Activez le lancement fiable sur des machines virtuelles Azure existantes

Article
06/25/2024

S’applique à : ✔️ Machine virtuelle Linux ✔️ Machine virtuelle Windows ✔️ Machine virtuelle de génération 2

Le service Machines Virtuelles Azure prend en charge l’activation du lancement fiable sur des machines virtuelles Azure Génération 2 existantes en procédant à une mise à niveau vers le type de sécurité Lancement fiable.

Le Lancement fiable est un moyen d’activer la sécurité de calcul fondamentale sur les machines virtuelles Azure Génération 2 et protège contre les techniques d’attaque avancées et persistantes telles que les kits de démarrage et les rootkits. Cela est possible en combinant des technologies d’infrastructure telles que le démarrage sécurisé, vTPM et la surveillance de l’intégrité du démarrage sur votre machine virtuelle.

Important

La prise en charge de l’activation du lancement fiable sur les machines virtuelles Azure de 1re génération existantes est actuellement en préversion privée. Vous pouvez accéder à la préversion à l’aide du lien d’inscription https://aka.ms/Gen1ToTLUpgrade.

Prérequis

La machine virtuelle Azure Génération 2 est configurée avec :
- Famille de tailles prises en charge par le lancement fiable
- Image de système d’exploitation prise en charge par le lancement fiable. Pour les disques ou l’image de système d’exploitation personnalisée, l’image de base doit être compatible avec le lancement fiable.
La machine virtuelle Azure Génération 2 n’utilise aucune fonctionnalité qui n’est pas actuellement prise en charge avec le lancement fiable.
La machine virtuelle Azure Génération 2 doit être arrêtée et libérée avant l’activation du type de sécurité du lancement fiable.
Le service Sauvegarde Azure, s’il est activé pour la machine virtuelle, doit être configuré avec une stratégie de sauvegarde améliorée. Le type de sécurité de lancement fiable ne peut pas être activé pour une machine virtuelle Génération 2 configurée avec une stratégie standard de protection des sauvegardes.
- La sauvegarde de machine virtuelle Azure existante peut être migrée de Standard vers stratégie améliorée à l’aide de Migrer des sauvegardes de machines virtuelles Azure de standard à stratégie améliorée (préversion).

Bonnes pratiques

Activez le lancement fiable sur une machine virtuelle de génération 2 de test et vérifiez si des modifications sont nécessaires pour répondre aux conditions préalables avant d’activer le lancement fiable sur des machines virtuelles de génération 2 associées à des charges de travail de production.
Créez un point de restauration pour la machine virtuelle Azure Génération 2 associée aux charges de travail de production avant d’activer le type de sécurité de lancement fiable. Vous pouvez utiliser le point de restauration pour recréer les disques et la machine virtuelle de génération 2 avec l’état connu précédent.

Activez le lancement fiable sur une machine virtuelle existante

Remarque

Une fois le lancement fiable activé, les machines virtuelles actuelles ne peuvent pas être restaurées dans le type de sécurité Standard (configuration de lancement non fiable).
vTPM est activé par défaut.
Il est recommandé d’activer le démarrage sécurisé (désactivé par défaut) si vous n’utilisez pas de noyau ou de pilotes non signés personnalisés. Le démarrage sécurisé préserve l’intégrité du démarrage et fournit une sécurité de base pour les machines virtuelles.

Activez le lancement fiable sur une machine virtuelle Azure Génération 2 existante à l’aide du Portail Azure.

Connectez-vous au portail Azure
Valider la génération de machine virtuelle est V2 et Arrêter la machine virtuelle.
Dans la page Vue d’ensemble des Propriétés de la machine virtuelle, sélectionnez Standard dans Type de sécurité. Cela permet d’accéder à la page Configuration de la machine virtuelle.
Sélectionnez Type de sécurité dans le menu déroulant de la section Type de sécurité de la page Configuration.
Sélectionnez Lancement fiable dans le menu déroulant, puis cochez les cases pour activer le Démarrage sécurisé et vTPM. Cliquez sur Enregistrer après avoir apporté les modifications requises.
Remarque
- Les machines virtuelles de génération 2 créées à l’aide d’Azure Compute Gallery (ACG), Managed Image, OS Disk ne peuvent pas être mises à niveau vers le lancement fiable à l’aide du Portail. Vérifiez que la version du système d’exploitation est prise en charge pour le lancement fiable et utilisez PowerShell, l’interface de ligne de commande ou le modèle ARM pour exécuter la mise à niveau.
Fermez la page Configuration une fois la mise à jour effectuée avec succès et validez le Type de sécurité dans les propriétés de la machine virtuelle sur la page Vue d’ensemble.
Démarrez la machine virtuelle de lancement fiable mise à niveau et vérifiez que vous êtes en mesure de vous connecter à la machine virtuelle à l’aide du protocole RDP (pour une machine virtuelle Windows) ou de SSH (pour une machine virtuelle Linux).

Cette section décrit pas à pas comment utiliser Azure CLI pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

Assurez-vous que vous avez installé la dernière version d’Azure CLI et que vous êtes connecté à un compte Azure avec az login.

Se connecter à un abonnement Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Libérez la machine virtuelle.

az vm deallocate \
    --resource-group myResourceGroup --name myVm

Activez le lancement fiable en définissant --security-type sur TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Validez la sortie de la commande précédente. La configuration de securityProfile est retournée avec la sortie de la commande.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Démarrez la machine virtuelle.

az vm start \
    --resource-group myResourceGroup --name myVm

Démarrez la machine virtuelle de lancement fiable mise à niveau et vérifiez que vous êtes en mesure de vous connecter à la machine virtuelle à l’aide du protocole RDP (pour une machine virtuelle Windows) ou de SSH (pour une machine virtuelle Linux).

Cette section décrit pas à pas comment utiliser Azure PowerShell pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

Vérifiez que vous avez installé la dernière version d’Azure CLI et que vous êtes connecté à un compte Azure avec Connect-AzAccount.

Se connecter à un abonnement Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Libérez la machine virtuelle.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Activez le lancement fiable en définissant -SecurityType sur TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

ValidezsecurityProfile dans la configuration de machine virtuelle mise à jour.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Démarrez la machine virtuelle.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Démarrez la machine virtuelle de lancement fiable mise à niveau et vérifiez que vous êtes en mesure de vous connecter à la machine virtuelle à l’aide du protocole RDP (pour une machine virtuelle Windows) ou de SSH (pour une machine virtuelle Linux).

Cette section décrit pas à pas comment utiliser un modèle ARM pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

Un modèle Azure Resource Manager est un fichier JSON (JavaScript Object Notation) qui définit l’infrastructure et la configuration de votre projet. Le modèle utilise la syntaxe déclarative. Vous décrivez votre déploiement prévu sans écrire la séquence de commandes de programmation pour créer le déploiement.

Vérifiez le modèle.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Modifiez le fichier JSON des paramètres pour que les machines virtuelles soient mises à jour avec le type de sécurité TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Définition du fichier de paramètres

Propriété	Description de la propriété	Exemple de valeur de modèle
vmName	Nom de la machine virtuelle Azure de génération 2	"myVm"
location	Emplacement de la machine virtuelle Azure de génération 2	"westus3"
secureBootEnabled	Activez le démarrage sécurisé avec le type de sécurité Lancement fiable	true

Libérez toutes les machines virtuelles Azure Génération 2 à mettre à jour.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Exécutez le déploiement du modèle ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Vérifiez que déploiement a réussi. Vérifiez le type de sécurité et les paramètres UEFI de la machine virtuelle à l’aide du portail Azure. Consultez la section Type de sécurité de la page de présentation.
Démarrez la machine virtuelle de lancement fiable mise à niveau et vérifiez que vous êtes en mesure de vous connecter à la machine virtuelle à l’aide du protocole RDP (pour une machine virtuelle Windows) ou de SSH (pour une machine virtuelle Linux).

Étapes suivantes

(Recommandé) Après les mises à niveau, activez le Monitoring de l’intégrité du démarrage pour surveiller l’intégrité de la machine virtuelle à l’aide de Microsoft Defender pour le cloud.

Découvrez-en plus sur le Lancement fiable et passez en revue les questions fréquemment posées

Partager via