud emite recomendaciones de baja gravedad para instalar la extensión de atestación de invitado en ella. Esta extensión permite a Defender for Cloud atestiguar y supervisar proactivamente la integridad de arranque de las máquinas virtuales. La integridad del arranque se atestigua mediante la atestación remota.

  • Evaluación del estado de atestación o supervisión de la integridad de arranque: si la máquina virtual tiene habilitado el arranque seguro y vTPM y la extensión de atestación instalada, Defender for Cloud puede validar de forma remota que la máquina virtual se ha arrancado de forma correcta. Esta práctica se conoce como supervisión de la integridad de arranque. Defender for Cloud emite una evaluación que indica el estado de la atestación remota.

    Si las máquinas virtuales están configuradas correctamente con el inicio seguro, Defender for Cloud puede detectar y avisarle de problemas de mantenimiento de la máquina virtual.

  • Error de atestación de máquina virtual: Defender for Cloud realiza periódicamente la atestación en las máquinas virtuales. Esta atestación también ocurre después de que la máquina virtual se arranque. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación de la máquina virtual puede producir un error por las razones siguientes:

    • La información atestada, que incluye un registro de arranque, se desvía de una línea base de confianza. Cualquier desviación puede indicar que se cargan módulos que no son de confianza y que el sistema operativo podría estar en peligro.

    • No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Un origen no comprobado puede indicar que el malware está presente y podría interceptar el tráfico al vTPM.

      Nota:

      Las alertas están disponibles para las máquinas virtuales con vTPM habilitado y la extensión de atestación instalada. El arranque seguro debe estar habilitado para que se supere la atestación. Se produce un error en la atestación si el arranque seguro está deshabilitado. Si debe deshabilitar el arranque seguro, puede suprimir esta alerta para evitar falsos positivos.

  • Alerta del módulo de kernel de Linux que no es de confianza: para inicio seguro con arranque seguro habilitado, es posible que una máquina virtual arranque incluso si se produce un error en la validación de un controlador de kernel y está prohibido cargar. Si se produce un error de validación del controlador de kernel, Defender for Cloud emite alertas de gravedad baja. Aunque no hay ninguna amenaza inmediata, porque el controlador que no es de confianza no se cargó, estos eventos deben investigarse. Pregúntese:

    • ¿Qué controlador de kernel produjo un error? ¿Estoy familiarizado con el controlador de kernel con errores y espero que se cargue?
    • ¿La versión exacta del controlador es la misma que la esperada? ¿Los archivos binarios del controlador están intactos? Si el controlador con errores es un controlador asociado, ¿ha superado las pruebas de cumplimiento del sistema operativo para que se firmen?

(Versión preliminar) Inicio seguro como valor predeterminado

Importante

El valor predeterminado de inicio seguro está actualmente en versión preliminar. Esta versión preliminar está pensada solo para fines de prueba, evaluación y comentarios. No se recomiendan las cargas de trabajo de producción. Al registrarse en versión preliminar, acepta los términos de uso complementarios. Algunos aspectos de esta característica pueden cambiar con disponibilidad general (GA).

El inicio seguro como predeterminado (TLaD) está disponible en versión preliminar para las nuevas máquinas virtuales (VM) de Gen2 y conjuntos de escalado de máquinas virtuales (conjuntos de escalado).

El TLaD es un medio rápido y sin interacción para mejorar la posición de seguridad de la nueva Gen2 de las nuevas implementaciones de Azure VM y Virtual Machine Scale Sets. Con el inicio seguro como predeterminado, las nuevas máquinas virtuales de Gen2 o conjuntos de escalado creados a través de cualquier herramienta de cliente (como la plantilla de ARM, Bicep) tiene como valor predeterminado máquinas virtuales de inicio seguro con arranque seguro y vTPM habilitado.

La versión preliminar pública le permite validar estos cambios en su entorno respectivo para todas las nuevas máquinas virtuales de Azure Gen2, el conjunto de escalado y prepararse para este próximo cambio.

Nota:

Todas las nuevas máquinas virtuales de Gen2, conjunto de escalado, implementaciones con cualquier herramienta de cliente (plantilla de ARM, Bicep, Terraform, etc.) se establecen de forma predeterminada en Inicio seguro posterior al inicio posterior a la versión preliminar. Este cambio no invalida las entradas proporcionadas como parte del código de implementación.

Habilitación de la versión preliminar de TLaD

Registre la característica en versión preliminar TrustedLaunchByDefaultPreview en el espacio de nombres Microsoft.Compute en la suscripción de máquina virtual. Para más información, consulte Configuración de características en versión preliminar en la suscripción de Azure.

Para crear una nueva máquina virtual de Gen2 o un conjunto de escalado con el inicio de confianza predeterminado, ejecute el script de implementación existente tal como está a través del SDK de Azure, Terraform u otro método que no sea Azure Portal, la CLI o PowerShell. La nueva máquina virtual o el conjunto de escalado creados en la suscripción registrada da como resultado una máquina virtual de inicio seguro o un conjunto de escalado de máquinas virtuales.

Implementaciones de VM y conjuntos de escalado con versión preliminar de TLaD

Comportamiento existente

Para crear un conjunto de escalado y máquina virtual de inicio seguro, debe agregar el siguiente elemento securityProfile en la implementación:

"securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
        "secureBootEnabled": true,
        "vTpmEnabled": true,
    }
}

La ausencia de elemento securityProfile en el código de implementación implementa la máquina virtual y el conjunto de escalado sin habilitar el inicio seguro.

Ejemplos

  • vm-windows-admincenter : la plantilla de Azure Resource Manager (ARM) implementa una máquina virtual gen2 sin habilitar el inicio de confianza.
  • vm-simple-windows : la plantilla de ARM implementa la máquina virtual de lanzamiento de confianza (sin el valor predeterminado, ya que securityProfile se agrega explícitamente a la plantilla de ARM)

Nuevo comportamiento

Al usar la versión de API 2021-11-01 o superior AND en versión preliminar, la ausencia de securityProfile elemento de la implementación habilitará el lanzamiento de confianza de forma predeterminada en el nuevo conjunto de escalado y máquina virtual implementado si se cumplen las condiciones siguientes:

La implementación no tendrá como valor predeterminado Inicio seguro si no se cumplen una o varias de las condiciones enumeradas y se completan correctamente para crear un nuevo conjunto de escalado y máquina virtual Gen2 sin Inicio seguro.

Puede optar por ignorar explícitamente el valor predeterminado para la implementación de VM y el conjunto de escalamiento configurando Standard como el valor del parámetro securityType. Para más información, consulte ¿Puedo deshabilitar el inicio seguro para una nueva implementación de máquina virtual?

Limitaciones conocidas

No se puede omitir el predeterminado de inicio confiable y crear una máquina virtual Gen2 (inicio no confiable) a través del portal de Azure después de registrarse para la versión preliminar.

Después de activar la suscripción en versión de prueba, establecer el tipo Standard de seguridad en el portal de Azure implementará la máquina virtual o el conjunto de escalado Trusted launch. Esta limitación se solucionará antes de la disponibilidad general de Inicio seguro confiable por defecto.

Para mitigar esta limitación, puede anular el registro de la característica en vista previa quitando la marca TrustedLaunchByDefaultPreview de características en Microsoft.Compute el espacio de nombres en una suscripción determinada.

Captura de pantalla de la lista desplegable del tipo de seguridad en el Portal.

No se puede volver a cambiar el tamaño de la máquina virtual o VMSS a una familia de tamaño de máquina virtual de Inicio seguro (como la serie M) posterior al Inicio seguro.

No se admitirá el cambio de tamaño de la máquina virtual de inicio de confianza a familia de tamaños de máquina virtual no compatible con inicio de confianza.

Como mitigación, registre la marca de características UseStandardSecurityType en Microsoft.Compute el espacio de nombres AND revierta la máquina virtual desde Inicio seguro a solo Gen2 (inicio no seguro) estableciendo securityType = Standard mediante las herramientas de cliente disponibles (excepto Azure Portal).

Comentarios de la versión preliminar de TLaD

Póngase en contacto con nosotros para cualquier comentario, consulta o preocupación con respecto a este próximo cambio a través de la encuesta de retroalimentación de la versión preliminar predeterminada de lanzamiento confiable.

Deshabilitación de la versión preliminar de TLaD

Para deshabilitar la versión preliminar de TLaD, anule el registro de la característica en vista previa TrustedLaunchByDefaultPreview en el espacio de nombres Microsoft.Compute en la suscripción de máquina virtual. Para obtener más información, consulte Anulación del registro de la característica de vista previa.

Contenido relacionado

Implementación de unaMáquina virtual de inicio seguro.