Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes
Azure offre un lancement approuvé comme moyen transparent d’améliorer la sécurité des machines virtuelles de génération 2 . Le lancement fiable protège contre les techniques d’attaque avancées et persistantes. Le lancement fiable se compose de plusieurs technologies d’infrastructure coordonnées qui peuvent être activées indépendamment. Chaque technologie offre une couche de défense supplémentaire contre les menaces sophistiquées.
Important
- Le lancement approuvé est l’état par défaut pour les machines virtuelles Azure Gen2 nouvellement créées et les groupes identiques. Consultez les FAQ sur le lancement approuvé si votre nouvelle machine virtuelle nécessite des fonctionnalités qui ne sont pas prises en charge avec le lancement approuvé.
- La machine virtuelle existante peut avoir le lancement approuvé activé après sa création. Pour plus d’informations, consultez Activer le lancement fiable sur des VM existantes.
- Le groupe de machines virtuelles identiques existant peut activer le lancement approuvé après avoir été créé. Pour plus d’informations, consultez Activer le lancement approuvé sur un groupeidentique existant.
Avantages
- Déployez en toute sécurité des VM avec des chargeurs de démarrage, des noyaux de système d’exploitation (SE) et des pilotes vérifiés.
- Protégez efficacement les clés, les certificats et les secrets dans les VM.
- Obtenir des insights et avoir confiance en l'intégrité de toute la chaîne de démarrage.
- Garantissez que les charges de travail sont approuvées et vérifiables.
Tailles de machine virtuelle
| Catégorie | Familles de tailles prises en charge | Familles de tailles actuellement non prises en charge | Familles de tailles non prises en charge |
|---|---|---|---|
| Usage général | Famille B, Famille D | Série Dpsv5, série Dpdsv5, série Dplsv5, série Dpldsv5 | Famille A, Série Dv2, Série Dv3, Famille DC-Confidentiel |
| Optimisé pour le calcul | Famille F, Famille Fx | Toutes les tailles prises en charge. | |
| Mémoire optimisée | Famille E, Family Eb | Famille M | Famille DC-Confidentiel |
| Optimisé pour le stockage | Famille L | Toutes les tailles prises en charge. | |
| GPU | Famille NC, Famille ND, Famille NV | Série NDasrA100_v4, série NDm_A100_v4 | Série NC, série NV, série NP |
| Calcul haute performance | Série HBv2, Série HBv3, Série HBv4, Série HC, Série HX | Toutes les tailles prises en charge. |
Remarque
- L’installation des pilotes CUDA et GRID sur des VM Windows avec démarrage sécurisé activé ne demande aucune étape supplémentaire.
- L’installation du pilote CUDA sur les VM Ubuntu avec démarrage sécurisé activé nécessite des étapes supplémentaires. Pour plus d’informations, consultez Installer les pilotes GPU NVIDIA sur les VM Série N exécutant Linux. Le démarrage sécurisé doit être désactivé pour l’installation des pilotes CUDA sur les autres VM Linux.
- L’installation du pilote GRID nécessite que le démarrage sécurisé soit désactivé pour les VM Linux.
- Les familles de tailles non prises en charge ne prennent pas en charge les VM de génération 2. Remplacez la taille de machine virtuelle par des familles de tailles prises en charge équivalentes pour activer le lancement fiable.
Systèmes d'exploitation pris en charge
| Système d''exploitation | Version |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Linux Azure | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Serveur Ubuntu | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Multi-Session Enterprise* |
| Windows 11 | Pro, Enterprise, Multi-Session Enterprise* |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Les variantes de ce système d’exploitation sont prises en charge.
Plus d’informations
Régions :
- Toutes les régions publiques
- Toutes les régions Azure Government
- Toutes les régions Azure Chine
Tarification : le lancement fiable n’augmente pas les coûts de tarification des machines virtuelles existantes.
Fonctionnalités non prises en charge
Actuellement, les fonctionnalités de machine virtuelle suivantes ne sont pas prises en charge avec le lancement fiable :
- Azure Site Recovery (en disponibilité générale pour Windows, préversion publique pour Linux).
- Image managée (les clients sont encouragés à utiliser Azure Compute Gallery).
- Mise en veille prolongée des machines virtuelles Linux
Démarrage sécurisé
À la racine du lancement fiable se trouve le démarrage sécurisé de votre machine virtuelle. Le Démarrage sécurisé, qui est implémenté dans le microprogramme de la plateforme, protège contre l’installation de rootkits et kits de démarrage basés sur des programmes malveillants. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés peuvent démarrer. Il établit une « racine de confiance » pour la pile logicielle de votre machine virtuelle.
Quand le Démarrage sécurisé est activé, tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Le démarrage sécurisé est pris en charge par Windows et certaines distributions Linux. Si le démarrage sécurisé ne parvient pas à s’authentifier sur la signature de l’image auprès d’un éditeur approuvé, la machine virtuelle ne démarre pas. Pour plus d'informations, voir Démarrage sécurisé.
vTPM
Le lancement fiable introduit également le module de plateforme sécurisée virtuelle (vTPM) pour les VM Azure. Cette version virtualisée d’un module de plateforme sécurisée (TPM) matériel est conforme aux spécifications TPM2.0. Il sert de coffre sécurisé dédié pour les clés et les mesures.
Le lancement fiable permet à votre machine virtuelle d’utiliser sa propre instance TPM dédiée, qui s’exécute dans un environnement sécurisé hors de portée de toute machine virtuelle. Le module vTPM permet d’effectuer l’attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d’exploitation, système et pilotes).
Le lancement fiable utilise le module vTPM pour effectuer une attestation distante via le cloud. Les attestations permettent des vérifications de l’intégrité de la plateforme et sont utilisées pour prendre des décisions basées sur la confiance. En guise de contrôle d’intégrité, le lancement fiable peut certifier par chiffrement que votre machine virtuelle a démarré correctement.
Si le processus échoue, par exemple parce que votre machine virtuelle exécute un composant non autorisé, Microsoft Defender pour le cloud émet des alertes d’intégrité. Les alertes incluent des détails sur les composants concernés par l’échec des contrôles d’intégrité.
Sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation (VBS) utilise l’hyperviseur pour créer une région sécurisée et isolée de la mémoire. Windows utilise ces régions pour exécuter diverses solutions de sécurité avec une protection renforcée contre les vulnérabilités et les attaques malveillantes. Le lancement fiable vous permet d’activer l’intégrité du code de l’hyperviseur (HVCI) et Windows Defender Credential Guard.
La fonctionnalité HVCI constitue une atténuation puissante des risques système et protège les processus en mode noyau de Windows contre l’injection et l’exécution de code malveillant ou non vérifié. Elle vérifie les fichiers binaires et les pilotes en mode noyau avant leur exécution, ce qui empêche le chargement des fichiers non signés dans la mémoire. Vérifie que le code exécutable ne peut pas être modifié une fois qu’il est autorisé par HVCI à charger. Pour plus d’informations sur VBS et HVCI, consultez Sécurité basée sur la virtualisation et intégrité du code appliquée aux hyperviseurs.
Avec le lancement fiable et la VBS, vous pouvez activer Windows Defender Credential Guard. Credential Guard isole et protège les secrets afin que seuls les logiciels système privilégiés puissent y accéder. Cela permet d’empêcher l’accès non autorisé aux secrets et le vol des informations d’identification, comme les attaques de type Pass-the-Hash. Pour plus d’informations, consultez Credential Guard.
Intégration de Microsoft Defender pour le cloud
Le lancement fiable est intégré à Azure Defender pour le cloud afin de garantir que vos VM sont correctement configurées. Defender pour le cloud évalue continuellement les machines virtuelles compatibles et émet des recommandations pertinentes :
Recommandation d’activation du démarrage sécurisé : la recommandation du démarrage sécurisé s’applique uniquement aux VM qui prennent en charge le lancement fiable. Defender pour Cloud identifie les machines virtuelles dont le démarrage sécurisé est désactivé. Il émet une recommandation de faible gravité pour suggérer de l’activer.
Recommandation d’activation de vTPM : si vTPM est activé pour la machine virtuelle, Defender pour Cloud peut l’utiliser pour effectuer l’attestation d’invité et identifier les modèles de menace avancés. Si Defender pour Cloud identifie les machines virtuelles qui prennent en charge le lancement approuvé avec vTPM désactivées, il émet une recommandation de faible gravité pour l’activer.
Recommandation d’installation de l’extension d’attestation d’invité : si le démarrage sécurisé et le module vTPM sont activés sur votre machine virtuelle, mais que l’extension d’attestation d’invité n’est pas installée, Defender pour le cloud émet une recommandation de faible gravité d’installation de l’extension d’attestation d’invité. Cette extension permet à Defender pour le cloud d’attester et de superviser de manière proactive l’intégrité du démarrage de vos machines virtuelles. L’intégrité du démarrage est attestée via une attestation à distance.
Analyse de l’intégrité de l’attestation ou surveillance de l’intégrité au démarrage : si votre machine virtuelle dispose du démarrage sécurisé, que le module vTPM est activé et que l’extension d’attestation est installée, Defender pour le cloud peut confirmer à distance que votre machine virtuelle a démarré de manière saine. Cette pratique est appelée surveillance de l’intégrité du démarrage. Defender pour le cloud émet une évaluation qui indique l’état de l’attestation distante.
Si vos machines virtuelles sont correctement configurées avec le lancement fiable, Defender pour le cloud peut détecter des problèmes d’intégrité de machine virtuelle et vous en informer.
Alerte d’échec d’attestation de la machine virtuelle : Defender pour le cloud effectue régulièrement une attestation sur vos VM. Cette attestation se produit également après le démarrage de votre machine virtuelle. Si l’attestation échoue, une alerte de gravité moyenne est déclenchée. L’attestation de la machine virtuelle peut échouer pour les raisons suivantes :
Les informations attestées, qui comprennent un journal de démarrage, diffèrent d’une ligne de base approuvée. Tout écart peut indiquer que les modules non approuvés sont chargés et que le système d’exploitation peut être compromis.
Il n’a pas été possible de vérifier que la déclaration d’attestation provient du module vTPM de la machine virtuelle attestée. Une origine non vérifiée peut indiquer qu’un logiciel malveillant est présent et qu’il peut intercepter le trafic vers le module vTPM.
Remarque
Les alertes sont disponibles pour les machines virtuelles sur lesquelles le module vTPM est activé et l’extension d’attestation est installée. Le démarrage sécurisé doit être activé pour que l’attestation réussisse. L’attestation échoue si le Démarrage sécurisé est désactivé. Si vous devez désactiver le démarrage sécurisé, vous pouvez supprimer cette alerte pour éviter les faux positifs.
Alerte pour le module noyau Linux non approuvé : si le lancement fiable avec démarrage sécurisé est activé, une machine virtuelle peut démarrer même si un pilote du noyau échoue à la validation et que son chargement est interdit. Si l’échec de validation du pilote du noyau se produit, Defender pour Cloud émet des alertes de faible gravité. Certes, il n’y a aucune menace immédiate, car le pilote non fiable n’a pas été chargé, mais ces événements doivent faire l’objet d'une enquête. Demandez-vous :
- Quel pilote du noyau a échoué ? Est-ce que je connais le pilote du noyau défaillant et est-ce que je m’attends à ce qu’il se charge ?
- La version exacte du pilote est-elle la même que attendue ? Les fichiers binaires du pilote sont-ils intacts ? Si le pilote ayant échoué est un pilote partenaire, le partenaire a-t-il réussi les tests de conformité du système d’exploitation pour l’obtenir signé ?
(Aperçu) Lancement fiable par défaut
Important
La valeur par défaut de Trusted Launch est est actuellement en préversion. Cette préversion est destinée uniquement aux fins de test, d’évaluation et de commentaires. Les charges de travail de production ne sont pas recommandées. Lors de l’inscription à l’aperçu, vous acceptez les conditions d’utilisation supplémentaires. Certains aspects de cette fonctionnalité peuvent changer avec la disponibilité générale (GA).
La valeur par défaut de Trusted Launch (TLaD) est disponible en préversion pour les nouvelles machines virtuelles Gen2 (VM) et les nouveaux groupes machines virtuelles identiques de (groupes identiques).
Le TLaD est un moyen rapide et sans contact d’améliorer l’état de la sécurité des déploiements de nouvelles machines virtuelles Azure gen2 et de Virtual Machine Scale Sets. Avec le lancement approuvé par défaut, toutes les nouvelles machines virtuelles Gen2 ou groupes identiques créés par le biais d’outils clients (comme le modèle ARM, Bicep) sont par défaut des machines virtuelles de lancement approuvé avec démarrage sécurisé et vTPM activés.
La version d'évaluation publique vous permet de valider ces modifications dans votre environnement respectif pour toutes les nouvelles machines virtuelles Azure Gen2, ensembles d'échelle, et de préparer cette modification à venir.
Remarque
Toutes les nouvelles machines virtuelles Gen2, groupe identique et déploiements utilisant n’importe quel outil client (modèle ARM, Bicep, Terraform, etc.) sont par défaut configurés pour un Lancement fiable après l’intégration pour la préversion. Cette modification ne remplace pas les entrées fournies dans le cadre du code de déploiement.
Activer la préversion TLaD
Enregistrer la fonctionnalité de préversion TrustedLaunchByDefaultPreview sous l’espace de noms Microsoft.Compute sur l’abonnement à la machine virtuelle. Pour plus d’informations, consultez Configurer les fonctionnalités en préversion dans l’abonnement Azure
Pour créer une machine virtuelle Gen2 ou un groupe identique avec la valeur par défaut de lancement fiable, exécutez votre script de déploiement existant tel qu’il se trouve via le Kit de développement logiciel (SDK) Azure, Terraform ou une autre méthode qui n’est pas le portail Azure, l’interface CLI ou PowerShell. La nouvelle machine virtuelle ou groupe identique créé dans l’abonnement inscrit génère une machine virtuelle de lancement fiable ou un groupe de machines virtuelles identiques.
Déploiements de groupes identiques et de machines virtuelles avec la préversion TLaD
Comportement existant
Pour créer une machine virtuelle et un groupe identique de Lancement fiable, vous devez ajouter l’élément securityProfile suivant dans le déploiement :
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
L’absence de l’élément securityProfile dans le code de déploiement entraîne le déploiement de la machine virtuelle et du groupe identique sans activer le Lancement fiable.
Exemples
- vm-windows-admincenter : le modèle Azure Resource Manager (ARM) déploie la machine virtuelle Gen2 sans activer le lancement approuvé.
- vm-simple-windows : le modèle ARM déploie une machine virtuelle de lancement sécurisé (sans valeur par défaut, car
securityProfileest explicitement ajouté au modèle ARM)
Nouveau comportement
À l’aide de l’API version 2021-11-01 ou ultérieure ET en s'inscrivant au programme de préversion, l’absence de l’élément securityProfile du déploiement activera le Lancement fiable par défaut pour les nouvelles machines virtuelles et groupes identiques déployés, si les conditions suivantes sont remplies :
- L’image du système d’exploitation de Source Marketplace prend en charge le Lancement fiable.
- L’image du système d’exploitation Source ACG est compatible et validée pour le Lancement fiable.
- Le disque source prend en charge le lancement sécurisé.
- La taille de la machine virtuelle prend en charge le lancement sécurisé.
Le déploiement ne sera pas effectué par défaut sur le Lancement fiable si une ou plusieurs des conditions répertoriées ne sont pas remplies et se terminent avec succès pour créer une nouvelle machine virtuelle Gen2 et un nouveau groupe identique sans Lancement fiable.
Vous pouvez choisir de contourner explicitement la valeur par défaut pour le déploiement de machines virtuelles et de groupes identiques en définissant Standard comme valeur de paramètre securityType. Pour plus d’informations, consultez Puis-je désactiver Trusted Launch pour un nouveau déploiement de VM.
Limitations connues
Impossible de contourner le lancement approuvé par défaut et de créer une machine virtuelle Gen2 (lancement non approuvé) à l’aide du portail Azure après l’inscription à la préversion.
Après l’inscription de l’abonnement en préversion, la configuration du type de sécurité Standard dans le portail Azure déploiera la machine virtuelle ou le groupe identique Trusted launch. Cette limitation sera résolue avant la disponibilité générale par défaut du lancement sécurisé.
Pour atténuer cette limitation, vous pouvez annuler l’inscription de la fonctionnalité en préversion en supprimant l’indicateur de fonctionnalité TrustedLaunchByDefaultPreview sous l’espace de noms Microsoft.Compute sur un abonnement donné.
Impossible de redimensionner une machine virtuelle ou un groupe de machines virtuelles identiques pour une famille de tailles de machine virtuelle de Lancement fiable non prise en charge (comme M-Series) après le Lancement fiable par défaut.
Le redimensionnement de la machine virtuelle de lancement approuvé vers la famille de tailles de machine virtuelle non prise en charge avec le lancement approuvé n’est pas pris en charge.
Comme atténuation, inscrivez l’indicateur de fonctionnalité UseStandardSecurityType sous l’espace de noms Microsoft.Compute ET restaurez la machine virtuelle à partir du Lancement fiable vers Gen2 uniquement (non Lancement fiable) en définissant securityType = Standard à l’aide des outils clients disponibles (à l’exception du Portail Azure).
Commentaires de la préversion de TLaD
N’hésitez pas à nous faire part de vos commentaires, questions ou inquiétudes concernant cette modification à venir dans le cadre de l’Enquête sur les commentaires concernant le lancement fiable par défaut de.
Désactiver la préversion TLaD
Pour désactiver la préversion TLaD, annulez l’inscription de la fonctionnalité en préversionTrustedLaunchByDefaultPreview sous l’espace de noms Microsoft.Compute sur l’abonnement de machine virtuelle. Pour plus d’informations, consultez la fonctionnalité Annuler l’inscription en préversion
Contenu connexe
Déployer une machine virtuelle avec lancement fiable.