Activez le lancement fiable sur des machines virtuelles Azure existantes

S’applique à : ✔️ Machine virtuelle Linux ✔️ Machine virtuelle Windows ✔️ Machine virtuelle de génération 2

Le service Machines Virtuelles Azure prend en charge l’activation du lancement fiable sur des machines virtuelles Azure de génération 2 existantes en procédant à une mise à niveau vers le type de sécurité Lancement fiable.

Le lancement fiable est un moyen d’activer la sécurité de base des calculs sur les machines virtuelles Azure de génération 2. Le lancement fiable protège vos machines virtuelles contre les techniques d’attaque avancées et persistantes telles que les kits de démarrage et les rootkits en combinant des technologies d’infrastructure comme le démarrage sécurisé, vTPM et le monitoring de l’intégrité du démarrage sur vos machines virtuelles.

Important

• Si cette option est activée pour une machine virtuelle de 2e génération, le chiffrement côté serveur avec des clés gérées par le client (SSE-CMK) doit être désactivé avant d’exécuter la mise à niveau du lancement fiable. Le chiffrement SSE-CMK doit être réactivé après la fin de la mise à niveau du lancement fiable.
• La prise en charge de l’activation du lancement fiable sur les machines virtuelles Azure de 1re génération existantes est actuellement en préversion privée. Vous pouvez accéder à la préversion à l’aide du lien d’inscription https://aka.ms/Gen1ToTLUpgrade.
• L’activation du lancement fiable sur des groupes de machines virtuelles identiques (VMSS) Azure Uniform et Flex existants n’est pas actuellement prise en charge.

Prérequis

• La ou les machines virtuelles Azure de génération 2 sont configurées avec :
  • Famille de tailles prises en charge par le lancement fiable
  • Image de système d’exploitation prise en charge par le lancement fiable. Pour les disques ou l’image de système d’exploitation personnalisée, l’image de base doit être compatible avec le lancement fiable.
• La ou les machines virtuelles Azure de génération 2 n’utilisent aucune fonctionnalité qui n’est pas actuellement prise en charge avec le lancement fiable.
• La ou les machines virtuelles Azure de génération 2 doivent être arrêtées et libérées avant l’activation du type de sécurité Lancement fiable.
• Le service Sauvegarde Azure, s’il est activé pour la ou les machines virtuelles, doit être configuré avec une stratégie de sauvegarde améliorée. Le type de sécurité Lancement fiable ne peut pas être activé pour une ou plusieurs machines virtuelles de génération 2 configurées avec une stratégie standard de protection des sauvegardes.
  • Une sauvegarde de machine virtuelle Azure existante peut être migrée d'une stratégie Standard à une stratégie Améliorée à l’aide de la fonctionnalité de migration en préversion privée. Soumettez une requête d’intégration à la préversion à l’aide du lien https://aka.ms/formBackupPolicyMigration.

Bonnes pratiques

• Activez le lancement fiable sur une machine virtuelle de génération 2 de test et vérifiez si des modifications sont nécessaires pour répondre aux conditions préalables avant d’activer le lancement fiable sur des machines virtuelles de génération 2 associées à des charges de travail de production.
• Créez un point de restauration pour les machines virtuelles Azure de génération 2 Azure associées aux charges de travail de production avant d’activer le type de sécurité de lancement fiable. Vous pouvez utiliser le point de restauration pour recréer les disques et la machine virtuelle de génération 2 avec l’état connu précédent.

Activez le lancement fiable sur une machine virtuelle existante

Remarque

• Une fois le lancement fiable activé, les machines virtuelles actuelles ne peuvent pas être restaurées dans le type de sécurité Standard (configuration de lancement non fiable).
• vTPM est activé par défaut.
• Il est recommandé d’activer le démarrage sécurisé (désactivé par défaut) si vous n’utilisez pas de noyau ou de pilotes non signés personnalisés. Le démarrage sécurisé préserve l’intégrité du démarrage et fournit une sécurité de base pour les machines virtuelles.

Portail

Cette section décrit pas à pas comment utiliser le portail Azure pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

1. Connectez-vous au portail Azure.
2. Valider la génération de machine virtuelle est V2 et Arrêter la machine virtuelle.

3. Dans la page Vue d’ensemble des Propriétés de la machine virtuelle, sélectionnez Standard dans Type de sécurité. Cela permet d’accéder à la page Configuration de la machine virtuelle.

4. Sélectionnez Type de sécurité dans le menu déroulant de la section Type de sécurité de la page Configuration.

5. Sélectionnez Lancement fiable dans le menu déroulant, puis cochez les cases pour activer le Démarrage sécurisé et vTPM. Cliquez sur Enregistrer après avoir apporté les modifications requises.

Remarque

• Les machines virtuelles de génération 2 créées à l’aide d’Azure Compute Gallery (ACG), Managed Image, OS Disk ne peuvent pas être mises à niveau vers le lancement fiable à l’aide du Portail. Vérifiez que la version du système d’exploitation est prise en charge pour le lancement fiable et utilisez PowerShell, l’interface de ligne de commande ou le modèle ARM pour exécuter la mise à niveau.

6. Fermez la page Configuration une fois la mise à jour effectuée avec succès et validez le Type de sécurité dans les propriétés de la machine virtuelle sur la page Vue d’ensemble.

7. Démarrez la machine virtuelle mise à niveau avec la fonctionnalité de lancement fiable et vérifiez qu’elle démarre correctement. Vérifiez également que vous pouvez vous connecter à la machine virtuelle avec RDP (pour une machine virtuelle Windows) ou SSH (pour une machine virtuelle Linux).

INTERFACE DE LIGNE DE COMMANDE

Cette section décrit pas à pas comment utiliser Azure CLI pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

Assurez-vous que vous avez installé la dernière version d’Azure CLI et que vous êtes connecté à un compte Azure avec az login.

1. Connectez-vous à l’abonnement Azure.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Libérez la machine virtuelle.

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Activez le lancement fiable en définissant --security-type sur TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Validez la sortie de la commande précédente. La configuration de securityProfile est retournée avec la sortie de la commande.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Démarrez la machine virtuelle.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Démarrez la machine virtuelle mise à niveau avec la fonctionnalité de lancement fiable et vérifiez qu’elle démarre correctement. Vérifiez également que vous pouvez vous connecter à la machine virtuelle avec RDP (pour une machine virtuelle Windows) ou SSH (pour une machine virtuelle Linux).

PowerShell

Cette section décrit pas à pas comment utiliser Azure PowerShell pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

Vérifiez que vous avez installé la dernière version d’Azure CLI et que vous êtes connecté à un compte Azure avec Connect-AzAccount.

1. Connectez-vous à l’abonnement Azure.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Libérez la machine virtuelle.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Activez le lancement fiable en définissant --security-type sur TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ValidezsecurityProfile dans la configuration de machine virtuelle mise à jour.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Démarrez la machine virtuelle.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Démarrez la machine virtuelle mise à niveau avec la fonctionnalité de lancement fiable et vérifiez qu’elle démarre correctement. Vérifiez également que vous pouvez vous connecter à la machine virtuelle avec RDP (pour une machine virtuelle Windows) ou SSH (pour une machine virtuelle Linux).

Modèle

Cette section décrit pas à pas comment utiliser un modèle ARM pour activer le lancement fiable sur une machine virtuelle Azure de génération 2 existante.

Un modèle Azure Resource Manager est un fichier JSON (JavaScript Object Notation) qui définit l’infrastructure et la configuration de votre projet. Le modèle utilise la syntaxe déclarative. Vous décrivez votre déploiement prévu sans écrire la séquence de commandes de programmation pour créer le déploiement.

1. Vérifiez le modèle.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Modifiez le fichier JSON des paramètres pour que les machines virtuelles soient mises à jour avec le type de sécurité TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Définition du fichier de paramètres

Propriété	Description de la propriété	Exemple de valeur de modèle
vmName	Nom de la machine virtuelle Azure de génération 2	"myVm"
location	Emplacement de la machine virtuelle Azure de génération 2	"westus3"
secureBootEnabled	Activez le démarrage sécurisé avec le type de sécurité Lancement fiable	true

3. Libérez toutes les machines virtuelles Azure de génération 2 à mettre à jour.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Exécutez le déploiement du modèle ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Vérifiez que déploiement a réussi. Vérifiez le type de sécurité et les paramètres UEFI de la machine virtuelle à l’aide du portail Azure. Consultez la section Type de sécurité de la page de présentation.

6. Démarrez la machine virtuelle mise à niveau avec la fonctionnalité de lancement fiable et vérifiez qu’elle démarre correctement. Vérifiez également que vous pouvez vous connecter à la machine virtuelle avec RDP (pour une machine virtuelle Windows) ou SSH (pour une machine virtuelle Linux).

Étapes suivantes

(Recommandé) Après les mises à niveau, activez le Monitoring de l’intégrité du démarrage pour surveiller l’intégrité de la machine virtuelle à l’aide de Microsoft Defender pour le cloud.

Découvrez-en plus sur le Lancement fiable et passez en revue les questions fréquemment posées