Inicio seguro para máquinas virtuales de Azure

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes

Azure ofrece el inicio seguro como una manera continua de mejorar la seguridad de las máquinas virtuales de generación 2. El inicio seguro protege frente a técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de manera independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.

Importante

El inicio seguro requiere la creación de nuevas máquinas virtuales. No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él.

Ventajas

  • Implemente máquinas virtuales de forma segura con los cargadores de arranque comprobados, los kernels del sistema operativo y los controladores.
  • Proteja de forma segura claves, certificados y secretos en las máquinas virtuales.
  • Obtenga información y confianza de la integridad de toda la cadena de arranque.
  • Asegúrese de que las cargas de trabajo sean de confianza y comprobables.

Limitaciones

Compatibilidad con tamaño de máquina virtual:

  • Serie B
  • Serie DCsv2
  • Serie DCsv3, serie DCdsv3
  • Serie Dv4, serie Dsv4, serie Dsv3, serie Dsv2
  • Serie Dav4, serie Dasv4
  • Serie Ddv4, serie Ddsv4
  • Serie Dv5, serie Dsv5
  • Ddv5-series, Ddsv5-series
  • Serie Dasv5,serie Dadsv5
  • Serie Ev5, serie Esv5
  • Edv5-series, Edsv5-series
  • Easv5-series, Eadsv5-series
  • Ebsv5-series, Ebdsv5-series
  • Serie Eav4, serie Easv4
  • Serie Ev4, serie Esv4, serie Esv3
  • Serie Edv4, serie Edsv4
  • Serie Fsv2
  • Serie Lsv2
  • Serie NCasT4_v3
  • NVadsA10 v5-series

Compatibilidad con SO:

  • Red Hat Enterprise Linux 8.3, 8.4, 8.5, 8.6, 9.0 LVM
  • SUSE Enterprise Linux 15 SP3
  • Ubuntu Server 22.04 LTS
  • Ubuntu Server 20.04 LTS
  • Ubuntu Server 18.04 LTS
  • Debian 11
  • CentOS 8.3, 8.4
  • Oracle Linux 8.3, 8.4, 8.5, 8.6, 9.0 LVM
  • CBL-Mariner
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows 11 Pro
  • Windows 11 Enterprise
  • Sesión múltiple de Windows 11 Enterprise
  • Windows 10 Pro
  • Windows 10 Enterprise
  • Sesión múltiple de Windows 10 Enterprise

Regiones:

  • Todas las regiones públicas

Precios: no hay coste adicional en los precios de las máquinas virtuales existentes.

No se admiten las siguientes características:

  • Azure Site Recovery
  • Disco compartido
  • Disco Ultra
  • Imagen administrada
  • Virtualización anidada

Arranque seguro

La raíz del inicio seguro es el arranque seguro para la máquina virtual. Este modo, que se implementa en el firmware de la plataforma, protege frente a la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual. Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Tanto Windows como las distribuciones de Linux seleccionadas admiten el arranque seguro. Si el arranque seguro no puede autenticar si la imagen está firmada por un editor de confianza, no se permitirá el arranque de la máquina virtual. Para obtener más información, consulta Arranque seguro.

vTPM

El inicio seguro también presenta vTPM para las máquinas virtuales de Azure. Esta es una versión virtualizada de un módulo de plataforma segura de hardware, compatible con la especificación TPM2.0. Sirve como almacén seguro dedicado para claves y medidas. El inicio seguro proporciona la máquina virtual con su propia instancia de TPM dedicada, que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).

El inicio seguro usa vTPM para realizar la atestación remota por parte de la nube. Se usa para las comprobaciones de estado de la plataforma y para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente. Si se produce un error en el proceso, posiblemente porque la máquina virtual ejecuta un componente no autorizado, Microsoft Defender for Cloud emitirá alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.

Seguridad de virtualización

La seguridad basada en virtualización (SBV) utiliza el hipervisor para crear una región de memoria segura y aislada. Windows usa estas regiones para ejecutar varias soluciones de seguridad con mayor protección contra vulnerabilidades y vulnerabilidades de seguridad malintencionadas. El inicio seguro le permite habilitar la integridad de código de hipervisor (HVCI) y Credential Guard de Windows Defender.

HVCI es una mitigación del sistema eficaz que protege los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado. Comprueba los controladores y los archivos binarios del modo kernel antes de que se ejecuten, evitando que los archivos sin firmar se carguen en la memoria. Esto garantiza que el código ejecutable no se puede modificar una vez se permita su caga. Para obtener más información sobre VBS y HVCI, consulte Seguridad basada en virtualización (SBV) e integridad de código aplicada por el hipervisor (HVCI).

Con el inicio seguro y SBV, puede habilitar Credential Guard de Windows Defender. Esta característica aísla y protege los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Ayuda a evitar el acceso no autorizado a secretos y ataques de robo de credenciales, como ataques Pass-the-Hash (PtH). Para obtener más información, consulte Credential Guard.

Integración de Microsoft Defender para la nube

El inicio seguro se integra con Azure Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente. Azure Defender for Cloud evaluará continuamente las máquinas virtuales compatibles y emitirá las recomendaciones pertinentes.

  • Recomendación para habilitar el arranque seguro: esta recomendación solo se aplica a las máquinas virtuales que admiten el inicio seguro. Azure Defender for Cloud identificará las máquinas virtuales que pueden habilitar el arranque seguro, pero que lo tienen deshabilitado. Emitirá una recomendación de gravedad baja para habilitarlo.
  • Recomendación para habilitar vTPM: Si la máquina virtual tiene vTPM habilitado, Azure Defender for Cloud puede usarla para realizar la atestación de invitados e identificar patrones de amenazas avanzados. Si Azure Defender for Cloud identifica las máquinas virtuales que admiten el inicio seguro y tienen vTPM deshabilitado, emitirá una recomendación de gravedad baja para habilitarla.
  • Recomendación para instalar la extensión de atestación de invitado: Si la máquina virtual tiene habilitado el arranque seguro y vTPM, pero no tiene instalada la extensión de atestación de invitado, Azure Defender for Cloud emitirá una recomendación de gravedad baja para instalar en ella la extensión de atestación de invitado. Esta extensión permite a Azure Defender for Cloud atestiguar y supervisar de forma proactiva la integridad de arranque de las máquinas virtuales. La integridad del arranque se atestigua mediante la atestación remota.
  • Evaluación del estado de atestación o supervisión de la integridad de arranque: si la máquina virtual tiene el arranque seguro y vTPM habilitados y la extensión de atestación instalada, Azure Defender for Cloud puede validar de forma remota que la máquina virtual se ha arrancado de forma correcta. Esto se conoce como supervisión de la integridad de arranque. Azure Defender for Cloud emite una evaluación, que indica el estado de la atestación remota. Actualmente, la supervisión de la integridad del arranque se admite tanto en máquinas virtuales Windows y Linux individuales como en conjuntos de escalado uniformes.

Si las máquinas virtuales están configuradas correctamente con el inicio seguro, Microsoft Defender for Cloud puede detectarlas y enviarle una alerta de los problemas de estado de la máquina virtual.

  • Alerta de error de atestación de máquina virtual: Microsoft Defender for Cloud realizará periódicamente la atestación en las máquinas virtuales. Esto también ocurre después de que la máquina virtual se arranque. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación de la máquina virtual puede producir un error por las razones siguientes:

    • La información atestada, que incluye un registro de arranque, se desvía de una línea base de confianza. Esto puede indicar que los módulos que no son de confianza se han cargado y que el sistema operativo puede estar en peligro.
    • No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Esto puede indicar que el malware está presente y puede estar interceptando tráfico a vTPM.

    Nota

    Esta alerta está disponible para las máquinas virtuales con vTPM habilitado y la extensión de atestación instalada. El arranque seguro debe estar habilitado para que se supere la atestación. Se producirá un error en la atestación si el arranque seguro está deshabilitado. Si debe deshabilitar el arranque seguro, puede suprimir esta alerta para evitar falsos positivos.

  • Alerta para el módulo de kernel de Linux que no es de confianza: para el inicio seguro con arranque seguro habilitado, es posible que una máquina virtual arranque incluso si se produce un error en la validación de un controlador de kernel y se prohíbe la carga. Si esto sucede, Microsoft Defender for Cloud emitirá una alerta de gravedad baja. Aunque no hay ninguna amenaza inmediata, ya que no se ha cargado el controlador que no es de confianza, se deben investigar estos eventos. Tenga en cuenta lo siguiente.

    • ¿Qué controlador de kernel produjo un error? ¿Estoy familiarizado con este controlador y espero que se cargue?
    • ¿Es esta la versión exacta del controlador que se espera? ¿Los archivos binarios del controlador están intactos? Si se trata de un controlador de terceros, ¿el proveedor pasó las pruebas de cumplimiento del sistema operativo para que se firme?

Preguntas más frecuentes

Preguntas más frecuentes sobre el inicio seguro.

¿Por qué debo usar el inicio seguro? ¿Para qué sirve la protección de inicio seguro?

El inicio seguro protege contra los kits de arranque, los rootkits y el malware de nivel de kernel. Estos sofisticados tipos de malware se ejecutan en modo kernel y permanecen ocultos para los usuarios. Por ejemplo:

  • Rootkits de firmware: estos kits sobrescriben el firmware del BIOS de la máquina virtual, por lo que el rootkit puede iniciarse antes que el sistema operativo.
  • Kits de arranque: estos kits reemplazan el cargador de arranque del sistema operativo para que la máquina virtual cargue el kit de arranque antes que el sistema operativo.
  • Rootkits de kernel: estos kits reemplazan una parte del kernel del sistema operativo para que el rootkit pueda iniciarse automáticamente cuando se carga el sistema operativo.
  • Rootkits de controladores: se supone que estos kits son uno de los controladores de confianza que utiliza el sistema operativo para comunicarse con los componentes de la máquina virtual.

¿Cuáles son las diferencias entre el arranque seguro y el arranque medido?

En la cadena de arranque seguro, cada paso del proceso de arranque comprueba una firma criptográfica de los pasos siguientes. Por ejemplo, el BIOS comprobará una firma en el cargador y el cargador comprobará las firmas de todos los objetos de kernel que cargue, etc. Si alguno de los objetos está en peligro, la firma no coincidirá y la máquina virtual no arrancará. Para obtener más información, consulta Arranque seguro. El arranque medido no detiene el proceso de arranque, mide o calcula el hash de los siguientes objetos de la cadena y almacena los valores hash en los registros de configuración de la plataforma (PCR) en vTPM. Los registros de arranque medidos se utilizan para la supervisión de la integridad de arranque.

¿Qué ocurre cuando se detecta un error de integridad?

El inicio seguro para máquinas virtuales de Azure se supervisa para detectar amenazas avanzadas. Si se detectan estas amenazas, se desencadenará una alerta. Las alertas solo están disponibles si están habilitadas las características de seguridad mejoradas de Defender for Cloud.

Defender for Cloud realiza periódicamente la atestación. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación del inicio seguro puede producir un error por las razones siguientes:

El inicio seguro para máquinas virtuales de Azure se supervisa para detectar amenazas avanzadas. Si se detectan estas amenazas, se desencadenará una alerta. Las alertas solo están disponibles en el nivel estándar de Azure Defender for Cloud. Azure Defender for Cloud realiza periódicamente la atestación. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación del inicio seguro puede producir un error por las razones siguientes:

  • La información atestada, que incluye un registro de la base de cálculo de confianza (TCB), se desvía de una línea base de confianza (como cuando el arranque seguro está habilitado). Esto puede indicar que los módulos que no son de confianza se han cargado y que el sistema operativo puede estar en peligro.
  • No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Esto puede indicar que el malware está presente y puede estar interceptando tráfico a vTPM.
  • La extensión de atestación en la máquina virtual no responde. Esto puede indicar un ataque por denegación de servicio por malware o un administrador del sistema operativo.

¿Cómo se compara el inicio seguro con la máquina virtual blindada de Hyper-V?

Actualmente, la máquina virtual blindada de Hyper-V solo está disponible en Hyper-V. Normalmente, la máquina virtual blindada de Hyper-V se implementa junto con el tejido protegido. Un tejido protegido consta de un Servicio de protección de host (HGS), uno o más hosts protegidos y un conjunto de máquinas virtuales blindadas. Las máquinas virtuales blindadas de Hyper-V están destinadas a usarse en tejidos en los que los datos y el estado de la máquina virtual deben estar protegidos de los administradores del tejido y del software que no es de confianza y que podrían estar ejecutándose en los hosts de Hyper-V. Por otro lado, el inicio seguro se puede implementar como una máquina virtual independiente o conjuntos de escalado de máquinas virtuales en Azure sin necesidad de implementación y administración adicionales de HGS. Las demás características de inicio seguro se pueden habilitar con un simple cambio en el código de implementación o una casilla en Azure Portal.

El inicio seguro ahora permite crear y compartir imágenes por medio de Azure Compute Gallery (anteriormente Shared Image Gallery). Un origen de imágenes puede ser una máquina virtual de Azure existente, ya sea generalizada o especializada, un disco administrado existente o una instantánea, un disco duro virtual o una versión de imagen de otra galería. Para implementar una máquina virtual de inicio seguro desde una versión de imagen de Azure Compute Gallery, vea Máquina virtual con inicio seguro.

¿Admite el inicio seguro Azure Backup?

El inicio seguro ahora admite Azure Backup. Para más información, vea Matriz de compatibilidad para copias de seguridad de máquinas virtuales de Azure.

¿Admite el inicio seguro discos de SO efímeros?

El inicio seguro admite discos de SO efímeros. Observe que al usar discos efímeros para VM de inicio seguro es posible que las claves y los secretos generados o sellados por vTPM después de la creación de la VM no se conserven en operaciones como el restablecimiento de imágenes y eventos de plataforma como la recuperación del servicio. Para más información, vea Inicio seguro para discos de SO efímeros (versión preliminar).

¿Cómo puedo encontrar los tamaños de máquina virtual que admiten el inicio seguro?

Vea la lista de tamaños de máquina virtual de generación 2 que admiten el inicio seguro.

Los siguientes comandos se pueden usar para comprobar si un tamaño de máquina virtual de generación 2 no admite el inicio seguro.

CLI

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

PowerShell

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

La respuesta es similar al formato siguiente. TrustedLaunchDisabled True en la salida indica que el tamaño de máquina virtual de generación 2 no admite el inicio seguro. Si se trata de un tamaño de máquina virtual de generación 2 y TrustedLaunchDisabled no forma parte de la salida, significa que se admite el inicio seguro para ese tamaño de máquina virtual.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

¿Qué es el estado de invitado de la máquina virtual (VMGS)?

El estado de invitado de la máquina virtual (VMGS) es específico de la máquina virtual de inicio seguro. Es un blob administrado por Azure y contiene las bases de datos unificadas de firma de arranque seguro de Unified Extensible Firmware Interface(UEFI) y otra información de seguridad. El ciclo de vida del blob de VMGS está asociado al del disco del sistema operativo.

Pasos siguientes

Implementación de una máquina virtual con inicio seguro.