Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page répond aux questions fréquemment posées par les clients lors de l’utilisation de la fonctionnalité MSP (Metadata Security Protocol). Si vous ne voyez pas de question qui peut vous aider, contactez notre équipe de support technique.
Utilisation
Comment vérifier si la fonctionnalité est activée ?
L’activation du protocole MSP (Metadata Security Protocol) peut être vérifiée par programmation à l’aide de l’API de machine virtuelle GET pour récupérer le modèle machine virtuelle (VM). Les propriétés
proxyAgentSettingssignalent la configuration MSP.En outre, la vue d’instance GuestProxyAgent dans l’état du runtime de machine virtuelle signale l’état du MSP du point de vue de la machine virtuelle. Si MSP est désactivé, la valeur s’affiche sous forme de
"Disabled".
Comment vérifier l’intégrité des composants ?
La vue d’instance d’extension GuestProxyAgent signale l’état de l’objet GPA et de ses dépendances. La valeur de chaque composant status montre RUNNING quand il est sain.
| Composant | Champ |
|---|---|
| Agent proxy invité | keyLatchStatus.status |
| Intégration eBPF | ebpfProgramStatus.status |
Exemple complet :
{
"version": "1.0.20",
"status": "SUCCESS",
"monitorStatus": {
"status": "RUNNING",
"message": "Monitor thread has not started yet."
},
"keyLatchStatus": {
"status": "RUNNING",
"message": "Found key details from local and ready to use. 122",
"states": {
"imdsRuleId": "/SUBSCRIPTIONS/<guid>/RESOURCEGROUPS/<rg_name>/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/...",
"secureChannelState": "Wireserver Enforce - IMDS Enforce",
"keyGuid": "e3882f98-da8d-4410-8394-06c23462781c",
"WireserverRuleId": "/SUBSCRIPTIONS/<guid>/RESOURCEGROUPS/<rg_name>/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/..."
}
},
"ebpfProgramStatus": {
"status": "RUNNING",
"message": "Started Redirector with eBPF maps - 143"
},
"proxyListenerStatus": {
"status": "RUNNING",
"message": "Started proxy listener 127.0.0.1:3080, ready to accept request - 27"
},
"telemetryLoggerStatus": {
"status": "RUNNING",
"message": "Telemetry event logger thread started."
},
"proxyConnectionsCount": 590
}
Puis-je provisionner une nouvelle machine virtuelle Linux avec MSP activée sans insérer le GPA dans mon image ?
Non. L’approvisionnement Linux n’a pas d’étape dans laquelle la plateforme peut installer un autre logiciel avant que la machine virtuelle ne soit remise au client. De plus, ce modèle n’est pas quelque chose que la plupart des clients Linux souhaitent, c’est plus conforme à la philosophie Windows.
Pour des raisons de sécurité, MSP n’autorise pas l’approvisionnement d’une machine virtuelle si une connexion sécurisée n’est pas établie. Le GPA est responsable de l’établissement de la connexion sécurisée. Il est donc nécessaire d’être déjà présent.
Si vous ne souhaitez pas utiliser une image avec le GPA intégré, vous devez d’abord créer la machine virtuelle, puis activer le MSP ensuite. Pendant la préversion, nous surveillons les modèles d’utilisation et évaluons les moyens potentiels de prendre en charge le scénario, en autorisant l’installation du GPA en tant qu’extension de machine virtuelle au lieu d’être intégrée.
Fonctionnalités
ARM64 est-il pris en charge ?
La prise en charge d’ARM64 est disponible une fois que la fonctionnalité MSP est en disponibilité générale.
Conception
Comment la clé bloquée est-elle créée ? Comment se lie-t-il à la machine virtuelle ? Peut-on usurper l’identité ?
L’hôte Azure génère la clé bloquée et la stocke en tant que données de plateforme. La clé est unique à chaque machine virtuelle et peut uniquement être utilisée sur la connexion privée de cette machine virtuelle à WireServer + Azure Instance Metadata Service (IMDS).
Comment la liste d’autorisation (stratégie) est-elle approvisionnée ? Est-ce fait d’une manière sécurisée ?
La liste autorisée est définie dans le cadre du modèle de machine virtuelle. Le guide de configuration avancée explique comment créer une liste d'autorisation. L’agent de proxy invité récupère régulièrement cette politique à partir de WireServer comme pour n’importe quelles autres métadonnées des machines virtuelles. La liste d’autorisation permet aux utilisateurs de gérer de manière centralisée la stratégie de la même façon qu’ils le feraient pour d’autres paramètres de machine virtuelle, et empêche les utilisateurs de la machine virtuelle de la falsifier.
Où la liste d’autorisation est-elle appliquée ? Dans l’invité ou dans Wireserver ?
Les deux composants jouent un rôle dans l’application. LE MSP utilise un modèle de responsabilité partagée :
- Wireserver /IMDS est chargé de s’assurer que seuls les délégués approuvés (le GPA) et les clients que le délégué approuvé approuve peuvent accéder aux métadonnées et secrets des machines virtuelles.
- Les services de métadonnées ne peuvent pas et ne doivent pas effectuer d’introspection de machine virtuelle, ce qui signifie qu’ils ne peuvent pas déterminer seul quel logiciel au sein d’une machine virtuelle a effectué une demande.
- Le délégué de confiance (le GPA) est responsable de la détermination de l’identité des clients et de l’approbation des requêtes qui les approuvent.
- Le GPA peut s’appuyer sur le noyau du système d’exploitation pour identifier avec autorité le processus au sein de la machine virtuelle qui a effectué une demande.
L’élément le plus important est que LE MSP est un modèle fermé par défaut, tandis que d’autres mesures de sécurité (comme dans les règles de pare-feu invité) sont ouvertes par défaut. Si le GPA est arrêté ou contourné, Wireserver rejette toutes les requêtes, car elles ne sont pas approuvées par la clé verrouillée.
Pourquoi cette fonctionnalité est-elle optionnelle et non requise ou activée automatiquement ?
IMDS est utilisé par presque toutes les machines virtuelles IaaS ou groupes de machines virtuelles identiques dans Azure. La diversité des charges de travail nécessite une flexibilité. Bien que la conception de MSP supprime la plupart des changements cassants, si une charge de travail dépend d’une configuration moins sécurisée, l’application d’une sécurité plus forte interrompt la charge de travail.
Pourquoi un nouvel agent et non une mise à jour d’agent invité Azure ?
L’agent de proxy invité (GPA) a des responsabilités différentes de celles de l’agent invité. Le GPA a également des exigences de performances plus élevées.