Inicio seguro para máquinas virtuales de Azure

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes

Azure ofrece el inicio seguro como una manera continua de mejorar la seguridad de las máquinas virtuales de generación 2. El inicio seguro protege frente a técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de manera independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.

Importante

• Inicio seguro está seleccionado como el estado predeterminado para las máquinas virtuales de Azure recién creadas. Si la nueva máquina virtual requiere características que no son compatibles con el inicio seguro, consulte las preguntas más frecuentes de inicio seguro
• Las máquinas virtuales de Azure Generation 2 existentes pueden tener habilitado el inicio seguro después de crearse. Para más información, consulte Habilitación del inicio seguro en máquinas virtuales existentes.
• No se puede habilitar el inicio seguro en un conjunto de escalado de máquinas virtuales (VMSS) existente que se creó inicialmente sin él. El inicio seguro requiere la creación de VMSS.

Ventajas

• Implemente máquinas virtuales de forma segura con los cargadores de arranque comprobados, los kernels del sistema operativo y los controladores.
• Proteja de forma segura claves, certificados y secretos en las máquinas virtuales.
• Obtenga información y confianza de la integridad de toda la cadena de arranque.
• Asegúrese de que las cargas de trabajo sean de confianza y comprobables.

Tamaños de máquinas virtuales

Tipo	Familias de tamaños admitidas	Familias de tamaños no admitidas actualmente	Familias de tamaños no admitidas
Uso general	Serie B, serie DCsv2, serie DCsv3, serie DCdsv3, serie Dv4, serie Dsv4, serie Dsv3, serie Dsv2, serie Dav4, serie Dasv4, serie Ddv4, serie Ddsv4, serie Dv5, serie Dsv5, serie Ddv5, serie Ddsv5, serie Dasv5, serie Dadsv5, serie Dlsv5, serie Dldsv5	Serie Dpsv5, serie Dpdsv5, serie Dplsv5, serie Dpldsv5	Serie Av2, serie Dv2, serie Dv3
Proceso optimizado	Serie FX, serie Fsv2	Se admiten todos los tamaños.
Memoria optimizada	Serie Dsv2, serie Esv3, serie Ev4, serie Esv4, serie Edv4, serie Edsv4, serie Eav4, serie Easv4, serie Easv5, serie Eadsv5, serie Ebsv5, serie Ebdsv5, serie Edv5, serie Edsv5	Serie Epsv5, serie Epdsv5, serie M, serie Msv2, serie Mdsv2 con memoria mediana, serie Mv2	Serie Ev3
Almacenamiento optimizado	Serie Lsv2, serie Lsv3, serie Lasv3	Se admiten todos los tamaños.
GPU	Serie NCv2, serie NCv3, serie NCasT4_v3, serie NVv3, serie NVv4, serie NDv2, serie NC_A100_v4, serie NVadsA10 v5	Serie NDasrA100_v4, serie NDm_A100_v4	Serie NC, serie NV, serie NP
Proceso de alto rendimiento	Serie HB, serie HBv2, serie HBv3, serie HBv4, serie HC, serie HX	Se admiten todos los tamaños.

Nota:

• La instalación de los controladores CUDA y GRID en máquinas virtuales de Windows habilitadas para el arranque seguro no requiere ningún paso adicional.
• La instalación del controlador CUDA en máquinas virtuales Ubuntu habilitadas para arranque seguro requiere pasos adicionales documentados en Instalación de controladores de GPU de NVIDIA en máquinas virtuales de la serie N que ejecutan Linux. El arranque seguro debe deshabilitarse para instalar controladores CUDA en otras máquinas virtuales Linux.
• La instalación del controlador GRID requiere que se deshabilite el arranque seguro para las máquinas virtuales Linux.
• Las familias de tamaños no admitidas no admiten máquinas virtuales de generación 2. Cambie el tamaño de la máquina virtual a familias de tamaños admitidas equivalentes para habilitar el inicio seguro.

Sistemas operativos admitidos

SO	Versión
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022*
Window Server (Azure Edition)	2022

* Se admiten variaciones de este sistema operativo.

Información adicional

Regiones:

• Todas las regiones públicas
• Todas las regiones de Azure Government
• Todas las regiones de Azure China

Precios: el inicio seguro no aumenta los costos de precios de las máquinas virtuales existentes.

Características no admitidas

Nota:

Las siguientes características de máquina virtual no se admiten actualmente con el inicio seguro.

• Azure Site Recovery
• Imagen administrada (se recomienda a los clientes que usen Azure Compute Gallery)
• Virtualización anidada (se admiten la mayoría de familias de tamaños de máquina virtual v5)

Arranque seguro

La raíz del inicio seguro es el arranque seguro para la máquina virtual. El arranque seguro, que se implementa en el firmware de la plataforma, protege contra la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual. Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) requieren la firma de editores de confianza. Tanto Windows como las distribuciones de Linux seleccionadas admiten el arranque seguro. Si el arranque seguro no puede autenticar que la imagen está firmada por un publicador de confianza, la máquina virtual no se puede iniciar. Para obtener más información, consulta Arranque seguro.

vTPM

El inicio seguro también presenta vTPM para las máquinas virtuales de Azure. vTPM es una versión virtualizada de un módulo de plataforma segura de hardware, compatible con la especificación TPM2.0. Sirve como almacén seguro dedicado para claves y medidas. El inicio seguro proporciona la máquina virtual con su propia instancia de TPM dedicada, que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).

El inicio seguro usa vTPM para realizar la atestación remota a través de la nube. Las atestaciones habilitan las comprobaciones de estado de la plataforma y para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente. Si se produce un error en el proceso, posiblemente porque la máquina virtual ejecuta un componente no autorizado, Microsoft Defender for Cloud emite alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.

Seguridad de virtualización

La seguridad basada en virtualización (SBV) utiliza el hipervisor para crear una región de memoria segura y aislada. Windows usa estas regiones para ejecutar varias soluciones de seguridad con mayor protección contra vulnerabilidades y vulnerabilidades de seguridad malintencionadas. El inicio seguro le permite habilitar la integridad de código de hipervisor (HVCI) y Credential Guard de Windows Defender.

HVCI es una mitigación del sistema eficaz que protege los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado. Comprueba los controladores y los archivos binarios del modo kernel antes de que se ejecuten, evitando que los archivos sin firmar se carguen en la memoria. Comprueba que el código ejecutable no se puede modificar una vez que se pueda cargar. Para obtener más información sobre VBS y HVCI, consulte Seguridad basada en virtualización (SBV) e integridad de código aplicada por el hipervisor (HVCI).

Con el inicio seguro y SBV, puede habilitar Credential Guard de Windows Defender. Credential Guard aísla y protege los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Ayuda a evitar el acceso no autorizado a secretos y ataques de robo de credenciales, como ataques Pass-the-Hash (PtH). Para obtener más información, consulte Credential Guard.

Integración de Microsoft Defender para la nube

El inicio de confianza se integra con Microsoft Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente. Microsoft Defender for Cloud evalúa continuamente las máquinas virtuales compatibles y emitirá recomendaciones pertinentes.

• Recomendación para habilitar el arranque seguro: la recomendación de arranque seguro solo se aplica a las máquinas virtuales que admiten el inicio seguro. Microsoft Defender for Cloud identifica las máquinas virtuales que pueden habilitar el arranque seguro, pero que lo han deshabilitado. Emite una recomendación de gravedad baja para habilitarlo.
• Recomendación para habilitar vTPM: si la máquina virtual tiene vTPM habilitado, Microsoft Defender for Cloud puede usarla para realizar la atestación de invitados e identificar patrones de amenazas avanzados. Si Microsoft Defender for Cloud identifica las máquinas virtuales que admiten el inicio seguro y tienen deshabilitado vTPM, emite una recomendación de gravedad baja para habilitarlo.
• Recomendación para instalar la extensión de atestación de invitado: si la máquina virtual tiene habilitado el arranque seguro y vTPM, pero no tiene instalada la extensión de atestación de invitado, Microsoft Defender for Cloud emite unas recomendaciones de gravedad baja para instalar en ella la extensión de atestación de invitado. Esta extensión permite a Microsoft Defender for Cloud atestiguar y supervisar de forma proactiva la integridad de arranque de las máquinas virtuales. La integridad del arranque se atestigua mediante la atestación remota.
• Evaluación del estado de atestación o supervisión de la integridad de arranque: si la máquina virtual tiene el arranque seguro y vTPM habilitados y la extensión de atestación instalada, Microsoft Defender for Cloud puede validar de forma remota que la máquina virtual se ha arrancado de forma correcta. Esto se conoce como supervisión de la integridad de arranque. Microsoft Defender for Cloud emite una evaluación que indica el estado de la atestación remota.

Si las máquinas virtuales están configuradas correctamente con el inicio seguro, Microsoft Defender for Cloud puede detectarlas y enviarle una alerta de los problemas de estado de la máquina virtual.

• Alerta de error de atestación de máquina virtual: Microsoft Defender for Cloud realiza periódicamente la atestación en las máquinas virtuales. Esta atestación también ocurre después de que la máquina virtual se arranque. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación de la máquina virtual puede producir un error por las razones siguientes:

  • La información atestada, que incluye un registro de arranque, se desvía de una línea base de confianza. Cualquier desviación puede indicar que se han cargado módulos que no son de confianza y que el sistema operativo podría estar en peligro.
  • No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Un origen no comprobado puede indicar que el malware está presente y podría interceptar el tráfico al vTPM.

  Nota:

  Las alertas están disponibles para las máquinas virtuales con vTPM habilitado y la extensión de atestación instalada. El arranque seguro debe estar habilitado para que se supere la atestación. Se produce un error en la atestación si el arranque seguro está deshabilitado. Si debe deshabilitar el arranque seguro, puede suprimir esta alerta para evitar falsos positivos.

• Alerta para el módulo de kernel de Linux que no es de confianza: para el inicio seguro con arranque seguro habilitado, es posible que una máquina virtual arranque incluso si se produce un error en la validación de un controlador de kernel y se prohíbe la carga. Si esto sucede, Microsoft Defender for Cloud emite alertas de gravedad baja. Aunque no hay ninguna amenaza inmediata, porque no se ha cargado el controlador que no es de confianza, estos eventos deben investigarse.

  • ¿Qué controlador de kernel produjo un error? ¿Estoy familiarizado con este controlador y espero que se cargue?
  • ¿Es esta la versión exacta del controlador que se espera? ¿Los archivos binarios del controlador están intactos? Si se trata de un controlador de terceros, ¿el proveedor pasó las pruebas de cumplimiento del sistema operativo para que se firme?

Pasos siguientes

Implementación de una máquina virtual con inicio seguro.