Implementación de una máquina virtual con inicio seguro habilitado
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes.
El inicio seguro es una manera de mejorar la seguridad de las máquinas virtuales (VM) de segunda generación. Protege frente a técnicas de ataque persistentes y avanzadas, gracias a la combinación de tecnologías de infraestructura como el Módulo de plataforma segura virtual (vTPM) y el arranque seguro.
Requisitos previos
Se recomienda incorporar la suscripción a Microsoft Defender for Cloud si aún no lo está. Defender for Cloud tiene un nivel gratuito, que ofrece información útil para varios recursos de Azure e híbridos. Con la ausencia de Defender for Cloud, los usuarios de la máquina virtual de inicio seguro no pueden supervisar integridad de arranque de máquina virtual.
Asigne iniciativas de directiva de Azure a su suscripción. Estas iniciativas de directiva solo se deben asignar una vez por suscripción. Las directivas ayudarán a implementar y auditar las máquinas virtuales de inicio seguro al instalar automáticamente todas las extensiones necesarias en todas las máquinas virtuales compatibles.
- Configure la iniciativa de directiva integrada de las máquinas virtuales de inicio seguro.
- Configurar los requisitos previos para habilitar la atestación de invitado en máquinas virtuales habilitadas para inicio seguro.
- Configure las máquinas para instalar automáticamente los agentes de seguridad de Azure y Azure Monitor en máquinas virtuales.
Permita la etiqueta de servicio
AzureAttestation
en las reglas de salida del grupo de seguridad de red para permitir el tráfico de Azure Attestation. Para más información, consulte Etiquetas de servicio de red virtual.Asegúrese de que las directivas de firewall permiten el acceso a
*.attest.azure.net
.
Nota:
Si usa una imagen de Linux y prevé que la máquina virtual podría tener controladores de kernel sin firmar o no firmados por el proveedor de distribución de Linux, es posible que quiera considerar la posibilidad de desactivar el arranque seguro. En Azure Portal, en la página Crear una máquina virtual para el parámetro Security type
con inicio seguro de máquinas virtuales, seleccione Configurar características de seguridad y desactive la casilla Habilitar arranque seguro. En la CLI de Azure, PowerShell o SDK, establezca el parámetro de arranque seguro en false
.
Implementación de una máquina virtual con inicio seguro
Cree una máquina virtual con inicio seguro habilitado. Elija una de las opciones siguientes:
Inicie sesión en Azure Portal.
Busque Máquinas virtuales.
En Servicios, seleccione Máquinas virtuales.
En la página Máquinas virtuales, seleccione Agregar y, después, Máquina virtual.
En Detalles del proyecto, asegúrese de que está seleccionada la suscripción correcta.
En Grupo de recursos, seleccione Crear nuevo. Escriba un nombre para el grupo de recursos o seleccione un grupo de recursos existente en la lista desplegable.
En Detalles de la instancia, escriba un nombre para el nombre de la máquina virtual y elija una región que admita el inicio seguro.
En Tipo de seguridad, seleccione Máquinas virtuales de inicio seguro. Cuando aparezcan las opciones Arranque seguro, vTPM y Supervisión de integridad, seleccione las opciones adecuadas para la implementación. Para obtener más información, consulte Características de seguridad habilitadas para inicio seguro.
En Imagen, seleccione una imagen de las imágenes recomendadas de segunda generación compatibles con inicio seguro. Para obtener una lista, consulte Inicio seguro.
Sugerencia
Si no ve la versión de segunda generación de la imagen que desea en la lista desplegable, seleccione Ver todas las imágenes. A continuación, cambie el filtro Tipo de seguridad a Inicio seguro.
Seleccione un tamaño de máquina virtual que admita inicio seguro. Para obtener más información, consulte la lista de tamaños admitidos.
Rellene la información de Cuenta de administrador y Reglas del puerto de entrada.
En la parte inferior de la página, seleccione Revisar y crear.
En la página Crear una máquina virtual verá la información sobre la máquina virtual que va a implementar. Después de superar la validación, seleccione Crear.
La implementación de la VM tardará unos minutos.
Implementación de una máquina virtual de inicio seguro desde una imagen de Azure Compute Gallery
Las máquinas virtuales de inicio seguro de Azure admiten la creación y el uso compartido de imágenes personalizadas mediante Azure Compute Gallery. Hay dos tipos de imágenes que puede crear, en función de los tipos de seguridad de la imagen:
- Recomendado: las imágenes compatibles con la máquina virtual de inicio seguro (
TrustedLaunchSupported
) son imágenes en las que el origen no tiene información de estado de invitado de máquina virtual y se pueden usar para crear máquinas virtuales de segunda generación o máquinas virtuales de inicio de seguro. - Las imágenes de máquina virtual de inicio seguro (
TrustedLaunch
) son imágenes en las que el origen normalmente tiene información de estado de invitado de máquina virtual y se pueden usar para crear únicamente máquinas virtuales de inicio seguro.
Imágenes compatibles con la máquina virtual de inicio seguro
Para los siguientes orígenes de imagen, el tipo de seguridad de la definición de imagen debería establecerse en TrustedLaunchsupported
:
- VHD de disco del sistema operativo (SO) de segunda generación
- Imagen administrada de segunda generación
- Versión de imagen de la galería de segunda generación
No se puede incluir información de estado de invitado de máquina virtual en el origen de la imagen.
Puede usar la versión de imagen resultante para crear máquinas virtuales de Azure de segunda generación o máquinas virtuales de inicio seguro.
Estas imágenes se pueden compartir mediante Azure Compute Gallery: galería compartida de forma directa y Azure Compute Gallery: galería de la comunidad.
Nota:
El VHD del disco del sistema operativo, la imagen administrada o la versión de la imagen de la galería deben crearse a partir de una imagen de Gen2 que sea compatible con las máquinas virtuales de inicio seguro.
- Inicie sesión en Azure Portal.
- Busque y seleccione Versiones de imagen de máquina virtual en la barra de búsqueda.
- En la página Versiones de imagen de máquina virtual, seleccione Crear.
- En la pestaña Aspectos básicos de la página Crear la versión de la imagen de máquina virtual:
- seleccione la suscripción de Azure.
- Seleccione un grupo de recursos existente o cree uno nuevo.
- Seleccione la región de Azure.
- Escriba un número de versión de imagen.
- En Origen, seleccione Blobs de almacenamiento (VHD) o Imagen administrada u otra versión de imagen de máquina virtual.
- Si seleccionó Blobs de almacenamiento (VHD), escriba un VHD de disco del sistema operativo (sin el estado de invitado de la máquina virtual). Asegúrese de usar un disco duro virtual de segunda generación.
- Si seleccionó Imagen administrada, seleccione una imagen administrada existente de una máquina virtual de segunda generación.
- Si seleccionó Versión de la imagen de máquina virtual, seleccione una versión de imagen de galería existente de una máquina virtual de segunda generación.
- En Galería de procesos de Azure objetivo, seleccione o cree una galería para compartir la imagen.
- En Estado del sistema operativo, seleccione Generalizado o Especializado, en función de su caso de uso. Si usa una imagen administrada como origen, seleccione Generalizado siempre. Si usa un blob de almacenamiento (VHD) y quiere seleccionar Generalizado, siga los pasos para generalizar un VHD Linux o generalizar un VHD Windows antes de continuar. Si usa una versión de imagen de máquina virtual existente, seleccione Generalizado o Especializado en función de lo que se usa en la definición de imagen de máquina virtual de origen.
- En Definición de imagen de máquina virtual de destino, seleccione Crear nuevo.
- En el panel Crear una definición de imagen de máquina virtual, escriba un nombre para la definición. Asegúrese de que el tipo de seguridad está establecido en Compatibilidad con "TrustedLaunch". Escriba la información del publicador, la oferta y la SKU. Después, seleccione Aceptar.
- En la pestaña Replicación, escribe el recuento de réplicas y las regiones de destino para la replicación de imágenes, si es necesario.
- En la pestaña Cifrado, escribe información relacionada con el cifrado SSE, si es necesario.
- Seleccione Revisar + crear.
- Una vez validada correctamente la configuración, seleccione Crear para terminar de crear la imagen.
- Una vez creada la versión de la imagen, seleccione Crear máquina virtual.
- En la página Crear una máquina virtual, en Grupo de recursos, seleccione Crear nuevo. Escriba un nombre para el grupo de recursos o seleccione un grupo de recursos existente en la lista desplegable.
- En Detalles de la instancia, escriba un nombre para el nombre de la máquina virtual y elija una región que admita el inicio seguro.
- En Tipo de seguridad, seleccione Máquinas virtuales de inicio seguro. Las casillas Arranque seguro y vTPM están habilitadas de forma predeterminada.
- Rellene la información de Cuenta de administrador y Reglas del puerto de entrada.
- En la página de validación, revise los detalles de la máquina virtual.
- Una vez que la validación se ha realizado correctamente, seleccione Crear para terminar de crear la máquina virtual.
Imágenes de máquina virtual de inicio seguro
El tipo de seguridad de la definición de imagen debe establecerse en TrustedLaunch
para los siguientes orígenes de imagen:
- Captura de máquina virtual de inicio seguro
- Disco de sistema operativo administrado
- Instantánea de disco del sistema operativo administrado
Puede usar la versión de imagen resultante solo para crear máquinas virtuales de inicio seguro de Azure.
- Inicie sesión en Azure Portal.
- Para crear una imagen de Azure Compute Gallery desde una máquina virtual, abra una máquina virtual de inicio seguro existente y seleccione Capturar.
- En la página Crear una imagen, permita que la imagen se comparta en la galería como una versión de imagen de máquina virtual. No se admite la creación de imágenes administradas para máquinas virtuales de inicio seguro.
- Cree una instancia de Azure Compute Gallery de destino o seleccione una galería existente.
- Seleccione el Estado del sistema operativo como Generalizado o Especializado. Si desea crear una imagen generalizada, asegúrese de generalizar la máquina virtual para quitar información específica de la máquina antes de que seleccione esta opción. Si el cifrado basado en Bitlocker está habilitado en la máquina virtual Windows de inicio seguro, es posible que no pueda generalizar lo mismo.
- Proporciona un nombre, un publicador, una oferta y detalles de la SKU para crear una definición de la imagen. El tipo de seguridad para la definición de imagen ya debe establecerse en Inicio seguro.
- Proporcione un número de versión para la versión de la imagen.
- Modifique las opciones de replicación, si es necesario.
- En la parte inferior de la página Crear una imagen, seleccione Revisar y crear. Después de superar la validación, seleccione Crear.
- Una vez creada la versión de la imagen, vaya directamente a la versión de la imagen. Como alternativa, puede ir a la versión de la imagen requerida a través de la definición de la imagen.
- En la página Versión de la imagen de máquina virtual, seleccione + Crear máquina virtual para ir a la página Crear una máquina virtual.
- En la página Crear una máquina virtual, en Grupo de recursos, seleccione Crear nuevo. Escriba un nombre para el grupo de recursos o seleccione un grupo de recursos existente en la lista desplegable.
- En Detalles de la instancia, escriba un nombre para el nombre de la máquina virtual y elija una región que admita el inicio seguro.
- La imagen y el tipo de seguridad ya están rellenados en función de la versión de imagen seleccionada. Las casillas Arranque seguro y vTPM están habilitadas de forma predeterminada.
- Rellene la información de Cuenta de administrador y Reglas del puerto de entrada.
- En la parte inferior de la página, seleccione Revisar y crear.
- En la página de validación, revise los detalles de la máquina virtual.
- Una vez que la validación se ha realizado correctamente, seleccione Crear para terminar de crear la máquina virtual.
Si quiere usar un disco administrado o una instantánea de disco administrado como origen de la versión de la imagen (en lugar de una máquina virtual de inicio seguro), siga estos pasos.
- Inicie sesión en Azure Portal.
- Busque Versiones de imagen de máquina virtual y seleccione Crear.
- Proporcione la suscripción, el grupo de recursos, la región y el número de versión de la imagen.
- Seleccione el origen como Discos o Instantáneas.
- Seleccione el disco del sistema operativo como un disco administrado o una instantánea de discoadministrado en la lista desplegable.
- Seleccione una galería de Azure Compute Gallery de destino para crear y compartir la imagen. Si no existe ninguna galería, cree una nueva galería.
- Seleccione el Estado del sistema operativo como Generalizado o Especializado. Si desea crear una imagen generalizada, asegúrese de generalizar el disco o la instantánea para quitar información específica de la máquina.
- En Definición de imagen de máquina virtual de destino, seleccione Crear nueva. En la ventana que se abre, seleccione un nombre de definición de imagen y asegúrese de que el tipo de seguridad esté establecido en Inicio seguro. Proporcione la información del publicador, la oferta y la SKU y seleccione Aceptar.
- La pestaña Replicación se puede usar para establecer el recuento de réplicas y las regiones de destino para la replicación de imágenes, si es necesario.
- La pestaña Cifrado también se puede usar para proporcionar información relacionada con el cifrado SSE, si es necesario.
- Seleccione Crear en la pestaña Revisar y crear para crear la imagen.
- Una vez creada correctamente la versión de la imagen, seleccione + Crear máquina virtual para ir a la página Crear una máquina virtual.
- Siga los pasos del 12 al 18 como se mencionó anteriormente para crear una máquina virtual de inicio seguro con esta versión de imagen.
Directivas integradas de inicio seguro
Para ayudar a los usuarios a adoptar el inicio seguro, las directivas de Azure están disponibles a fin de permitir a los propietarios de recursos adoptar inicio seguro. El objetivo principal es ayudar a convertir las máquinas virtuales de primera y segunda generación que son compatibles con inicio seguro.
La directiva única La máquina virtual debe tener habilitado el inicio seguro comprueba si la máquina virtual está habilitada actualmente con configuraciones de seguridad de inicio seguro. La directiva Discos y sistema operativo compatibles con el inicio seguro comprueba si las máquinas virtuales creadas anteriormente tienen el sistema operativo de segunda generación y el tamaño de máquina virtual adecuados para implementar una máquina virtual de inicio seguro.
Estas dos directivas se unen para crear la iniciativa de directiva de inicio seguro. Esta iniciativa le permite agrupar varias definiciones de directiva relacionadas para simplificar las asignaciones y los recursos de administración para incluir la configuración de inicio seguro.
Para obtener más información e iniciar la implementación, consulta las directivas integradas de Inicio seguro.
Comprobación o actualización de la configuración
En el caso de las máquinas virtuales creadas con inicio seguro habilitado, puede ver la configuración de inicio seguro; para ello, vaya a la página Información general de la máquina virtual en Azure Portal. La pestaña Propiedades muestra el estado de las características de inicio seguro.
Para cambiar la configuración de inicio seguro, en el menú de la izquierda, en Configuración, seleccione Configuración. En la sección Tipo de seguridad, puede habilitar o deshabilitar Arranque seguro, vTPM y Supervisión de integridad. Cuando haya terminado, seleccione Guardar en la parte superior de la página.
Si la máquina virtual se está ejecutando, recibirá un mensaje que indica que la máquina virtual se reiniciará. Seleccione Sí y espere a que se reinicie la máquina virtual para que los cambios surtan efecto.
Contenido relacionado
Obtenga más información sobre el inicio seguro y la supervisión de la integridad de arranque de las máquinas virtuales.