Lancement fiable pour les machines virtuelles Azure

S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes

Azure propose le lancement fiable pour améliorer de manière fluide la sécurité des machines virtuelles (VM) de génération 2. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées.

Important

• Le lancement fiable est sélectionné comme état par défaut pour les machines virtuelles Azure nouvellement créées. Si votre nouvelle machine virtuelle a besoin de fonctionnalités qui ne sont pas prises en charge par le lancement fiable, consultez les FAQ sur le lancement fiable.
• Le lancement fiable peut être activé sur les machines virtuelles (VM) existantes après leur création. Pour plus d’informations, consultez Activer le lancement fiable sur des VM existantes.
• Le lancement fiable peut être activé sur les groupe de machines virtuelles identiques (VMSS) existants après leur création. Pour plus d’informations, consultez Activer le lancement fiable sur des groupes identiques existants.

Avantages

• Déployez en toute sécurité des VM avec des chargeurs de démarrage, des noyaux de système d’exploitation (SE) et des pilotes vérifiés.
• Protégez efficacement les clés, les certificats et les secrets dans les VM.
• Obtenir des insights et avoir confiance en l'intégrité de toute la chaîne de démarrage.
• Garantissez que les charges de travail sont approuvées et vérifiables.

Tailles de machine virtuelle

Type	Familles de tailles prises en charge	Familles de tailles actuellement non prises en charge	Familles de tailles non prises en charge
Usage général	Série B, série DCsv2, série DCsv3, série DCdsv3, série Dv4, série Dsv4, série Dsv3, série Dsv2, série Dav4, série Dasv4, série Ddv4, série Ddsv4, série Dv5, série Dsv5, série Ddv5, série Ddsv5, série Dasv5, série Dadsv5, série Dlsv5, série Dldsv5	Série Dpsv5, série Dpdsv5, série Dplsv5, série Dpldsv5	Série Av2, série Dv2, série Dv3
Optimisé pour le calcul	Série FX, série Fsv2	Toutes les tailles prises en charge.
Mémoire optimisée	Série Dsv2, Série Esv3, Série Ev4, Série Esv4, Série Edv4, Série Edsv4, Série Eav4, Série Easv4, Série Easv5, Série Eadsv5, Série Ebsv5,Série Ebdsv5 ,Série Edv5, Série Edsv5	Série Epsv5, série Epdsv5, série M, série Msv2, série Mdsv2 moyenne mémoire, série Mv2	Série Ev3
Optimisé pour le stockage	Série Lsv2, série Lsv3, série Lasv3	Toutes les tailles prises en charge.
GPU	Série NCv2, Série NCv3, Série NCasT4_v3, Série NVv3, Série NVv4, Série NDv2, Série NC_NC_A100_v4, Série NVadsA10 v5	Série NDasrA100_v4, série NDm_A100_v4	Série NC, série NV, série NP
Calcul haute performance	Série HB, série HBv2, série HBv3, série HBv4, série HC, série HX	Toutes les tailles prises en charge.

Remarque

• L’installation des pilotes CUDA et GRID sur des VM Windows avec démarrage sécurisé activé ne demande aucune étape supplémentaire.
• L’installation du pilote CUDA sur les VM Ubuntu avec démarrage sécurisé activé nécessite des étapes supplémentaires. Pour plus d’informations, consultez Installer les pilotes GPU NVIDIA sur les VM Série N exécutant Linux. Le démarrage sécurisé doit être désactivé pour l’installation des pilotes CUDA sur les autres VM Linux.
• L’installation du pilote GRID nécessite que le démarrage sécurisé soit désactivé pour les VM Linux.
• Les familles de tailles non prises en charge ne prennent pas en charge les VM de génération 2. Remplacez la taille de machine virtuelle par des familles de tailles prises en charge équivalentes pour activer le lancement fiable.

Systèmes d'exploitation pris en charge

Système d''exploitation	Version
Alma Linux	8.7, 8.8, 9.0
Linux Azure	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Serveur Ubuntu	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Multi-Session Enterprise*
Windows 11	Pro, Enterprise, Multi-Session Enterprise*
Windows Server	2016, 2019, 2022 *
Windows Server (Édition Azure)	2022

* Les variantes de ce système d’exploitation sont prises en charge.

Plus d’informations

Régions :

• Toutes les régions publiques
• Toutes les régions Azure Government
• Toutes les régions Azure Chine

Tarification : le lancement fiable n’augmente pas les coûts de tarification des machines virtuelles existantes.

Fonctionnalités non prises en charge

Actuellement, les fonctionnalités de machine virtuelle suivantes ne sont pas prises en charge avec le lancement fiable :

• Azure Site Recovery (en disponibilité générale pour Windows).
• Image managée (les clients sont encouragés à utiliser Azure Compute Gallery).
• Virtualisation imbriquée (familles de tailles de machine virtuelle v5 prises en charge).
• Mise en veille prolongée des machines virtuelles Linux

Démarrage sécurisé

À la racine du lancement fiable se trouve le démarrage sécurisé de votre machine virtuelle. Le Démarrage sécurisé, qui est implémenté dans le microprogramme de la plateforme, protège contre l’installation de rootkits et kits de démarrage basés sur des programmes malveillants. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés peuvent démarrer. Il établit une « racine de confiance » pour la pile logicielle de votre machine virtuelle.

Quand le Démarrage sécurisé est activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Le démarrage sécurisé est pris en charge par Windows et certaines distributions Linux. Si le Démarrage sécurisé ne parvient pas à authentifier que l’image a été signée par un éditeur approuvé, le démarrage de la machine virtuelle échoue. Pour plus d'informations, voir Démarrage sécurisé.

vTPM

Le lancement fiable introduit également le module de plateforme sécurisée virtuelle (vTPM) pour les VM Azure. Cette version virtualisée d’un module de plateforme sécurisée (TPM) matériel est conforme aux spécifications TPM2.0. Il sert de coffre sécurisé dédié pour les clés et les mesures.

Le lancement fiable permet à votre machine virtuelle d’utiliser sa propre instance TPM dédiée, qui s’exécute dans un environnement sécurisé hors de portée de toute machine virtuelle. Le module vTPM permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).

Le lancement fiable utilise le module vTPM pour effectuer une attestation distante via le cloud. Les attestations permettent des vérifications de l’intégrité de la plateforme et sont utilisées pour prendre des décisions basées sur la confiance. En guise de contrôle d’intégrité, le lancement fiable peut certifier par chiffrement que votre machine virtuelle a démarré correctement.

Si le processus échoue, par exemple parce que votre machine virtuelle exécute un composant non autorisé, Microsoft Defender pour le cloud émet des alertes d’intégrité. Les alertes incluent des détails sur les composants concernés par l’échec des contrôles d’intégrité.

Sécurité basée sur la virtualisation

La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer une région sécurisée et isolée de la mémoire. Windows utilise ces régions pour exécuter diverses solutions de sécurité avec une protection renforcée contre les vulnérabilités et les attaques malveillantes. Le lancement fiable vous permet d’activer l’intégrité du code de l’hyperviseur (HVCI) et Windows Defender Credential Guard.

La fonctionnalité HVCI constitue une atténuation puissante des risques système et protège les processus en mode noyau de Windows contre l’injection et l’exécution de code malveillant ou non vérifié. Elle vérifie les fichiers binaires et les pilotes en mode noyau avant leur exécution, ce qui empêche le chargement des fichiers non signés dans la mémoire. Les vérifications garantissent que le code exécutable ne puisse pas être modifié après avoir été autorisé à charger. Pour plus d’informations sur VBS et HVCI, consultez Sécurité basée sur la virtualisation et intégrité du code appliquée aux hyperviseurs.

Avec le lancement fiable et la VBS, vous pouvez activer Windows Defender Credential Guard. Credential Guard isole et protège les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela permet d’empêcher l’accès non autorisé aux secrets et le vol des informations d’identification, comme les attaques de type Pass-the-Hash. Pour plus d’informations, consultez Credential Guard.

Intégration de Microsoft Defender pour le cloud

Le lancement fiable est intégré à Azure Defender pour le cloud afin de garantir que vos VM sont correctement configurées. Defender pour le cloud évalue continuellement les machines virtuelles compatibles et émet des recommandations pertinentes :

• Recommandation d’activation du démarrage sécurisé : la recommandation du démarrage sécurisé s’applique uniquement aux VM qui prennent en charge le lancement fiable. Defender pour le cloud identifie les machines virtuelles sur lesquelles la fonctionnalité de démarrage sécurisé est disponible mais désactivée. Il émet une recommandation de faible gravité pour suggérer de l’activer.

• Recommandation d’activation du module vTPM : si vTPM est activé sur votre machine virtuelle, Defender pour le cloud peut l’utiliser pour effectuer une attestation d’invité et identifier les modèles de menaces avancés. Si Defender pour le cloud identifie des VM qui prennent en charge le lancement fiable et dont le module vTPM est désactivé, il émet une recommandation de faible gravité pour suggérer de l’activer.

• Recommandation d’installation de l’extension d’attestation d’invité : si le démarrage sécurisé et le module vTPM sont activés sur votre machine virtuelle, mais que l’extension d’attestation d’invité n’est pas installée, Defender pour le cloud émet une recommandation de faible gravité d’installation de l’extension d’attestation d’invité. Cette extension permet à Defender pour le cloud d’attester et de superviser de manière proactive l’intégrité du démarrage de vos machines virtuelles. L’intégrité du démarrage est attestée via une attestation à distance.

• Analyse de l’intégrité de l’attestation ou surveillance de l’intégrité au démarrage : si votre machine virtuelle dispose du démarrage sécurisé, que le module vTPM est activé et que l’extension d’attestation est installée, Defender pour le cloud peut confirmer à distance que votre machine virtuelle a démarré de manière saine. Cette pratique est appelée surveillance de l’intégrité du démarrage. Defender pour le cloud émet une évaluation qui indique l’état de l’attestation distante.

  Si vos machines virtuelles sont correctement configurées avec le lancement fiable, Defender pour le cloud peut détecter des problèmes d’intégrité de machine virtuelle et vous en informer.

• Alerte d’échec d’attestation de la machine virtuelle : Defender pour le cloud effectue régulièrement une attestation sur vos VM. Cette attestation se produit également après le démarrage de votre machine virtuelle. Si l’attestation échoue, une alerte de gravité moyenne est déclenchée. L’attestation de la machine virtuelle peut échouer pour les raisons suivantes :

  • Les informations attestées, qui comprennent un journal de démarrage, diffèrent d’une ligne de base approuvée. Une déviation peut indiquer que des modules non approuvés ont été chargés et que le système d’exploitation peut être compromis.

  • Il n’a pas été possible de vérifier que la déclaration d’attestation provient du module vTPM de la machine virtuelle attestée. Une origine non vérifiée peut indiquer qu’un logiciel malveillant est présent et qu’il peut intercepter le trafic vers le module vTPM.

    Remarque

    Les alertes sont disponibles pour les machines virtuelles sur lesquelles le module vTPM est activé et l’extension d’attestation est installée. Le démarrage sécurisé doit être activé pour que l’attestation réussisse. L’attestation échoue si le Démarrage sécurisé est désactivé. Si vous devez désactiver le démarrage sécurisé, vous pouvez supprimer cette alerte pour éviter les faux positifs.

• Alerte pour le module noyau Linux non approuvé : si le lancement fiable avec démarrage sécurisé est activé, une machine virtuelle peut démarrer même si un pilote du noyau échoue à la validation et que son chargement est interdit. Si ce scénario se produit, Defender pour le cloud émet des alertes de faible gravité. Bien qu’il n’y ait pas de menace immédiate, le pilote non approuvé n’a pas été chargé et ces événements doivent être examinés. Demandez-vous :

  • Quel pilote du noyau a échoué ? Est-ce que je connais ce pilote ? Est-ce que je m’attends à ce qu’il se charge ?
  • S’agit-il de la version exacte du pilote attendu ? Les fichiers binaires du pilote sont-ils intacts ? S’il s’agit d’un pilote tiers, le fournisseur a-t-il réussi les tests de conformité du système d’exploitation pour obtenir la signature ?

Contenu connexe

Déployer une machine virtuelle avec lancement fiable.