Lancement fiable pour les machines virtuelles Azure

  • Article

S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes

Azure propose le lancement fiable pour améliorer de manière fluide la sécurité des machines virtuelles de 2e génération. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées.

Important

  • Le lancement fiable est sélectionné comme état par défaut pour les machines virtuelles Azure nouvellement créées. Si votre nouvelle machine virtuelle nécessite des fonctionnalités qui ne sont pas prises en charge par le lancement fiable, consultez les FAQ sur le lancement fiable
  • Les machines virtuelles Azure Generation 2 existantes peuvent avoir un lancement fiable activé après leur création. Pour plus d’informations, consultez Activer le lancement fiable sur des machines virtuelles existantes
  • Vous ne pouvez pas activer le lancement fiable sur un groupe de machines virtuelles identiques machines virtuelles (VMSS) existant qui a été créé initialement sans cette fonctionnalité. Le lancement fiable requiert la création d’un nouveau VMSS.

Avantages

  • Déployer en toute sécurité des machines virtuelles avec des chargeurs de démarrage, des noyaux de système d’exploitation et des pilotes vérifiés.
  • Protéger efficacement les clés, les certificats et les secrets dans les machines virtuelles.
  • Obtenir des insights et avoir confiance en l’intégrité de toute la chaîne de démarrage.
  • S’assurer que les charges de travail sont approuvées et vérifiables.

Tailles de machines virtuelles

Type Familles de tailles prises en charge Familles de tailles actuellement non prises en charge Familles de tailles non prises en charge
Usage général Série B, série DCsv2, série DCsv3, série DCdsv3, série Dv4, série Dsv4, série Dsv3, série Dsv2, série Dav4, série Dasv4, série Ddv4, série Ddsv4, série Dv5, série Dsv5, série Ddv5, série Ddsv5, série Dasv5, série Dadsv5, série Dlsv5, série Dldsv5 Série Dpsv5, série Dpdsv5, série Dplsv5, série Dpldsv5 Série Av2, série Dv2, série Dv3
Optimisé pour le calcul Série FX, série Fsv2 Toutes les tailles prises en charge.
Mémoire optimisée Série Dsv2, série Esv3, série Ev4, série Esv4, série Edv4, série Edsv4, série Eav4, série Easv4, série Easv5, série Eadsv5, série Ebsv5,série Ebdsv5 ,série Edv5, série Edsv5 Série Epsv5, série Epdsv5, série M, série Msv2, série Mdsv2 moyenne mémoire, série Mv2 Série Ev3
Optimisé pour le stockage Série Lsv2, série Lsv3, série Lasv3 Toutes les tailles prises en charge.
GPU Série NCv2, Série NCv3, Série NCasT4_v3, Série NVv3, Série NVv4, Série NDv2, Série NC_NC_A100_v4, Série NVadsA10 v5 Série NDasrA100_v4, série NDm_A100_v4 Série NC, série NV, série NP
Calcul haute performance Série HB, série HBv2, série HBv3, série HBv4, série HC, série HX Toutes les tailles prises en charge.

Remarque

  • L’installation des pilotes CUDA et GRID sur des machines virtuelles Windows avec Démarrage sécurisé activé ne demande aucune étape supplémentaire.
  • L’installation du pilote CUDA sur les machines virtuelles Ubuntu avec Démarrage sécurisé activé nécessite des étapes supplémentaires documentées dans Installer les pilotes GPU NVIDIA sur les machines virtuelles de série N exécutant Linux. Le démarrage sécurisé doit être désactivé pour l’installation des pilotes CUDA sur les autres machines virtuelles Linux.
  • L’installation du pilote GRID nécessite la désactivation du démarrage sécurisé pour les machines virtuelles Linux.
  • Les familles de tailles non prises en charge ne prennent pas en charge les machines virtuelles de génération 2. Remplacez la taille de la machine virtuelle par des familles de tailles prises en charge équivalentes pour activer le lancement fiable.

Systèmes d'exploitation pris en charge

Système d''exploitation Version
Alma Linux 8.7, 8.8, 9.0
Linux Azure 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Serveur Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Multi-Session Enterprise*
Windows 11 Pro, Enterprise, Multi-Session Enterprise*
Windows Server 2016, 2019, 2022 *
Windows Server (Édition Azure) 2022

* Les variantes de ce système d’exploitation sont prises en charge.

Informations supplémentaires

Régions :

  • Toutes les régions publiques
  • Toutes les régions Azure Government
  • Toutes les régions Azure Chine

Tarification : le lancement fiable n’augmente pas les coûts de tarification des machines virtuelles existants.

Fonctionnalités non prises en charge

Remarque

Les fonctionnalités de machine virtuelle suivantes ne sont actuellement pas prises en charge avec le lancement fiable.

Démarrage sécurisé

À la racine du lancement fiable, on trouve le démarrage sécurisé pour votre machine virtuelle. Le Démarrage sécurisé, qui est implémenté dans le microprogramme de la plateforme, protège contre l’installation de rootkits et kits de démarrage basés sur des programmes malveillants. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés peuvent démarrer. Il établit une « racine de confiance » pour la pile logicielle de votre machine virtuelle. Quand le Démarrage sécurisé est activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Le démarrage sécurisé est pris en charge par Windows et certaines distributions Linux. Si le Démarrage sécurisé ne parvient pas à authentifier que l’image a été signée par un éditeur approuvé, le démarrage de la machine virtuelle échoue. Pour plus d'informations, voir Démarrage sécurisé.

vTPM

Le lancement fiable introduit également le module vTPM pour les machines virtuelles Azure. Le module vTPM est une version virtualisée d’un module de plateforme sécurisée matériel, conforme à la spécification TPM2.0. Il sert de coffre sécurisé dédié pour les clés et les mesures. Le lancement fiable permet à votre machine virtuelle d’utiliser sa propre instance TPM dédiée, s’exécutant dans un environnement sécurisé en dehors de la portée de toute machine virtuelle. Le module vTPM permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).

Le lancement fiable utilise le module vTPM pour effectuer l’attestation distante par le cloud. Les attestations permettent des vérifications de l’intégrité de la plateforme et des prises de décisions basées sur la confiance. En guise de contrôle d’intégrité, le lancement fiable peut certifier par chiffrement que votre machine virtuelle a démarré correctement. Si le processus échoue, par exemple parce que votre machine virtuelle exécute un composant non autorisé, Microsoft Defender pour le cloud émet des alertes d’intégrité. Les alertes incluent des détails sur les composants concernés par l’échec des contrôles d’intégrité.

Sécurité basée sur la virtualisation

La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer une région sécurisée et isolée de la mémoire. Windows utilise ces régions pour exécuter diverses solutions de sécurité avec une protection renforcée contre les vulnérabilités et les attaques malveillantes. Le lancement fiable vous permet d’activer l’intégrité du code de l’hyperviseur (HVCI) et Windows Defender Credential Guard.

La fonctionnalité HVCI constitue une atténuation puissante des risques système et protège les processus en mode noyau de Windows contre l’injection et l’exécution de code malveillant ou non vérifié. Elle vérifie les fichiers binaires et les pilotes en mode noyau avant leur exécution, ce qui empêche le chargement des fichiers non signés dans la mémoire. Les vérifications garantissent que le code exécutable ne puisse pas être modifié après avoir été autorisé à charger. Pour plus d’informations sur les fonctionnalités VBS et HVCI, consultez Virtualization Based Security (VBS) et Hypervisor Enforced Code Integrity (HVCI).

Avec le lancement fiable et la sécurité basée sur la virtualisation (VBS), vous pouvez activer Windows Defender Credential Guard. Credential Guard isole et protège les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela permet d’empêcher l’accès non autorisé aux secrets et le vol des informations d’identification, comme les attaques de type Pass-the-Hash (PtH). Pour plus d’informations, consultez Credential Guard.

Intégration de Microsoft Defender pour le cloud

Le lancement fiable est intégré à Defender pour le cloud afin de garantir que vos machines virtuelles sont correctement configurées. Microsoft Defender pour le cloud évalue continuellement les machines virtuelles compatibles et émet des recommandations pertinentes.

  • Recommandation pour activer le Démarrage sécurisé : la recommandation du Démarrage sécurisé s’applique uniquement aux machines virtuelles qui prennent en charge le lancement fiable. Microsoft Defender pour le cloud identifie les machines virtuelles sur lesquelles la fonctionnalité de Démarrage sécurisé est disponible mais désactivée. Il émet une recommandation de faible gravité pour suggérer de l’activer.
  • Recommandation pour l’activation de vTPM - Si vTPM est activé sur votre machine virtuelle, Microsoft Defender pour le cloud peut l’utiliser pour effectuer une attestation d’invité et identifier les modèles de menace avancés. Si Microsoft Defender pour le cloud identifie des machines virtuelles qui prennent en charge le lancement fiable et dont le module vTPM est désactivé, il émet une recommandation de faible gravité pour suggérer de l’activer.
  • Recommandation pour l’installation de l’extension d’attestation d’invité : si le Démarrage sécurisé et le module vTPM sont activés sur votre machine virtuelle, mais que l’extension d’attestation d’invité n’est pas installée, Microsoft Defender pour le cloud émet une recommandation de faible gravité pour installer l’extension d’attestation d’invité. Cette extension permet à Microsoft Defender pour le cloud d’attester et de superviser de manière proactive l’intégrité du démarrage de vos machines virtuelles. L’intégrité du démarrage est attestée via une attestation à distance.
  • Évaluation de l’intégrité de l’attestation ou monitoring de l’intégrité du démarrage - Si le démarrage sécurisé et vTPM sont activés sur votre machine virtuelle, et si l’extension d’attestation est installée, Microsoft Defender pour le cloud peut valider à distance le démarrage de votre machine virtuelle de manière saine. Il s’agit de la surveillance de l’intégrité du démarrage. Microsoft Defender pour le cloud émet une évaluation qui indique l’état de l’attestation distante.

Si vos machines virtuelles sont correctement configurées avec la fonctionnalité de lancement fiable, Microsoft Defender pour le cloud peut détecter des problèmes d’intégrité des machines virtuelles et vous en informer.

  • Alerte d’échec d’attestation de la machine virtuelle : Microsoft Defender pour le cloud effectue régulièrement une attestation sur vos machines virtuelles. Cette attestation se produit également après le démarrage de votre machine virtuelle. Si l’attestation échoue, une alerte de gravité moyenne est déclenchée. L’attestation de la machine virtuelle peut échouer pour les raisons suivantes :

    • Les informations attestées, qui comprennent un journal de démarrage, diffèrent d’une ligne de base approuvée. Une déviation peut indiquer que des modules non approuvés ont été chargés et que le système d’exploitation peut être compromis.
    • Il n’a pas été possible de vérifier que la déclaration d’attestation provient du module vTPM de la machine virtuelle attestée. Une origine non vérifiée peut indiquer qu’un logiciel malveillant est présent et qu’il peut intercepter le trafic vers le module vTPM.

    Remarque

    Les alertes sont disponibles pour les machines virtuelles sur lesquelles le module vTPM est activé et l’extension d’attestation est installée. Le démarrage sécurisé doit être activé pour que l’attestation réussisse. L’attestation échoue si le Démarrage sécurisé est désactivé. Si vous devez désactiver le démarrage sécurisé, vous pouvez supprimer cette alerte pour éviter les faux positifs.

  • Alerte pour le module noyau Linux non approuvé : dans le cas d’un lancement fiable avec démarrage sécurisé activé, une machine virtuelle peut démarrer malgré l'échec de la validation d'un pilote de noyau et l'interdiction de son chargement. Dans ce cas, Microsoft Defender pour le cloud émet une alerte de faible gravité. Bien qu’il n’y ait pas de menace immédiate, le pilote non approuvé n’a pas été chargé et ces événements doivent être examinés.

    • Quel pilote du noyau a échoué ? Est-ce que je connais ce pilote ? Est-ce que je m’attends à ce qu’il soit chargé ?
    • S’agit-il de la version exacte du pilote attendu ? Les fichiers binaires du pilote sont-ils intacts ? S’il s’agit d’un pilote tiers, le fournisseur a-t-il réussi les tests de conformité du système d’exploitation pour obtenir la signature ?

Étapes suivantes

Déployer une machine virtuelle de lancement fiable.