Virtuális gép üzembe helyezése engedélyezett megbízható indítással
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
A megbízható indítás a 2. generációs virtuális gépek biztonságának javítására szolgáló módszer. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen az olyan infrastruktúra-technológiák kombinálásával, mint a vTPM és a biztonságos rendszerindítás.
Előfeltételek
Ha még nem tette meg, fel kell vennie az előfizetését Felhőhöz készült Microsoft Defender. Felhőhöz készült Microsoft Defender ingyenes szinttel rendelkezik, amely nagyon hasznos megállapításokat nyújt a különböző Azure- és hibrid erőforrásokhoz. A megbízható indítás Felhőhöz készült Defender használ a virtuális gép állapotával kapcsolatos több javaslat felszínre hozásához.
Azure-szabályzatok kezdeményezéseinek hozzárendelése az előfizetéshez. Ezeket a házirend-kezdeményezéseket előfizetésenként csak egyszer kell hozzárendelni. Ez automatikusan telepíti az összes szükséges bővítményt az összes támogatott virtuális gépre.
Konfigurálja a vendégigazolás engedélyezésének előfeltételeit a megbízható indítású virtuális gépeken.
Konfigurálja a gépeket az Azure Monitor és az Azure Security-ügynökök virtuális gépekre való automatikus telepítéséhez.
Az AzureAttestation szolgáltatáscímke engedélyezése NSG kimenő szabályokban a Microsoft Azure-igazolás forgalmának engedélyezéséhez. Tekintse meg a virtuális hálózati szolgáltatás címkéinek hivatkozását.
Győződjön meg arról, hogy a tűzfalszabályzatok engedélyezik a hozzáférést.
*.attest.azure.net
Megjegyzés:
Ha Linux rendszerképet használ, és arra számít, hogy a virtuális gép kernelillesztői aláíratlanok vagy a Linux disztribúciós szállító által nem aláírtak, érdemes lehet kikapcsolni a biztonságos rendszerindítást. Az Azure Portalon a "Biztonsági típus" paraméter "Virtuális gép létrehozása" lapjának "Megbízható virtuális gépek indítása" elemének kiválasztásával kattintson a "Biztonsági funkciók konfigurálása" elemre, és törölje a jelet a "Biztonságos rendszerindítás engedélyezése" jelölőnégyzetből. A parancssori felületen, a PowerShellben vagy az SDK-ban állítsa a biztonságos rendszerindítási paramétert hamisra.
Megbízható indítású virtuális gép üzembe helyezése
Hozzon létre egy virtuális gépet, amelyen engedélyezve van a megbízható indítás. Válasszon az alábbi lehetőségek közül:
- Jelentkezzen be az Azure Portalra.
- Virtuális gépek keresése.
- A Szolgáltatások területen válassza a Virtuális gépek lehetőséget.
- A Virtuális gépek lapon válassza a Hozzáadás, majd a Virtuális gép lehetőséget.
- A Project részletei csoportban győződjön meg arról, hogy a megfelelő előfizetés van kiválasztva.
- Az Erőforráscsoport területen válassza az Új létrehozása lehetőséget, és írja be az erőforráscsoport nevét, vagy válasszon ki egy meglévő erőforráscsoportot a legördülő listából.
- A Példány részletei csoportban írja be a virtuális gép nevét, és válasszon egy régiót, amely támogatja a megbízható indítást.
- Biztonsági típus esetén válassza a Megbízható indítású virtuális gépek lehetőséget. Ezzel további három lehetőség jelenik meg : biztonságos rendszerindítás, vTPM és integritásfigyelés . Válassza ki a megfelelő beállításokat az üzembe helyezéshez. További információ a megbízható indításra képes biztonsági funkciókról.
- A Rendszerkép csoportban válasszon ki egy képet a Megbízható indítással kompatibilis 2. generációs ajánlott rendszerképekből. A lista megtekintéséhez tekintse meg a megbízható indítást.
Tipp.
Ha nem látja a kívánt kép Gen 2-es verzióját a legördülő menüben, válassza az Összes lemezkép megtekintése lehetőséget, majd módosítsa a Biztonsági típus szűrőt megbízható indításra.
- Válasszon ki egy virtuálisgép-méretet, amely támogatja a megbízható indítást. Tekintse meg a támogatott méretek listáját.
- Adja meg a Rendszergazda istrator-fiók adatait, majd a bejövő portszabályokat.
- A lap alján válassza a Véleményezés + Létrehozás lehetőséget
- A Virtuális gép létrehozása lapon láthatja az üzembe helyezni kívánt virtuális gép részleteit. Ha az ellenőrzés sikeresnek látszik, válassza a Létrehozás lehetőséget.
A virtuális gép üzembe helyezése eltarthat néhány percig.
Megbízható indítású virtuális gép üzembe helyezése Azure Compute Gallery-rendszerképből
Az Azure megbízható indítású virtuális gépei támogatják az egyéni rendszerképek létrehozását és megosztását az Azure Compute Gallery használatával. A rendszerkép biztonsági típusai alapján kétféle rendszerképet hozhat létre:
- Az ajánlottmegbízható indítású virtuális gépek által támogatott (
TrustedLaunchSupported
) rendszerképek olyan képek, amelyekben a forrás nem rendelkezik virtuális gép vendégállapot-információival, és 2. generációs virtuális gépek vagy megbízható indítású virtuális gépek létrehozására használható. - A megbízható indítású virtuálisgép-rendszerképek
TrustedLaunch
olyan képek, amelyekben a forrás általában virtuálisgép-vendégállapot-információkkal rendelkezik, és csak megbízható indítású virtuális gépek létrehozására használható.
A virtuális gép megbízható indítása által támogatott rendszerképek
A következő képforrások esetében a képdefiníció biztonsági típusát a következő értékre TrustedLaunchsupported
kell állítani:
- Gen2 OS Disk VHD
- Gen2 felügyelt rendszerkép
- Gen2 katalógus képverziója
A rendszerkép forrása nem tartalmaz virtuálisgép-vendégállapot-információt.
Az eredményül kapott rendszerképverzió azure Gen2 virtuális gépek vagy megbízható indítású virtuális gépek létrehozására használható.
Ezek a képek megoszthatók az Azure Compute Gallery – Közvetlen megosztott katalógus és az Azure Compute Gallery – Közösségi katalógus használatával
Megjegyzés:
Az operációsrendszer-lemez VHD-jének, felügyelt lemezképének vagy katalógusképének verzióját olyan Gen2-lemezképből kell létrehozni, amely kompatibilis a megbízható indítású virtuális gépekkel.
- Jelentkezzen be az Azure Portalra.
- Virtuálisgép-rendszerkép-verziók keresése és kiválasztása a keresősávon
- A virtuális gép lemezképeinek verziói lapon válassza a Létrehozás lehetőséget.
- A virtuális gép lemezképének verziószámának létrehozása lapon, az Alapszintű beállítások lapon:
- Válassza ki az Azure-előfizetést.
- Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy új erőforráscsoportot.
- Válassza ki az Azure-régiót.
- Adja meg a kép verziószámát.
- Forrásként válassza a Tárolóblobok (VHD) vagy a Felügyelt rendszerkép vagy egy másik virtuálisgép-rendszerkép verziója lehetőséget
- Ha a Tárolóblobok (VHD) lehetőséget választotta, adjon meg egy operációsrendszer-lemez vHD-ját (a virtuális gép vendégállapota nélkül). Győződjön meg arról, hogy Gen 2 VHD-t használ.
- Ha a Felügyelt rendszerkép lehetőséget választotta, válassza ki a Gen 2 virtuális gép meglévő felügyelt rendszerképét.
- Ha a virtuálisgép-rendszerképverziót választotta, válassza ki a Gen2 virtuális gép meglévő katalógusképverzióját.
- Az Azure-beli céltár esetében válasszon vagy hozzon létre egy katalógust a rendszerkép megosztásához.
- Az operációs rendszer állapota esetén válassza az Általános vagy a Specializált lehetőséget a használati esettől függően. Ha egy felügyelt rendszerképet használ forrásként, mindig válassza az Általánosított lehetőséget. Ha tárolóblobot (VHD-t) használ, és az Általánosított lehetőséget szeretné választani, a folytatás előtt kövesse a linuxos virtuális merevlemez általánosításához vagy a Windows VHD általánosításához szükséges lépéseket. Ha meglévő virtuálisgép-rendszerkép-verziót használ, válassza az Általános vagy a Specializált lehetőséget a forrás virtuálisgép-rendszerkép definíciója alapján.
- A cél virtuálisgép-képdefinícióhoz válassza az Új létrehozása lehetőséget.
- A virtuális gép képdefiníciójának létrehozása panelen adja meg a definíció nevét. Győződjön meg arról, hogy a biztonsági típus a Megbízhatóan támogatott értékre van állítva. Adja meg a közzétevő, az ajánlat és a termékváltozat adatait. Ezután válassza az OK gombot.
- A Replikáció lapon adja meg a replikák számát és a lemezképreplikációs célrégióokat, ha szükséges.
- A Titkosítás lapon adja meg az S Standard kiadás titkosítással kapcsolatos információkat, ha szükséges.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- A konfiguráció sikeres érvényesítése után a Létrehozás gombra kattintva fejezze be a rendszerkép létrehozását.
- A képverzió létrehozása után válassza a Virtuális gép létrehozása lehetőséget.
- A Virtuális gép létrehozása lap Erőforráscsoport csoportjában válassza az Új létrehozása lehetőséget, és írja be az erőforráscsoport nevét, vagy válasszon ki egy meglévő erőforráscsoportot a legördülő listából.
- A Példány részletei csoportban írja be a virtuális gép nevét, és válasszon egy régiót, amely támogatja a megbízható indítást.
- Biztonsági típusként válassza a Megbízható indítású virtuális gépek lehetőséget. A Biztonságos rendszerindítás és a vTPM jelölőnégyzet alapértelmezés szerint engedélyezve van.
- Adja meg a Rendszergazda istrator-fiók adatait, majd a bejövő portszabályokat.
- Az érvényesítési oldalon tekintse át a virtuális gép részleteit.
- Miután az ellenőrzés sikeres volt, válassza a Létrehozás lehetőséget a virtuális gép létrehozásának befejezéséhez.
Virtuálisgép-rendszerképek megbízható indítása
A következő képforrások esetében a képdefiníció biztonsági típusát a következő értékre TrustedLaunch
kell állítani:
- Megbízható indítású virtuális gép rögzítése
- Felügyelt operációsrendszer-lemez
- Felügyelt operációsrendszer-lemez pillanatképe
Az eredményként kapott rendszerképverzió csak Azure Megbízható indítású virtuális gépek létrehozásához használható.
- Jelentkezzen be az Azure Portalra.
- Azure Compute Gallery-rendszerkép virtuális gépről való létrehozásához nyisson meg egy meglévő megbízható indítású virtuális gépet, és válassza a Rögzítés lehetőséget.
- Az alábbi Kép létrehozása lapon engedélyezze a rendszerkép megosztását a katalógusban virtuálisgép-rendszerkép-verzióként. A felügyelt rendszerképek létrehozása nem támogatott a megbízható indítású virtuális gépek esetében.
- Hozzon létre egy új cél Azure Compute Galleryt, vagy válasszon ki egy meglévő katalógust.
- Válassza ki az operációs rendszer állapotát általános vagyspecializáltként. Ha általánosított lemezképet szeretne létrehozni, a beállítás kiválasztása előtt győződjön meg arról, hogy általánosítja a virtuális gépet a gépspecifikus adatok eltávolításához. Ha a Bitlocker-alapú titkosítás engedélyezve van a Megbízható indítású Windows rendszerű virtuális gépen, előfordulhat, hogy nem tudja általánosítani ugyanezt.
- Hozzon létre egy új képdefiníciót egy név, közzétevő, ajánlat és termékváltozat adatainak megadásával. A rendszerképdefiníció biztonsági típusát már megbízható indításra kell beállítani.
- Adjon meg egy verziószámot a képverzióhoz.
- Szükség esetén módosítsa a replikációs beállításokat.
- A Kép létrehozása lap alján válassza a Véleményezés + Létrehozás lehetőséget, és ha az ellenőrzés megfeleltetve jelenik meg, válassza a Létrehozás lehetőséget.
- A képverzió létrehozása után lépjen közvetlenül a képverzióra. Másik lehetőségként a képdefiníción keresztül navigálhat a szükséges képverzióra.
- A virtuális gép lemezképének verziószámlapján válassza a + Virtuális gép létrehozása lehetőséget a virtuális gép létrehozása lapra való leszálláshoz.
- A Virtuális gép létrehozása lap Erőforráscsoport csoportjában válassza az Új létrehozása lehetőséget, és írja be az erőforráscsoport nevét, vagy válasszon ki egy meglévő erőforráscsoportot a legördülő listából.
- A Példány részletei csoportban írja be a virtuális gép nevét, és válasszon egy régiót, amely támogatja a megbízható indítást.
- A rendszerkép és a biztonsági típus már ki van töltve a kiválasztott képverzió alapján. A Biztonságos rendszerindítás és a vTPM jelölőnégyzet alapértelmezés szerint engedélyezve van.
- Adja meg a Rendszergazda istrator-fiók adatait, majd a bejövő portszabályokat.
- A lap alján válassza a Véleményezés + Létrehozás lehetőséget
- Az érvényesítési oldalon tekintse át a virtuális gép részleteit.
- Miután az ellenőrzés sikeres volt, válassza a Létrehozás lehetőséget a virtuális gép létrehozásának befejezéséhez.
Ha felügyelt lemezt vagy felügyelt lemez pillanatképét szeretné használni a rendszerképverzió forrásaként (megbízható indítású virtuális gép helyett), kövesse az alábbi lépéseket
- Bejelentkezés a portálra
- Virtuálisgép-rendszerképverziók keresése és a Létrehozás gomb kiválasztása
- Adja meg az előfizetés, az erőforráscsoport, a régió és a rendszerkép verziószámát
- Válassza ki a forrást lemezek és/vagy pillanatképekként
- Válassza ki az operációsrendszer-lemezt felügyelt lemezként vagy felügyelt lemez pillanatképeként a legördülő listából
- Válassza ki a cél Azure Compute Galleryt a rendszerkép létrehozásához és megosztásához. Ha nincs katalógus, hozzon létre egy új katalógust.
- Válassza ki az operációs rendszer állapotát általános vagyspecializáltként. Ha általánosított lemezképet szeretne létrehozni, győződjön meg arról, hogy általánosítja a lemezt vagy a pillanatképet a gépspecifikus információk eltávolításához.
- A cél virtuálisgép-lemezképdefiníciónál válassza az Új létrehozása lehetőséget. A megnyíló ablakban válassza ki a képdefiníció nevét, és győződjön meg arról, hogy a biztonság típusa megbízható indításra van állítva. Adja meg a közzétevő, az ajánlat és az termékváltozat adatait, és válassza az OK gombot.
- A Replikáció lap használatával szükség esetén beállíthatja a replikák számát és a célrégióokat a képreplika-replikációhoz.
- A Titkosítás lap az S Standard kiadás titkosítással kapcsolatos információk megadására is használható, ha szükséges.
- Válassza a Létrehozás lehetőséget a Véleményezés + létrehozás lapon a kép létrehozásához
- A képverzió sikeres létrehozása után válassza a + Virtuális gép létrehozása lehetőséget a virtuális gép létrehozása lapra való leszálláshoz.
- A korábban említett 12–18. lépést követve hozzon létre megbízható indítású virtuális gépet ezzel a rendszerképverzióval
A beállítások ellenőrzése vagy frissítése
A megbízható indítással létrehozott virtuális gépek esetében a megbízható indítási konfigurációt az Azure Portal virtuális gépének Áttekintés lapján tekintheti meg. A Tulajdonságok lap a Megbízható indítási funkciók állapotát jeleníti meg:
A megbízható indítási konfiguráció módosításához a bal oldali menü Gépház szakaszában válassza a Konfiguráció lehetőséget. A Biztonsági típus szakaszban engedélyezheti vagy letilthatja a biztonságos rendszerindítást, a vTPM-et és az integritásfigyelést. Ha elkészült, válassza a Mentés lehetőséget a lap tetején.
Ha a virtuális gép fut, egy üzenet jelenik meg arról, hogy a virtuális gép újraindul. Válassza az Igen lehetőséget, majd várja meg, amíg a virtuális gép újraindul, amíg a módosítások érvénybe lépnek.
Következő lépések
További információ a megbízható indítási és rendszerindítási integritás monitorozásáról.