Habilitar el inicio seguro en un conjunto de escalado uniforme existente

Se aplica a: ✔️ Conjunto de escalado uniforme ✔️ Conjunto de escalado flexible ❌ Service Fabric

Los conjuntos de escalado de máquinas virtuales de Azure admiten la habilitación del inicio seguro en una máquina virtual (VM) de conjuntos de escalado uniforme existentes mediante la actualización al tipo de seguridad de inicio seguro .

El inicio seguro permite la seguridad de proceso fundamental en máquinas virtuales y conjuntos de escalado de Azure Generation 2 y los protege contra técnicas avanzadas y persistentes de ataque, como kits de arranque y rootkits. Para ello, combina tecnologías de infraestructura como arranque seguro, vTPM y supervisión de integridad de arranque en el conjunto de escalado.

Limitaciones

• Habilitar el inicio seguro en conjuntos de escalado de máquinas virtuales con discos de datos conectados existentes requiere el modo de actualización establecido en Actualización gradual con un aumento máximo

  • Para validar si el conjunto de escalado está configurado con discos de datos, vaya al conjunto de escalado ->Discos en el menú Configuración -> compruebe bajo el encabezado Discos de datos:

• Actualmente la habilitación del inicio seguro en conjuntos de escalado de máquinas virtuales flexibles existentes está en versión preliminar. Regístrese para obtener una versión preliminar de la habilitación del inicio de confianza en la versión preliminar del conjunto de escalado flexible existente

• Actualmente no se admite la habilitación del inicio seguro en clústeres de Service Fabric existentes y clústeres administrados de Service Fabric.

Requisitos previos

• El conjunto de escalado no depende de las características que actualmente no se admiten con el inicio seguro.
• El conjunto de escalado debe configurarse con una familia de tamaños compatibles con el inicio seguro

  Nota

  • El tamaño de la máquina virtual se puede cambiar junto con la actualización de inicio seguro. Asegúrese de que la cuota del nuevo tamaño de máquina virtual está en contexto para evitar errores de actualización. Consulte Comprobación de las cuotas de vCPU.
  • El cambio de tamaño de la máquina virtual recrea la instancia con un nuevo tamaño y requiere tiempo de inactividad para cada instancia individual. Se puede realizar de forma gradual para evitar el tiempo de inactividad del conjunto de escalado.
• El conjunto de escalado debe configurarse con imagen de sistema operativo compatible con el inicio seguro. Para la imagen del sistema operativo de la galería de proceso de Azure, asegúrese de que la definición de imagen esté marcada como TrustedLaunchSupported

Habilitación del inicio seguro en el conjunto de escalado uniforme existente

Portal

En los siguientes pasos se detalla cómo habilitar el inicio seguro en un conjunto de escalado uniforme existente mediante Azure Portal.

1. (Opcional) Tamaño del conjunto de escalado: vaya a Size en Availability + scale - > Modifique el tamaño del conjunto de escalado si la familia de tamaños actuales no se admite con la configuración de seguridad de inicio seguro -> haga clic en Aplicar.

2. Imagen del sistema operativo: vaya a Operating system en Settings -> Haga clic en Change image reference.

3. Actualice la referencia de la imagen del sistema operativo a la imagen del sistema operativo compatible con el inicio seguro de Gen2. Asegúrese de que la imagen de origen Gen2 tiene un tipo de seguridad TrustedLaunchSupported si usa la imagen del sistema operativo de Azure Compute Gallery:> haga clic en Aplicar.

4. Tipo de seguridad: haga clic en EstándarSecurity type en la Overview página del conjunto de escalado O vaya a Configuration en Settings.

   

5. Actualice la lista desplegable de tipo de seguridad de la página Configuration de Standard a Trusted launch con Enable secure boot y Enable vTPM activada para habilitar la configuración de seguridad de inicio seguro. Haga clic Yes para confirmar los cambios.

   Nota

   • vTPM está habilitado de manera predeterminada.
   • El arranque seguro debe estar habilitado (no habilitado de forma predeterminada) si no usa controladores o kernel sin firmar personalizados. El arranque seguro conserva la integridad del arranque y habilita la seguridad básica para VM.

   

6. Valide los cambios en la página Overview del conjunto de escalado.

7. (Recomendado) Extensión de atestación de invitado: agregue extensión de atestación de invitado (GA) para el recurso conjunto de escalado, lo que permite supervisión de la integridad de arranque para el conjunto de escalado.

8. Actualice manualmente las instancias de máquina virtual si el modo de actualización uniforme del conjunto de escalado se establece en Manual.

Plantilla

A continuación se detallan los pasos mediante una plantilla de ARM para habilitar el inicio seguro en un conjunto de escalado uniforme existente.

Realice las siguientes modificaciones para habilitar el lanzamiento de confianza utilizando el código de implementación de plantillas de ARM existente. Para obtener una plantilla completa, consulte Inicio rápido de la plantilla de ARM del conjunto de escalado de inicio seguro.

Importante

El tipo de seguridad de inicio seguro está disponible con el conjunto de escalado apiVersion2020-12-01 o superior. Asegúrese de que la versión de la API se ha establecido correctamente antes de la actualización.

1. Imagen del sistema operativo: actualice la referencia de imagen del sistema operativo a la imagen de inicio compatible con el inicio seguro de Gen2. Asegúrese de que la imagen de origen Gen2 tenga el tipo de seguridad TrustedLaunchSupported si usa la imagen del sistema operativo de Azure Compute Gallery.

   "storageProfile": { 
           "osDisk": { 
               "createOption": "FromImage", 
               "caching": "ReadWrite" 
           }, 
           "imageReference": { 
               "publisher": "MicrosoftWindowsServer", 
               "offer": "WindowsServer", 
               "sku": "2022-datacenter-azure-edition", 
               "version": "latest" 
           } 
   }
   

2. (Opcional) Tamaño del conjunto de escalado: Modifique el tamaño del conjunto de escalado si la familia de tamaños actual no es compatible con la configuración de seguridad de Trusted launch.

       "sku": { 
           "name": "Standard_D2s_v3", 
           "tier": "Standard", 
           "capacity": "[parameters('instanceCount')]" 
       } 
   

3. Perfil de seguridad: agregue el bloque securityProfile en virtualMachineProfile para habilitar la configuración de seguridad de inicio seguro.

   Nota

   Configuración recomendada: vTPM y true y secureBoot: truesecureBoot debe establecerse en false si está usando cualquier controlador o kernel personalizado sin firmar en el sistema operativo.

   "securityProfile": { 
       "securityType": "TrustedLaunch", 
       "uefiSettings": { 
         "secureBootEnabled": true, 
         "vTpmEnabled": true
       } 
   }
   

4. (Recomendado) Extensión de atestación de invitado: agregue extensión de atestación de invitado (GA) para el recurso conjunto de escalado, lo que permite supervisión de la integridad de arranque para el conjunto de escalado.

   Importante

   La extensión de atestación de invitado requiere que secureBoot y vTPM estén establecidos en true.

   { 
       "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
       "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
       "apiVersion": "2022-03-01", 
       "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
       "location": "[parameters('location')]", 
       "properties": { 
         "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
         "type": "GuestAttestation", 
         "typeHandlerVersion": "1.0", 
         "autoUpgradeMinorVersion": true, 
         "enableAutomaticUpgrade": true, 
         "settings": { 
           "AttestationConfig": { 
             "MaaSettings": { 
               "maaEndpoint": "[substring('emptystring', 0, 0)]", 
               "maaTenantName": "GuestAttestation" 
             } 
           } 
         } 
       }, 
       "dependsOn": [ 
         "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
       ] 
   } 
   

   Nombre del publicador de extensiones:

   Tipo de SO	Nombre del publicador de extensiones
   Windows	Microsoft.Azure.Security.WindowsAttestation
   Linux	Microsoft.Azure.Security.LinuxAttestation

5. Revise los cambios realizados en la plantilla.

   Expanda para ver la plantilla de ARM de ejemplo completa, que admite la actualización del conjunto de escalado existente al inicio seguro y la reversión (si es necesario).

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "vmSku": {
         "type": "string",
         "defaultValue": "Standard_D2s_v3",
         "metadata": {
           "description": "Size of VMs in the VM Scale Set."
         }
       },
       "sku": {
         "type": "string",
         "defaultValue": "2022-datacenter-azure-edition",
         "allowedValues": [
           "2022-datacenter-azure-edition"
         ],
         "metadata": {
           "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
         }
       },
       "vmssName": {
         "type": "string",
         "maxLength": 61,
         "metadata": {
           "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
         }
       },
       "instanceCount": {
         "type": "int",
         "defaultValue": 2,
         "maxValue": 100,
         "minValue": 1,
         "metadata": {
           "description": "Number of VM instances (100 or less)."
         }
       },
       "adminUsername": {
         "type": "string",
         "metadata": {
           "description": "Admin username on all VMs."
         }
       },
       "adminPassword": {
         "type": "securestring",
         "metadata": {
           "description": "Admin password on all VMs."
         }
       },
       "location": {
         "type": "string",
         "defaultValue": "[resourceGroup().location]",
         "metadata": {
           "description": "Location for all resources."
         }
       },
       "publicIpName": {
         "type": "string",
         "defaultValue": "myPublicIP",
         "metadata": {
           "description": "Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "publicIPAllocationMethod": {
         "type": "string",
         "defaultValue": "Static",
         "allowedValues": [
           "Dynamic",
           "Static"
         ],
         "metadata": {
           "description": "Allocation method for the Public IP used to access the virtual machine set."
         }
       },
       "publicIpSku": {
         "type": "string",
         "defaultValue": "Standard",
         "allowedValues": [
           "Basic",
           "Standard"
         ],
         "metadata": {
           "description": "SKU for the Public IP used to access the virtual machine Scale set."
         }
       },
       "dnsLabelPrefix": {
         "type": "string",
         "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
         "metadata": {
           "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
         }
       },
       "healthExtensionProtocol": {
         "type": "string",
         "defaultValue": "TCP",
         "allowedValues": [
           "TCP",
           "HTTP",
           "HTTPS"
         ]
       },
       "healthExtensionPort": {
         "type": "int",
         "defaultValue": 3389
       },
       "healthExtensionRequestPath": {
         "type": "string",
         "defaultValue": "/"
       },
       "overprovision": {
         "type": "bool",
         "defaultValue": false
       },
       "upgradePolicy": {
         "type": "string",
         "defaultValue": "Manual",
         "allowedValues": [
           "Manual",
           "Rolling",
           "Automatic"
         ]
       },
       "maxBatchInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "maxUnhealthyUpgradedInstancePercent": {
         "type": "int",
         "defaultValue": 20
       },
       "pauseTimeBetweenBatches": {
         "type": "string",
         "defaultValue": "PT5S"
       },
       "securityType": {
         "type": "string",
         "defaultValue": "TrustedLaunch",
         "allowedValues": [
           "Standard",
           "TrustedLaunch"
         ],
         "metadata": {
           "description": "Security Type of the Virtual Machine."
         }
       },
       "encryptionAtHost": {
           "type": "bool",
           "defaultValue": false,
           "metadata": {
               "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
           }
       }
     },
     "variables": {
       "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
       "addressPrefix": "10.0.0.0/16",
       "subnetPrefix": "10.0.0.0/24",
       "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
       "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
       "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
       "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
       "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
       "natStartPort": 50000,
       "natEndPort": 50119,
       "natBackendPort": 3389,
       "nicName": "[format('{0}nic', variables('namingInfix'))]",
       "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
       "imageReference": {
         "2022-datacenter-azure-edition": {
           "publisher": "MicrosoftWindowsServer",
           "offer": "WindowsServer",
           "sku": "[parameters('sku')]",
           "version": "latest"
         }
       },
       "extensionName": "GuestAttestation",
       "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
       "extensionVersion": "1.0",
       "maaTenantName": "GuestAttestation",
       "maaEndpoint": "[substring('emptyString', 0, 0)]",
       "uefiSettingsJson": {
           "secureBootEnabled": true,
           "vTpmEnabled": true
       },
       "rollingUpgradeJson": {
         "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
         "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
         "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
         "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
       }
     },
     "resources": [
       {
         "type": "Microsoft.Network/virtualNetworks",
         "apiVersion": "2022-05-01",
         "name": "[variables('virtualNetworkName')]",
         "location": "[parameters('location')]",
         "properties": {
           "addressSpace": {
             "addressPrefixes": [
               "[variables('addressPrefix')]"
             ]
           },
           "subnets": [
             {
               "name": "[variables('subnetName')]",
               "properties": {
                 "addressPrefix": "[variables('subnetPrefix')]"
               }
             }
           ]
         }
       },
       {
         "type": "Microsoft.Network/publicIPAddresses",
         "apiVersion": "2022-05-01",
         "name": "[parameters('publicIpName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]"
         },
         "properties": {
           "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
           "dnsSettings": {
             "domainNameLabel": "[parameters('dnsLabelPrefix')]"
           }
         }
       },
       {
         "type": "Microsoft.Network/loadBalancers",
         "apiVersion": "2022-05-01",
         "name": "[variables('loadBalancerName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('publicIpSku')]",
           "tier": "Regional"
         },
         "properties": {
           "frontendIPConfigurations": [
             {
               "name": "LoadBalancerFrontEnd",
               "properties": {
                 "publicIPAddress": {
                   "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
                 }
               }
             }
           ],
           "backendAddressPools": [
             {
               "name": "[variables('bePoolName')]"
             }
           ],
           "inboundNatPools": [
             {
               "name": "[variables('natPoolName')]",
               "properties": {
                 "frontendIPConfiguration": {
                   "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
                 },
                 "protocol": "Tcp",
                 "frontendPortRangeStart": "[variables('natStartPort')]",
                 "frontendPortRangeEnd": "[variables('natEndPort')]",
                 "backendPort": "[variables('natBackendPort')]"
               }
             }
           ]
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
         ]
       },
       {
         "type": "Microsoft.Compute/virtualMachineScaleSets",
         "apiVersion": "2022-03-01",
         "name": "[parameters('vmssName')]",
         "location": "[parameters('location')]",
         "sku": {
           "name": "[parameters('vmSku')]",
           "tier": "Standard",
           "capacity": "[parameters('instanceCount')]"
         },
         "properties": {
           "virtualMachineProfile": {
             "storageProfile": {
               "osDisk": {
                 "createOption": "FromImage",
                 "caching": "ReadWrite"
               },
               "imageReference": "[variables('imageReference')[parameters('sku')]]"
             },
             "osProfile": {
               "computerNamePrefix": "[variables('namingInfix')]",
               "adminUsername": "[parameters('adminUsername')]",
               "adminPassword": "[parameters('adminPassword')]"
             },
             "securityProfile": {
                 "encryptionAtHost": "[parameters('encryptionAtHost')]",
                 "securityType": "[parameters('securityType')]",
                 "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
                 
             },
             "networkProfile": {
               "networkInterfaceConfigurations": [
                 {
                   "name": "[variables('nicName')]",
                   "properties": {
                     "primary": true,
                     "ipConfigurations": [
                       {
                         "name": "[variables('ipConfigName')]",
                         "properties": {
                           "subnet": {
                             "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                           },
                           "loadBalancerBackendAddressPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                             }
                           ],
                           "loadBalancerInboundNatPools": [
                             {
                               "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                             }
                           ]
                         }
                       }
                     ]
                   }
                 }
               ]
             },
             "extensionProfile": {
               "extensions": [
                 {
                   "name": "HealthExtension",
                   "properties": {
                     "publisher": "Microsoft.ManagedServices",
                     "type": "ApplicationHealthWindows",
                     "typeHandlerVersion": "1.0",
                     "autoUpgradeMinorVersion": false,
                     "settings": {
                       "protocol": "[parameters('healthExtensionProtocol')]",
                       "port": "[parameters('healthExtensionPort')]",
                       "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                     }
                   }
                 }
               ]
             },
             "diagnosticsProfile": {
               "bootDiagnostics": {
                 "enabled": true
               }
             }
           },
           "orchestrationMode": "Uniform",
           "overprovision": "[parameters('overprovision')]",
           "upgradePolicy": {
             "mode": "[parameters('upgradePolicy')]",
             "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
             "automaticOSUpgradePolicy": {
               "enableAutomaticOSUpgrade": true
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
           "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
         ]
       },
       {
         "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
         "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
         "apiVersion": "2022-03-01",
         "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
         "location": "[parameters('location')]",
         "properties": {
           "publisher": "[variables('extensionPublisher')]",
           "type": "[variables('extensionName')]",
           "typeHandlerVersion": "[variables('extensionVersion')]",
           "autoUpgradeMinorVersion": true,
           "enableAutomaticUpgrade": true,
           "settings": {
             "AttestationConfig": {
               "MaaSettings": {
                 "maaEndpoint": "[variables('maaEndpoint')]",
                 "maaTenantName": "[variables('maaTenantName')]"
               }
             }
           }
         },
         "dependsOn": [
           "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
         ]
       }
     ]
   }
   

6. Ejecute la implementación de la plantilla de ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

7. Comprobar que la implementación se ha realizado correctamente. Compruebe el tipo de seguridad y la configuración de UEFI del conjunto de escalado uniforme mediante Azure Portal. Compruebe la sección Tipo de seguridad de la página Información general.

   

8. Actualice manualmente las instancias de máquina virtual si el modo de actualización uniforme del conjunto de escalado se establece en Manual.

   $resourceGroupName = "myResourceGroup"
   $vmssName = "VMScaleSet001"
   Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"
   

CLI

En esta sección se describe el uso de la CLI de Azure para habilitar el inicio seguro en un recurso uniforme del conjunto de escalado de Azure existente.

Asegúrese de que la versión más reciente de la CLI de Azure esté instalada y que haya iniciado sesión en una cuenta de Azure con az login.

Nota

• vTPM está habilitado de manera predeterminada.
• El arranque seguro debe estar habilitado (no habilitado de forma predeterminada) si no usa controladores o kernel sin firmar personalizados. El arranque seguro conserva la integridad del arranque y habilita la seguridad básica para VM.

1. Iniciar sesión en la suscripción de Azure

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Habilite inicio seguro mediante el comando az vmss update estableciendo --security-type: TrustedLaunch, virtualMachineProfile.storageProfile.imageReference.sku: imagen de sistema operativo compatible con el inicio seguro de Gen2, --vm-sku: tamaño de máquina virtual compatible con el inicio seguro de Gen2.

   az vmss update --name MyScaleSet `
       --resource-group MyResourceGroup `
       --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
       --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
   

   Nota

   La SKU de imagen del sistema operativo usada en az vmss update debe ser del mismo publicador de imágenes del sistema operativo y de la misma oferta.

3. Valide la salida del comando anterior. La configuración de securityProfile se devuelve con la salida del comando.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Actualice manualmente las instancias de máquina virtual si el modo de actualización uniforme del conjunto de escalado se establece en Manual.

   az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
   

5. Inicie la actualización gradual si el modo de actualización uniforme del conjunto de escalado está establecido en RollingUpgrade.

   az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
   

PowerShell

En esta sección se explica cómo usar Azure PowerShell para habilitar el inicio seguro en un conjunto de escalado de máquinas virtuales uniformes existente.

Asegúrese de que la versión más reciente de Azure PowerShell esté instalada y haya iniciado sesión en una cuenta de Azure con Connect-AzAccount.

Nota

• vTPM está habilitado de manera predeterminada.
• El arranque seguro debe estar habilitado (no habilitado de forma predeterminada) si no usa controladores o kernel sin firmar personalizados. El arranque seguro conserva la integridad del arranque y habilita la seguridad básica para VM.

1. Iniciar sesión en la suscripción de Azure

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Habilite inicio seguro mediante el comando Update-AzVMSS estableciendo -SecurityType: TrustedLaunch, ImageReferenceSku: imagen de sistema operativo compatible con el inicio seguro de Gen2, -SkuName: tamaño de máquina virtual compatible con el inicio seguro de Gen2.

   $vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup
   
   # Enable Trusted Launch
   Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch
   
   # Enable Trusted Launch settings
   Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true
   
   Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
       -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
       -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
       -ImageReferenceSku 2022-datacenter-azure-edition
   

   Nota

   La SKU de imagen del sistema operativo usada en el comando Update-AzVMSS debe ser de la misma oferta y publicador de imágenes del sistema operativo.

3. La validación de la configuración securityProfile se devuelve con la salida del comando Get-AzVMSS.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

4. Actualice manualmente las instancias de máquina virtual si el modo de actualización uniforme del conjunto de escalado se establece en Manual.

   Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
   

5. Inicie la actualización gradual si el modo de actualización uniforme del conjunto de escalado está establecido en RollingUpgrade.

   Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
   

Reversión

Para revertir los cambios del inicio seguro a una configuración correcta conocida anterior, debe establecer securityType del conjunto de escalado en Estándar.

Portal

1. Imagen del sistema operativo: vaya a Operating system en Settings. Haga clic en Change image reference.

2. Actualice la referencia de imagen del sistema operativo a la última configuración correcta conocida:> haga clic en Aplicar.

3. Tipo de seguridad: navegue a la página Configuration bajo Settings -> y actualice la lista desplegable de tipo de seguridad en la página Configuration desde Trusted launch a Standard para deshabilitar la configuración de seguridad de Trusted Launch. Haga clic Yes para confirmar los cambios.

4. Valide los cambios en la página Overview del conjunto de escalado.

5. Actualice manualmente las instancias de máquina virtual si el modo de actualización uniforme del conjunto de escalado se establece en Manual.

Plantilla

Para revertir los cambios del inicio seguro a una configuración correcta conocida anterior, establezca securityProfile en Estándar tal como se muestra. Si lo desea, también puede revertir otros cambios de parámetros: imagen del sistema operativo, tamaño de la máquina virtual, y repetir los pasos 5-8 descritos con Habilitación del inicio seguro en el conjunto de escalado existente

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

CLI

Nota

Se requiere la versión 2.62.0 o posterior de la CLI de Azure para revertir un conjunto de escalado uniforme desde lanzamiento seguro a configuración de lanzamiento no confiable.

Para revertir los cambios del inicio seguro a una configuración correcta conocida anterior, establezca --security-type en Standard tal como se muestra. Si lo desea, también puede revertir otros cambios de parámetros: imagen del sistema operativo, tamaño de la máquina virtual, y repetir los pasos 2-5 descritos con Habilitación del inicio seguro en el conjunto de escalado existente

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

PowerShell

Para revertir los cambios del inicio seguro a una configuración correcta conocida anterior, establezca -SecurityType en Standard tal como se muestra. Si lo desea, también puede revertir otros cambios de parámetros: imagen del sistema operativo, tamaño de la máquina virtual, y repetir los pasos 2-5 descritos con Habilitación del inicio seguro en el conjunto de escalado existente

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# Roll-back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition

Pasos siguientes

(Recomendado) Las actualizaciones posteriores permiten la supervisión de la integridad de arranque para supervisar el estado de la máquina virtual mediante Microsoft Defender for Cloud.

Obtenga más información sobre el inicio seguro y revise las preguntas más frecuentes.