Activez le lancement fiable sur des machines virtuelles Azure existantes
S’applique à : ✔️ Machine virtuelle Linux ✔️ Machine virtuelle Windows ✔️ Machine virtuelle de génération 2
Le service Machines Virtuelles Azure prend en charge l’activation du lancement fiable sur des machines virtuelles Azure de génération 2 existantes en procédant à une mise à niveau vers le type de sécurité Lancement fiable.
Le lancement fiable est un moyen d’activer la sécurité de base des calculs sur les machines virtuelles Azure de génération 2. Le lancement fiable protège vos machines virtuelles contre les techniques d’attaque avancées et persistantes telles que les kits de démarrage et les rootkits en combinant des technologies d’infrastructure comme le démarrage sécurisé, vTPM et le monitoring de l’intégrité du démarrage sur vos machines virtuelles.
Important
- Si cette option est activée pour une machine virtuelle de 2e génération, le chiffrement côté serveur avec des clés gérées par le client (SSE-CMK) doit être désactivé avant d’exécuter la mise à niveau du lancement fiable. Le chiffrement SSE-CMK doit être réactivé après la fin de la mise à niveau du lancement fiable.
- La prise en charge de l’activation du lancement fiable sur les machines virtuelles Azure de 1re génération existantes est actuellement en préversion privée. Vous pouvez accéder à la préversion à l’aide du lien d’inscription https://aka.ms/Gen1ToTLUpgrade.
- L’activation du lancement fiable sur des groupes de machines virtuelles identiques (VMSS) Azure Uniform et Flex existants n’est pas actuellement prise en charge.
Prérequis
- La ou les machines virtuelles Azure de génération 2 sont configurées avec :
- Famille de tailles prises en charge par le lancement fiable
- Image de système d’exploitation prise en charge par le lancement fiable. Pour les disques ou l’image de système d’exploitation personnalisée, l’image de base doit être compatible avec le lancement fiable.
- La ou les machines virtuelles Azure de génération 2 n’utilisent aucune fonctionnalité qui n’est pas actuellement prise en charge avec le lancement fiable.
- La ou les machines virtuelles Azure de génération 2 doivent être arrêtées et libérées avant l’activation du type de sécurité Lancement fiable.
- Le service Sauvegarde Azure, s’il est activé pour la ou les machines virtuelles, doit être configuré avec une stratégie de sauvegarde améliorée. Le type de sécurité Lancement fiable ne peut pas être activé pour une ou plusieurs machines virtuelles de génération 2 configurées avec une stratégie standard de protection des sauvegardes.
- Une sauvegarde de machine virtuelle Azure existante peut être migrée d'une stratégie Standard à une stratégie Améliorée à l’aide de la fonctionnalité de migration en préversion privée. Soumettez une requête d’intégration à la préversion à l’aide du lien https://aka.ms/formBackupPolicyMigration.
Bonnes pratiques
- Activez le lancement fiable sur une machine virtuelle de génération 2 de test et vérifiez si des modifications sont nécessaires pour répondre aux conditions préalables avant d’activer le lancement fiable sur des machines virtuelles de génération 2 associées à des charges de travail de production.
- Créez un point de restauration pour les machines virtuelles Azure de génération 2 Azure associées aux charges de travail de production avant d’activer le type de sécurité de lancement fiable. Vous pouvez utiliser le point de restauration pour recréer les disques et la machine virtuelle de génération 2 avec l’état connu précédent.
Activez le lancement fiable sur une machine virtuelle existante
Remarque
- Une fois le lancement fiable activé, les machines virtuelles actuelles ne peuvent pas être restaurées dans le type de sécurité Standard (configuration de lancement non fiable).
- vTPM est activé par défaut.
- Il est recommandé d’activer le démarrage sécurisé (désactivé par défaut) si vous n’utilisez pas de noyau ou de pilotes non signés personnalisés. Le démarrage sécurisé préserve l’intégrité du démarrage et fournit une sécurité de base pour les machines virtuelles.
Cette section décrit pas à pas comment utiliser le portail Azure pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.
- Connectez-vous au portail Azure.
- Valider la génération de machine virtuelle est V2 et Arrêter la machine virtuelle.
- Dans la page Vue d’ensemble des Propriétés de la machine virtuelle, sélectionnez Standard dans Type de sécurité. Cela permet d’accéder à la page Configuration de la machine virtuelle.
- Sélectionnez Type de sécurité dans le menu déroulant de la section Type de sécurité de la page Configuration.
- Sélectionnez Lancement fiable dans le menu déroulant, puis cochez les cases pour activer le Démarrage sécurisé et vTPM. Cliquez sur Enregistrer après avoir apporté les modifications requises.
Remarque
- Les machines virtuelles de génération 2 créées à l’aide d’Azure Compute Gallery (ACG), Managed Image, OS Disk ne peuvent pas être mises à niveau vers le lancement fiable à l’aide du Portail. Vérifiez que la version du système d’exploitation est prise en charge pour le lancement fiable et utilisez PowerShell, l’interface de ligne de commande ou le modèle ARM pour exécuter la mise à niveau.
- Fermez la page Configuration une fois la mise à jour effectuée avec succès et validez le Type de sécurité dans les propriétés de la machine virtuelle sur la page Vue d’ensemble.
- Démarrez la machine virtuelle mise à niveau avec la fonctionnalité de lancement fiable et vérifiez qu’elle démarre correctement. Vérifiez également que vous pouvez vous connecter à la machine virtuelle avec RDP (pour une machine virtuelle Windows) ou SSH (pour une machine virtuelle Linux).
Étapes suivantes
(Recommandé) Après les mises à niveau, activez le Monitoring de l’intégrité du démarrage pour surveiller l’intégrité de la machine virtuelle à l’aide de Microsoft Defender pour le cloud.
Découvrez-en plus sur le Lancement fiable et passez en revue les questions fréquemment posées