Activez le lancement fiable sur des machines virtuelles Azure existantes
S’applique à : ✔️ Machine virtuelle Linux ✔️ Machine virtuelle Windows ✔️ Machine virtuelle de génération 2
Le service Machines Virtuelles Azure prend en charge l’activation du lancement fiable sur des machines virtuelles Azure Génération 2 existantes en procédant à une mise à niveau vers le type de sécurité Lancement fiable.
Le Lancement fiable est un moyen d’activer la sécurité de calcul fondamentale sur les machines virtuelles Azure Génération 2 et protège contre les techniques d’attaque avancées et persistantes telles que les kits de démarrage et les rootkits. Cela est possible en combinant des technologies d’infrastructure telles que le démarrage sécurisé, vTPM et la surveillance de l’intégrité du démarrage sur votre machine virtuelle.
Important
- La prise en charge de l’activation du lancement fiable sur les machines virtuelles Azure de 1re génération existantes est actuellement en préversion privée. Vous pouvez accéder à la préversion à l’aide du lien d’inscription https://aka.ms/Gen1ToTLUpgrade.
Prérequis
- La machine virtuelle Azure Génération 2 est configurée avec :
- Famille de tailles prises en charge par le lancement fiable
- Image de système d’exploitation prise en charge par le lancement fiable. Pour les disques ou l’image de système d’exploitation personnalisée, l’image de base doit être compatible avec le lancement fiable.
- La machine virtuelle Azure Génération 2 n’utilise aucune fonctionnalité qui n’est pas actuellement prise en charge avec le lancement fiable.
- La machine virtuelle Azure Génération 2 doit être arrêtée et libérée avant l’activation du type de sécurité du lancement fiable.
- Le service Sauvegarde Azure, s’il est activé pour la machine virtuelle, doit être configuré avec une stratégie de sauvegarde améliorée. Le type de sécurité de lancement fiable ne peut pas être activé pour une machine virtuelle Génération 2 configurée avec une stratégie standard de protection des sauvegardes.
- La sauvegarde de machine virtuelle Azure existante peut être migrée de Standard vers stratégie améliorée à l’aide de Migrer des sauvegardes de machines virtuelles Azure de standard à stratégie améliorée (préversion).
Bonnes pratiques
- Activez le lancement fiable sur une machine virtuelle de génération 2 de test et vérifiez si des modifications sont nécessaires pour répondre aux conditions préalables avant d’activer le lancement fiable sur des machines virtuelles de génération 2 associées à des charges de travail de production.
- Créez un point de restauration pour la machine virtuelle Azure Génération 2 associée aux charges de travail de production avant d’activer le type de sécurité de lancement fiable. Vous pouvez utiliser le point de restauration pour recréer les disques et la machine virtuelle de génération 2 avec l’état connu précédent.
Activez le lancement fiable sur une machine virtuelle existante
Remarque
- Une fois le lancement fiable activé, les machines virtuelles actuelles ne peuvent pas être restaurées dans le type de sécurité Standard (configuration de lancement non fiable).
- vTPM est activé par défaut.
- Il est recommandé d’activer le démarrage sécurisé (désactivé par défaut) si vous n’utilisez pas de noyau ou de pilotes non signés personnalisés. Le démarrage sécurisé préserve l’intégrité du démarrage et fournit une sécurité de base pour les machines virtuelles.
Activez le lancement fiable sur une machine virtuelle Azure Génération 2 existante à l’aide du Portail Azure.
Connectez-vous au portail Azure
Valider la génération de machine virtuelle est V2 et Arrêter la machine virtuelle.
Dans la page Vue d’ensemble des Propriétés de la machine virtuelle, sélectionnez Standard dans Type de sécurité. Cela permet d’accéder à la page Configuration de la machine virtuelle.
Sélectionnez Type de sécurité dans le menu déroulant de la section Type de sécurité de la page Configuration.
Sélectionnez Lancement fiable dans le menu déroulant, puis cochez les cases pour activer le Démarrage sécurisé et vTPM. Cliquez sur Enregistrer après avoir apporté les modifications requises.
Remarque
- Les machines virtuelles de génération 2 créées à l’aide d’Azure Compute Gallery (ACG), Managed Image, OS Disk ne peuvent pas être mises à niveau vers le lancement fiable à l’aide du Portail. Vérifiez que la version du système d’exploitation est prise en charge pour le lancement fiable et utilisez PowerShell, l’interface de ligne de commande ou le modèle ARM pour exécuter la mise à niveau.
Fermez la page Configuration une fois la mise à jour effectuée avec succès et validez le Type de sécurité dans les propriétés de la machine virtuelle sur la page Vue d’ensemble.
Démarrez la machine virtuelle de lancement fiable mise à niveau et vérifiez que vous êtes en mesure de vous connecter à la machine virtuelle à l’aide du protocole RDP (pour une machine virtuelle Windows) ou de SSH (pour une machine virtuelle Linux).
Étapes suivantes
(Recommandé) Après les mises à niveau, activez le Monitoring de l’intégrité du démarrage pour surveiller l’intégrité de la machine virtuelle à l’aide de Microsoft Defender pour le cloud.
Découvrez-en plus sur le Lancement fiable et passez en revue les questions fréquemment posées
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir :Soumettre et afficher des commentaires pour