Lancement fiable pour les machines virtuelles Azure

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Ensembles de mise à l’échelle flexibles ✔️ Ensembles de mise à l’échelle uniformes

Azure propose "Trusted Launch", une fonctionnalité permettant d'améliorer la sécurité des machines virtuelles Generation 2. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées.

Le lancement de confiance est pris en charge pour les architectures x64 et Arm64.

Important

Avantages

  • Déployez en toute sécurité des VM avec des chargeurs de démarrage, des noyaux de système d’exploitation (SE) et des pilotes vérifiés.
  • Protégez efficacement les clés, les certificats et les secrets dans les VM.
  • Obtenir des insights et avoir confiance en l’intégrité de toute la chaîne de démarrage.
  • Garantissez que les charges de travail sont approuvées et vérifiables.

Tailles de machine virtuelle

Type Familles de tailles prises en charge Familles de tailles actuellement non prises en charge Familles de tailles non prises en charge
Usage général B-family, D-family, Dpsv6-series1, Dplsv6-series1 Série Dpsv5, série Dpdsv5, série Dplsv5, série Dpldsv5 Famille A, Série Dv2, Série Dv3, Famille DC-Confidentiel
Optimisé pour le calcul Famille F, Famille Fx Toutes les tailles prises en charge.
Mémoire optimisée E-family, Eb-family, Epsv6-series1 Famille M Famille DC-Confidentiel
Optimisé pour le stockage Famille L Toutes les tailles prises en charge.
GPU Famille NC, Famille ND, Famille NV Série NDasrA100_v4, série NDm_A100_v4 Série NC, série NV, série NP
Calcul haute performance Série HBv22, série HBv3, série HBv4, série HBv5, série HC3, série HX Toutes les tailles prises en charge.

1Tailles basées sur Arm64 Cobalt 100 prenant en charge le lancement sécurisé.

2La série HBv2 est actuellement prise en charge pour le lancement approuvé, mais est prévue pour la mise hors service le 31 mai 2027. Pour les nouveaux déploiements HPC Trusted Launch, préférez les tailles de la série HBv5, de la série HX, de la série HBv4 ou de la série HBv3.

3Les tailles de série HC (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) sont programmées pour être retirées le 31 mai 2027. Après cette date, les machines virtuelles de la série HC restantes seront désallouées et cesseront d’entraîner des frais, et la série HC n’aura plus de SLA ou de support. Les ventes des instances réservées 1 an et 3 ans ont pris fin le 2 avril 2026. Pour les nouveaux déploiements HPC Trusted Launch, envisagez la série HBv5 pour des performances plus élevées et un meilleur rapport performance/prix, ou la série HX pour des charges de travail HPC avec grande mémoire. Planifiez la transition de la série HC bien avant la date de mise hors service pour éviter toute interruption.

Remarque

  • Installation du CUDA & GRID sur des machines virtuelles avec Secure Boot de Windows ne nécessite aucune étape supplémentaire.
  • L’installation du pilote CUDA sur les VM Ubuntu avec démarrage sécurisé activé nécessite des étapes supplémentaires. Pour plus d’informations, consultez Installer les pilotes GPU NVIDIA sur les VM Série N exécutant Linux. Le démarrage sécurisé doit être désactivé pour l’installation des pilotes CUDA sur les autres VM Linux.
  • L’installation du pilote GRID nécessite que le démarrage sécurisé soit désactivé pour les VM Linux.
  • Les familles de tailles non prises en charge ne prennent pas en charge les VM de génération 2. Remplacez la taille de machine virtuelle par des familles de tailles prises en charge équivalentes pour activer le lancement fiable.

Systèmes d'exploitation pris en charge

Système d''exploitation Version
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux 8.6, 8.8, 8.10, 9.4, 9.5, 9.6
Rocky Linux à partir de CIQ 8.6, 8.10, 9.2, 9.4, 9.6
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Serveur Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Multi-Session Enterprise*
Windows 11 Pro, Enterprise, Multi-Session Enterprise*
Windows Server 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition *

* Les variantes de ce système d’exploitation sont prises en charge.

Remarque

Le démarrage sécurisé sur Arm64 est pris en charge lors de l'utilisation des images pertinentes du Marketplace Arm64 pour les distributions et versions compatibles. Pour les tailles de Cobalt 100, déployez Trusted Launch avec des images Arm64 disponibles dans Azure Marketplace.

Informations complémentaires

Régions :

  • Toutes les régions publiques
  • Toutes les régions Azure Government
  • Toutes les régions Azure Chine

Tarification : le lancement fiable n’augmente pas les coûts de tarification des machines virtuelles existantes.

Fonctionnalités non prises en charge

Actuellement, les fonctionnalités de machine virtuelle suivantes ne sont pas prises en charge avec le lancement fiable :

Démarrage sécurisé

À la racine du lancement fiable se trouve le démarrage sécurisé de votre machine virtuelle. Le Démarrage sécurisé, qui est implémenté dans le microprogramme de la plateforme, protège contre l’installation de rootkits et kits de démarrage basés sur des programmes malveillants. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés peuvent démarrer. Il établit une « racine de confiance » pour la pile logicielle de votre machine virtuelle.

Quand le Démarrage sécurisé est activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. À la fois Windows et certaines distributions Linux prennent en charge le Secure Boot. Si le démarrage sécurisé ne parvient pas à s’authentifier sur la signature de l’image auprès d’un éditeur approuvé, la machine virtuelle ne démarre pas. Pour plus d'informations, consultez Démarrage sécurisé.

vTPM

Trusted Launch introduit également le module de plateforme approuvée virtuelle (vTPM) pour les machines virtuelles Azure. Cette version virtualisée d’un module de plateforme sécurisée (TPM) matériel est conforme aux spécifications TPM2.0. Il sert de coffre sécurisé dédié pour les clés et les mesures.

Le lancement fiable permet à votre machine virtuelle d’utiliser sa propre instance TPM dédiée, qui s’exécute dans un environnement sécurisé hors de portée de toute machine virtuelle. Le module vTPM permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).

Le lancement fiable utilise le module vTPM pour effectuer une attestation distante via le cloud. Les attestations permettent des vérifications de l’intégrité de la plateforme et sont utilisées pour prendre des décisions basées sur la confiance. En guise de contrôle d’intégrité, le lancement fiable peut certifier par chiffrement que votre machine virtuelle a démarré correctement.

Si le processus échoue, peut-être parce que votre machine virtuelle exécute un composant non autorisé, Microsoft Defender for Cloud émet des alertes d’intégrité. Les alertes incluent des détails sur les composants concernés par l’échec des contrôles d’intégrité.

Sécurité basée sur la virtualisation

La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer une région sécurisée et isolée de la mémoire. Windows utilise ces régions pour exécuter différentes solutions de sécurité avec une protection accrue contre les vulnérabilités et les attaques malveillantes. Trusted Launch vous permet d’activer l’intégrité du code de l’hyperviseur (HVCI) et Windows Defender Credential Guard.

HVCI est une puissante atténuation du système qui protège Windows processus en mode noyau contre l’injection et l’exécution de code malveillant ou non vérifié. Elle vérifie les fichiers binaires et les pilotes en mode noyau avant leur exécution, ce qui empêche le chargement des fichiers non signés dans la mémoire. Vérifie que le code exécutable ne peut pas être modifié une fois qu’il est autorisé par HVCI à charger. Pour plus d’informations sur VBS et HVCI, consultez Sécurité basée sur la virtualisation et intégrité du code appliquée aux hyperviseurs.

Avec Trusted Launch et VBS, vous pouvez activer Windows Defender Credential Guard. Credential Guard isole et protège les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela permet d’empêcher l’accès non autorisé aux secrets et le vol des informations d’identification, comme les attaques de type Pass-the-Hash. Pour plus d’informations, consultez Credential Guard.

intégration de Microsoft Defender for Cloud

Le lancement approuvé est intégré à Defender for Cloud pour vous assurer que vos machines virtuelles sont correctement configurées. Defender for Cloud évalue continuellement les machines virtuelles compatibles et émet des recommandations pertinentes :

  • Recommandation d’activation du démarrage sécurisé : la recommandation du démarrage sécurisé s’applique uniquement aux VM qui prennent en charge le lancement fiable. Defender for Cloud identifie les machines virtuelles dont le démarrage sécurisé est désactivé. Il émet une recommandation de faible gravité pour suggérer de l’activer.

  • Recommendation pour activer vTPM : si vTPM est activé pour la machine virtuelle, Defender for Cloud pouvez l’utiliser pour effectuer l’attestation d’invité et identifier les modèles de menace avancés. Si Defender for Cloud identifie les machines virtuelles qui prennent en charge le lancement approuvé avec vTPM désactivées, il émet une recommandation de faible gravité pour l’activer.

  • Recommendation pour installer l'extension d'attestation invité : si votre machine virtuelle a activé le démarrage sécurisé et vTPM activé, mais que l'extension Attestation invité n'est pas installée, Defender for Cloud émet des recommandations de faible gravité pour installer l'extension Attestation invité sur celle-ci. Cette extension permet Defender for Cloud d’attester et de surveiller de manière proactive l’intégrité de démarrage de vos machines virtuelles. L’intégrité du démarrage est attestée via une attestation à distance.

  • Évaluation de l'intégrité de l'attestation ou surveillance de l'intégrité du démarrage : Si votre machine virtuelle (VM) dispose de Secure Boot et de vTPM activés et que l'extension d'attestation est installée, Defender pour le Cloud peut valider à distance que votre VM a démarré correctement. Cette pratique est appelée surveillance de l’intégrité du démarrage. Defender for Cloud émet une évaluation qui indique l’état de l’attestation distante.

    Si vos machines virtuelles sont correctement configurées avec Trusted Launch, Defender for Cloud peut détecter et vous avertir des problèmes de santé des machines virtuelles.

  • Alerte d’échec d’attestation de la machine virtuelle : Defender pour le cloud effectue régulièrement une attestation sur vos machines virtuelles. Cette attestation se produit également après le démarrage de votre machine virtuelle. Si l’attestation échoue, une alerte de gravité moyenne est déclenchée.

    Remarque

    Les alertes d’attestation de démarrage du client de machine virtuelle exposées dans Microsoft Defender for Cloud sont des informations et ne sont actuellement pas présentées dans le portail Defender.

    L’attestation de la machine virtuelle peut échouer pour les raisons suivantes :

    • Les informations attestées, qui comprennent un journal de démarrage, diffèrent d’une ligne de base approuvée. Tout écart peut indiquer que les modules non approuvés sont chargés et que le système d’exploitation peut être compromis.

    • Il n’a pas été possible de vérifier que la déclaration d’attestation provient du module vTPM de la machine virtuelle attestée. Une origine non vérifiée peut indiquer qu’un logiciel malveillant est présent et qu’il peut intercepter le trafic vers le module vTPM.

      Remarque

      Les alertes sont disponibles pour les machines virtuelles sur lesquelles le module vTPM est activé et l’extension d’attestation est installée. Le démarrage sécurisé doit être activé pour que l’attestation réussisse. L’attestation échoue si le Démarrage sécurisé est désactivé. Si vous devez désactiver le démarrage sécurisé, vous pouvez supprimer cette alerte pour éviter les faux positifs.

  • Alerte pour le module noyau Linux non approuvé : si le lancement fiable avec démarrage sécurisé est activé, une machine virtuelle peut démarrer même si un pilote du noyau échoue à la validation et que son chargement est interdit. Si l’échec de validation du pilote du noyau se produit, Defender for Cloud émet des alertes de faible gravité. Certes, il n’y a aucune menace immédiate, car le pilote non fiable n’a pas été chargé, mais ces événements doivent faire l’objet d'une enquête. Posez-vous les questions suivantes :

    • Quel pilote du noyau a échoué ? Est-ce que je connais le pilote du noyau défaillant et est-ce que je m’attends à ce qu’il se charge ?
    • La version exacte du pilote est-elle la même que attendue ? Les fichiers binaires du pilote sont-ils intacts ? Si le pilote ayant échoué est un pilote partenaire, le partenaire a-t-il réussi les tests de conformité du système d’exploitation pour l’obtenir signé ?

(Aperçu) Lancement fiable par défaut

Important

La valeur par défaut de Trusted Launch est est actuellement en préversion. Cette préversion est destinée uniquement aux fins de test, d’évaluation et de commentaires. Les charges de travail de production ne sont pas recommandées. Lors de l’inscription à l’aperçu, vous acceptez les conditions d’utilisation supplémentaires. Certains aspects de cette fonctionnalité peuvent changer avec la disponibilité générale (GA).

La valeur par défaut de Trusted Launch (TLaD) est disponible en préversion pour les nouvelles machines virtuelles Gen2 (VM) et les nouveaux groupes machines virtuelles identiques de (groupes identiques).

TLaD est un moyen rapide et sans contact d’améliorer la posture de sécurité des nouvelles machines virtuelles Azure gen2 et des déploiements Virtual Machine Scale Sets. Avec le lancement approuvé par défaut, toutes les nouvelles machines virtuelles Gen2 ou groupes identiques créés par le biais d’outils clients (comme le modèle ARM, Bicep) sont par défaut des machines virtuelles de lancement approuvé avec démarrage sécurisé et vTPM activés.

La version préliminaire publique vous permet de valider ces modifications dans votre environnement respectif pour toutes les nouvelles machines virtuelles Azure Gen2, ensemble évolutif et vous permettre de préparer cette modification à venir.

Remarque

Toutes les nouvelles machines virtuelles Gen2, ensembles de machines virtuelles, déploiements à l’aide de n’importe quel outil client (modèle ARM, Bicep, Terraform, etc.) adoptent par défaut le lancement sécurisé après l’intégration vers la version préliminaire. Cette modification ne remplace pas les entrées fournies dans le cadre du code de déploiement.

Activer la préversion TLaD

Enregistrer la fonctionnalité en préversion TrustedLaunchByDefaultPreview dans l’espace de noms Microsoft.Compute sur l’abonnement pour les machines virtuelles. Pour plus d’informations, consultez Set up preview features in Azure subscription

Pour créer une nouvelle machine virtuelle Gen2 ou un ensemble de machines virtuelles avec le lancement approuvé par défaut, exécutez votre script de déploiement existant par Azure SDK, Terraform ou une autre méthode qui n'est pas le portail Azure, CLI ou PowerShell. La nouvelle machine virtuelle ou groupe identique créé dans l’abonnement inscrit génère une machine virtuelle de lancement fiable ou un groupe de machines virtuelles identiques.

Déploiements de groupes identiques et de machines virtuelles avec la préversion TLaD

Comportement existant

Pour créer une machine virtuelle et un groupe identique de Lancement fiable, vous devez ajouter l’élément securityProfile suivant dans le déploiement :

"securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
        "secureBootEnabled": true,
        "vTpmEnabled": true,
    }
}

L’absence de l’élément securityProfile dans le code de déploiement entraîne le déploiement de la machine virtuelle et du groupe identique sans activer le Lancement fiable.

Exemples

  • vm-windows-admincenter : le modèle Azure Resource Manager (ARM) déploie la machine virtuelle Gen2 sans activer le lancement approuvé.
  • vm-simple-windows : le modèle ARM déploie la machine virtuelle de lancement approuvé (sans valeur par défaut, car securityProfile est explicitement ajouté au modèle ARM)

Nouveau comportement

À l’aide de l’API version 2021-11-01 ou ultérieure ET en s'inscrivant au programme de préversion, l’absence de l’élément securityProfile du déploiement activera le Lancement fiable par défaut pour les nouvelles machines virtuelles et groupes identiques déployés, si les conditions suivantes sont remplies :

Le déploiement ne sera pas effectué par défaut sur le Lancement fiable si une ou plusieurs des conditions répertoriées ne sont pas remplies et se terminent avec succès pour créer une nouvelle machine virtuelle Gen2 et un nouveau groupe identique sans Lancement fiable.

Vous pouvez choisir de contourner explicitement la valeur par défaut pour le déploiement de machines virtuelles et de groupes identiques en définissant Standard comme valeur de paramètre securityType. Pour plus d’informations, consultez Puis-je désactiver Trusted Launch pour un nouveau déploiement de VM.

Limitations connues

Impossible de contourner la valeur par défaut du lancement approuvé et de créer une machine virtuelle Gen2 (lancement non approuvé) à l’aide du portail Azure après l’inscription au mode préversion.

Après avoir inscrit l’abonnement en préversion, définir le type de sécurité sur Standard dans le portail Azure déploie la machine virtuelle ou l’ensemble de machines virtuelles Trusted launch. Cette limitation sera résolue avant la disponibilité générale par défaut du lancement sécurisé.

Pour atténuer cette limitation, vous pouvez désinscrire la fonctionnalité en préversion en supprimant l’indicateur de fonctionnalité TrustedLaunchByDefaultPreview sous l’espace de noms Microsoft.Compute sur un abonnement donné.

Capture d’écran de la liste déroulante type de sécurité dans le portail.

Impossible de redimensionner une machine virtuelle ou un groupe de machines virtuelles identiques pour une famille de tailles de machine virtuelle de Lancement fiable non prise en charge (comme M-Series) après le Lancement fiable par défaut.

Le redimensionnement de la machine virtuelle de lancement approuvé vers la famille de tailles de machine virtuelle non prise en charge avec le lancement approuvé n’est pas pris en charge.

Comme atténuation, inscrivez l’indicateur de fonctionnalité UseStandardSecurityType sous l’espace de noms Microsoft.Compute ET restaurer la VM du lancement approuvé à Gen2 uniquement (lancement non approuvé) en définissant securityType = Standard à l’aide des outils clients disponibles (à l’exception du portail Azure).

Commentaires de la préversion de TLaD

N’hésitez pas à nous faire part de vos commentaires, questions ou inquiétudes concernant cette modification à venir dans le cadre de l’Enquête sur les commentaires concernant le lancement fiable par défaut de.

Désactiver la préversion TLaD

Pour désactiver la préversion TLaD, désinscrivez la fonctionnalité d’aperçu TrustedLaunchByDefaultPreview dans l’espace de noms Microsoft.Compute sur l’abonnement de la machine virtuelle. Pour plus d’informations, consultez la fonctionnalité Annuler l’inscription en préversion

Contenu connexe

  • Last updated on