Lancement fiable pour les machines virtuelles Azure
S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes
Azure propose le lancement fiable pour améliorer de manière fluide la sécurité des machines virtuelles (VM) de génération 2. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées.
Important
- Le lancement fiable est sélectionné comme état par défaut pour les machines virtuelles Azure nouvellement créées. Si votre nouvelle machine virtuelle a besoin de fonctionnalités qui ne sont pas prises en charge par le lancement fiable, consultez les FAQ sur le lancement fiable.
- Le lancement fiable peut être activé sur les machines virtuelles (VM) existantes après leur création. Pour plus d’informations, consultez Activer le lancement fiable sur des VM existantes.
- Le lancement fiable peut être activé sur les groupe de machines virtuelles identiques (VMSS) existants après leur création. Pour plus d’informations, consultez Activer le lancement fiable sur des groupes identiques existants.
Avantages
- Déployez en toute sécurité des VM avec des chargeurs de démarrage, des noyaux de système d’exploitation (SE) et des pilotes vérifiés.
- Protégez efficacement les clés, les certificats et les secrets dans les VM.
- Obtenir des insights et avoir confiance en l'intégrité de toute la chaîne de démarrage.
- Garantissez que les charges de travail sont approuvées et vérifiables.
Tailles de machine virtuelle
Remarque
- L’installation des pilotes CUDA et GRID sur des VM Windows avec démarrage sécurisé activé ne demande aucune étape supplémentaire.
- L’installation du pilote CUDA sur les VM Ubuntu avec démarrage sécurisé activé nécessite des étapes supplémentaires. Pour plus d’informations, consultez Installer les pilotes GPU NVIDIA sur les VM Série N exécutant Linux. Le démarrage sécurisé doit être désactivé pour l’installation des pilotes CUDA sur les autres VM Linux.
- L’installation du pilote GRID nécessite que le démarrage sécurisé soit désactivé pour les VM Linux.
- Les familles de tailles non prises en charge ne prennent pas en charge les VM de génération 2. Remplacez la taille de machine virtuelle par des familles de tailles prises en charge équivalentes pour activer le lancement fiable.
Systèmes d'exploitation pris en charge
Système d''exploitation | Version |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Linux Azure | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Serveur Ubuntu | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 | Pro, Enterprise, Multi-Session Enterprise* |
Windows 11 | Pro, Enterprise, Multi-Session Enterprise* |
Windows Server | 2016, 2019, 2022 * |
Windows Server (Édition Azure) | 2022 |
* Les variantes de ce système d’exploitation sont prises en charge.
Plus d’informations
Régions :
- Toutes les régions publiques
- Toutes les régions Azure Government
- Toutes les régions Azure Chine
Tarification : le lancement fiable n’augmente pas les coûts de tarification des machines virtuelles existantes.
Fonctionnalités non prises en charge
Actuellement, les fonctionnalités de machine virtuelle suivantes ne sont pas prises en charge avec le lancement fiable :
- Azure Site Recovery (en disponibilité générale pour Windows).
- Image managée (les clients sont encouragés à utiliser Azure Compute Gallery).
- Virtualisation imbriquée (familles de tailles de machine virtuelle v5 prises en charge).
- Mise en veille prolongée des machines virtuelles Linux
Démarrage sécurisé
À la racine du lancement fiable se trouve le démarrage sécurisé de votre machine virtuelle. Le Démarrage sécurisé, qui est implémenté dans le microprogramme de la plateforme, protège contre l’installation de rootkits et kits de démarrage basés sur des programmes malveillants. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés peuvent démarrer. Il établit une « racine de confiance » pour la pile logicielle de votre machine virtuelle.
Quand le Démarrage sécurisé est activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Le démarrage sécurisé est pris en charge par Windows et certaines distributions Linux. Si le Démarrage sécurisé ne parvient pas à authentifier que l’image a été signée par un éditeur approuvé, le démarrage de la machine virtuelle échoue. Pour plus d'informations, voir Démarrage sécurisé.
vTPM
Le lancement fiable introduit également le module de plateforme sécurisée virtuelle (vTPM) pour les VM Azure. Cette version virtualisée d’un module de plateforme sécurisée (TPM) matériel est conforme aux spécifications TPM2.0. Il sert de coffre sécurisé dédié pour les clés et les mesures.
Le lancement fiable permet à votre machine virtuelle d’utiliser sa propre instance TPM dédiée, qui s’exécute dans un environnement sécurisé hors de portée de toute machine virtuelle. Le module vTPM permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).
Le lancement fiable utilise le module vTPM pour effectuer une attestation distante via le cloud. Les attestations permettent des vérifications de l’intégrité de la plateforme et sont utilisées pour prendre des décisions basées sur la confiance. En guise de contrôle d’intégrité, le lancement fiable peut certifier par chiffrement que votre machine virtuelle a démarré correctement.
Si le processus échoue, par exemple parce que votre machine virtuelle exécute un composant non autorisé, Microsoft Defender pour le cloud émet des alertes d’intégrité. Les alertes incluent des détails sur les composants concernés par l’échec des contrôles d’intégrité.
Sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer une région sécurisée et isolée de la mémoire. Windows utilise ces régions pour exécuter diverses solutions de sécurité avec une protection renforcée contre les vulnérabilités et les attaques malveillantes. Le lancement fiable vous permet d’activer l’intégrité du code de l’hyperviseur (HVCI) et Windows Defender Credential Guard.
La fonctionnalité HVCI constitue une atténuation puissante des risques système et protège les processus en mode noyau de Windows contre l’injection et l’exécution de code malveillant ou non vérifié. Elle vérifie les fichiers binaires et les pilotes en mode noyau avant leur exécution, ce qui empêche le chargement des fichiers non signés dans la mémoire. Les vérifications garantissent que le code exécutable ne puisse pas être modifié après avoir été autorisé à charger. Pour plus d’informations sur VBS et HVCI, consultez Sécurité basée sur la virtualisation et intégrité du code appliquée aux hyperviseurs.
Avec le lancement fiable et la VBS, vous pouvez activer Windows Defender Credential Guard. Credential Guard isole et protège les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela permet d’empêcher l’accès non autorisé aux secrets et le vol des informations d’identification, comme les attaques de type Pass-the-Hash. Pour plus d’informations, consultez Credential Guard.
Intégration de Microsoft Defender pour le cloud
Le lancement fiable est intégré à Azure Defender pour le cloud afin de garantir que vos VM sont correctement configurées. Defender pour le cloud évalue continuellement les machines virtuelles compatibles et émet des recommandations pertinentes :
Recommandation d’activation du démarrage sécurisé : la recommandation du démarrage sécurisé s’applique uniquement aux VM qui prennent en charge le lancement fiable. Defender pour le cloud identifie les machines virtuelles sur lesquelles la fonctionnalité de démarrage sécurisé est disponible mais désactivée. Il émet une recommandation de faible gravité pour suggérer de l’activer.
Recommandation d’activation du module vTPM : si vTPM est activé sur votre machine virtuelle, Defender pour le cloud peut l’utiliser pour effectuer une attestation d’invité et identifier les modèles de menaces avancés. Si Defender pour le cloud identifie des VM qui prennent en charge le lancement fiable et dont le module vTPM est désactivé, il émet une recommandation de faible gravité pour suggérer de l’activer.
Recommandation d’installation de l’extension d’attestation d’invité : si le démarrage sécurisé et le module vTPM sont activés sur votre machine virtuelle, mais que l’extension d’attestation d’invité n’est pas installée, Defender pour le cloud émet une recommandation de faible gravité d’installation de l’extension d’attestation d’invité. Cette extension permet à Defender pour le cloud d’attester et de superviser de manière proactive l’intégrité du démarrage de vos machines virtuelles. L’intégrité du démarrage est attestée via une attestation à distance.
Analyse de l’intégrité de l’attestation ou surveillance de l’intégrité au démarrage : si votre machine virtuelle dispose du démarrage sécurisé, que le module vTPM est activé et que l’extension d’attestation est installée, Defender pour le cloud peut confirmer à distance que votre machine virtuelle a démarré de manière saine. Cette pratique est appelée surveillance de l’intégrité du démarrage. Defender pour le cloud émet une évaluation qui indique l’état de l’attestation distante.
Si vos machines virtuelles sont correctement configurées avec le lancement fiable, Defender pour le cloud peut détecter des problèmes d’intégrité de machine virtuelle et vous en informer.
Alerte d’échec d’attestation de la machine virtuelle : Defender pour le cloud effectue régulièrement une attestation sur vos VM. Cette attestation se produit également après le démarrage de votre machine virtuelle. Si l’attestation échoue, une alerte de gravité moyenne est déclenchée. L’attestation de la machine virtuelle peut échouer pour les raisons suivantes :
Les informations attestées, qui comprennent un journal de démarrage, diffèrent d’une ligne de base approuvée. Une déviation peut indiquer que des modules non approuvés ont été chargés et que le système d’exploitation peut être compromis.
Il n’a pas été possible de vérifier que la déclaration d’attestation provient du module vTPM de la machine virtuelle attestée. Une origine non vérifiée peut indiquer qu’un logiciel malveillant est présent et qu’il peut intercepter le trafic vers le module vTPM.
Remarque
Les alertes sont disponibles pour les machines virtuelles sur lesquelles le module vTPM est activé et l’extension d’attestation est installée. Le démarrage sécurisé doit être activé pour que l’attestation réussisse. L’attestation échoue si le Démarrage sécurisé est désactivé. Si vous devez désactiver le démarrage sécurisé, vous pouvez supprimer cette alerte pour éviter les faux positifs.
Alerte pour le module noyau Linux non approuvé : si le lancement fiable avec démarrage sécurisé est activé, une machine virtuelle peut démarrer même si un pilote du noyau échoue à la validation et que son chargement est interdit. Si ce scénario se produit, Defender pour le cloud émet des alertes de faible gravité. Bien qu’il n’y ait pas de menace immédiate, le pilote non approuvé n’a pas été chargé et ces événements doivent être examinés. Demandez-vous :
- Quel pilote du noyau a échoué ? Est-ce que je connais ce pilote ? Est-ce que je m’attends à ce qu’il se charge ?
- S’agit-il de la version exacte du pilote attendu ? Les fichiers binaires du pilote sont-ils intacts ? S’il s’agit d’un pilote tiers, le fournisseur a-t-il réussi les tests de conformité du système d’exploitation pour obtenir la signature ?
Contenu connexe
Déployer une machine virtuelle avec lancement fiable.