Vue d’ensemble de la supervision de l’intégrité du démarrage

Pour aider le Lancement fiable à mieux prévenir les attaques de rootkits malveillants sur des machines virtuelles, l’attestation d’invité via le point de terminaison Microsoft Azure Attestation (MAA) est utilisée pour surveiller l’intégrité de la séquence de démarrage. Cette attestation est essentielle pour fournir la validité des états d’une plateforme. Si le démarrage sécurisé et le vTPM sont activés dans votre Machine virtuelle Azure Trusted et que les extensions d’attestation sont installées, Microsoft Defender pour le cloud vérifie que l’état et l’intégrité du démarrage de votre machine virtuelle sont correctement configurés. Pour en savoir plus sur l’intégration de MDC, consultez l’intégration de lancement fiable à Microsoft Defender pour le cloud.

Important

La mise à niveau automatique de l’extension est désormais disponible pour l’extension Surveillance de l’intégrité du démarrage - Attestation d’invité. En savoir plus sur la mise à niveau automatique de l’extension.

Prérequis

Un abonnement Azure actif + une machine virtuelle de lancement fiable

Activez la surveillance de l’intégrité

Azure portal

1. Connectez-vous au portail Azure.

2. Sélectionnez la ressource (Machines Virtuelles).

3. Sous Paramètres, sélectionnez configuration. Dans le panneau type de sécurité, sélectionnez Surveillance de l’intégrité.

   

4. Enregistrez les modifications.

Maintenant, dans la page vue d’ensemble des machines virtuelles, le type de sécurité pour la surveillance de l’intégrité doit indiquer activé.

Cette opération installe l’extension d’attestation d’invité, qui peut être référencée via les paramètres de l’onglet extensions + applications.

Modèle

Vous pouvez déployer l’extension d’attestation invité pour les machines virtuelles de lancement fiable à l’aide d’un modèle de démarrage rapide :

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

INTERFACE DE LIGNE DE COMMANDE

1. Créez une machine virtuelle avec lancement fiable qui dispose de fonctionnalités de Démarrage sécurisé + vTPM via le déploiement initial d’une machine virtuelle de lancement fiable. Pour déployer l’extension d’attestation d’invité, utilisez (--enable_integrity_monitoring). La configuration des machines virtuelles est personnalisable par le propriétaire de la machine virtuelle (az vm create).
2. Pour les machines virtuelles existantes, vous pouvez activer les paramètres de la surveillance de l’intégrité du démarrage en mettant à jour, pour vous assurer de l’activation de la surveillance de l’intégrité (--enable_integrity_monitoring).

Remarque

L’extension d’attestation d’invité doit être configurée explicitement.

PowerShell

Si le Démarrage sécurisé et vTPM sont ACTIVÉS, l’intégrité du démarrage sera ACTIVÉE.

1. Créez une machine virtuelle avec lancement fiable qui dispose de fonctionnalités de Démarrage sécurisé + vTPM via le déploiement initial de la machine virtuelle de lancement fiable. La configuration des machines virtuelles est personnalisable par le propriétaire de la machine virtuelle.
2. Pour les machines virtuelles existantes, vous pouvez activer les paramètres de surveillance de l’intégrité du démarrage en mettant à jour pour vous assurer que le SecureBoot et vTPM sont activés.

Pour plus d’informations sur la création ou la mise à jour d’une machine virtuelle afin d’inclure la surveillance de l’intégrité du démarrage via l’extension d’attestation d’invité, consultez Déployer une machine virtuelle avec un lancement fiable (PowerShell).

Guide de résolution des problèmes pour l’installation de l’extension d’attestation invité

Symptômes

Les extensions Microsoft Azure Attestation ne fonctionnent pas correctement lorsque les clients configurent un groupe de sécurité réseau ou un proxy. Une erreur qui ressemble à (Échec de l’approvisionnement de Microsoft.Azure.Security.WindowsAttestation.GuestAttestation.)

Solutions

Dans Azure, les Groupes de sécurité réseau (NSG) sont utilisés pour filtrer le trafic réseau entre les ressources Azure. Les groupes de sécurité réseau contiennent des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou le trafic réseau sortant de plusieurs types de ressources Azure. Le point de terminaison Microsoft Azure Attestation doit être en mesure de communiquer avec l’extension d’attestation de l’invité. Sans ce point de terminaison, le Lancement fiable ne peut pas accéder à l’attestation de l’invité, ce qui permet à Microsoft Defender pour le cloud de surveiller l’intégrité de la séquence de démarrage de vos machines virtuelles.

Débloquer le trafic Microsoft Azure Attestation dans les groupes de sécurité réseau à l’aide d’étiquettes de service.

1. Naviguez jusqu’à la machine virtuelle dont vous souhaitez autoriser le trafic sortant.
2. Sous « Mise en réseau » dans la barre latérale gauche, sélectionnez l’onglet paramètres réseau.
3. Sélectionnez ensuite Créer une règle de port, puis Ajouter une règle de port de sortie.
   
4. Pour autoriser Microsoft Azure Attestation, faites de la destination une étiquette de service. Cela permet à la plage d’adresses IP de se mettre à jour et de définir automatiquement des règles d’autorisation pour Microsoft Azure Attestation. L’étiquette de service de destination est AzureAttestation et l’action est définie sur Autoriser.

Les pare-feu protègent un réseau virtuel, qui contient plusieurs machines virtuelles de lancement fiable. Pour débloquer le trafic Microsoft Azure Attestation dans le pare-feu à l’aide de la collection de règles d’application.

1. Accédez au Pare-feu Azure, qui a bloqué le trafic à partir de la ressource de machine virtuelle de lancement fiable.
2. Sous paramètres, sélectionnez Règles (classique) pour commencer à débloquer l’attestation d’invité derrière le pare-feu.
3. Sélectionnez une collection de règles réseau et ajoutez une règle réseau.
4. L’utilisateur peut configurer son nom, sa priorité, son type de source, ses ports de destination en fonction de ses besoins. Le nom de l’étiquette de service est le suivant : AzureAttestation et l’action doit être définie comme autorisation.

Pour débloquer le trafic Microsoft Azure Attestation dans le pare-feu à l’aide de la collection de règles d’application.

1. Accédez au Pare-feu Azure, qui a bloqué le trafic à partir de la ressource de machine virtuelle de lancement fiable. La collection de règles doit contenir au moins une règle, accédez aux noms de domaine complets (FQDN) cibles .
2. Sélectionnez la collection de règles d’application et ajoutez une règle d’application.
3. Sélectionnez un nom, une priorité numérique pour vos règles d’application. L’action de la collection de règles est définie sur ALLOW. Pour en savoir plus sur le traitement et les valeurs de l’application, lisez ici.
4. Le nom, la source, le protocole, sont tous configurables par l’utilisateur. Type de source pour une seule adresse IP, sélectionnez un groupe IP pour autoriser plusieurs adresses IP via le pare-feu.

Fournisseurs partagés régionaux

Azure Attestation propose un fournisseur partagé régional dans chaque région disponible. Les clients ont le choix entre utiliser le fournisseur partagé régional pour l’attestation ou créer leurs propres fournisseurs avec des stratégies personnalisées. Les fournisseurs partagés sont accessibles par n’importe quel utilisateur Azure AD et la stratégie associée ne peut pas être modifiée.

Remarque

Les utilisateurs peuvent configurer leur type source, service, plages de ports de destination, protocole, priorité et nom.

Étapes suivantes

En savoir plus sur le lancement fiable et le déploiement d’une machine virtuelle approuvée.