Azure-beli virtuális gépek megbízható indítása

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok

Az Azure megbízható indítást kínál a 2. generációs virtuális gépek biztonságának javítása érdekében. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen. A megbízható indítás több, egymástól függetlenül engedélyezhető, koordinált infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen.

Fontos

Juttatások

  • Virtuális gépek biztonságos üzembe helyezése ellenőrzött rendszerindítási betöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal.
  • Biztonságosan védheti a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken.
  • Betekintést nyerhet a rendszerindítási lánc teljes integritásába.
  • Győződjön meg arról, hogy a számítási feladatok megbízhatóak és ellenőrizhetők.

Virtuális gépek méretei

Típus Támogatott méretcsaládok Jelenleg nem támogatott méretcsaládok Nem támogatott méretcsaládok
Általános célú B sorozat, DCsv2 sorozat, DCsv3 sorozat, DCdsv3-sorozat, Dv4-sorozat, Dsv4-sorozat, Dsv3-sorozat, Dsv2-sorozat, Dav4-sorozat, Dasv4-sorozat, Ddv4-sorozat, Ddsv4-sorozat, Dv5-sorozat, Dsv5-sorozat, Ddv5-sorozat, Ddsv5-sorozat, Dasv5-sorozat, Dadsv5-sorozat, Dlsv5-sorozat,Dldsv5-sorozat Dpsv5-sorozat, Dpdsv5-sorozat, Dplsv5-sorozat, Dpldsv5-sorozat Av2 sorozat, Dv2 sorozat, Dv3 sorozat
Számításoptimalizált FX-sorozat, Fsv2-sorozat Minden méret támogatott.
Memóriaoptimalizált Dsv2-sorozat, Esv3-sorozat, Ev4-sorozat, Esv4-sorozat, Edv4-sorozat, Edsv4-sorozat, Eav4-sorozat, Easv4-sorozat, Easv5-sorozat, Eadsv5-sorozat, Ebsv5-sorozat,Ebdsv5-sorozat, Edv5-sorozat, Edv5-sorozat, Edsv5-sorozat Epsv5-sorozat, Epdsv5-sorozat, M-sorozat, Msv2-sorozat, Mdsv2 Közepes memória sorozat, Mv2-sorozat Ev3 sorozat
Tároptimalizált Lsv2-sorozat, Lsv3-sorozat, Lasv3-sorozat Minden méret támogatott.
GPU NCv2 sorozat, NCv3 sorozat, NCasT4_v3-sorozat, NVv3 sorozat, NVv4-sorozat, NDv2-sorozat, NC_A100_v4-sorozat, NVadsA10 v5-sorozat NDasrA100_v4 sorozat, NDm_A100_v4 sorozat NC-sorozat, NV-sorozat, NP-sorozat
Nagy teljesítményű számítás HB-sorozat, HBv2 sorozat, HBv3-sorozat, HBv4-sorozat, HC-sorozat, HX-sorozat Minden méret támogatott.

Feljegyzés

  • A CUDA > GRID-illesztőprogramok biztonságos rendszerindításra képes Windows rendszerű virtuális gépeken való telepítése nem igényel további lépéseket.
  • A CUDA-illesztőprogram biztonságos rendszerindításra képes Ubuntu rendszerű virtuális gépeken való telepítéséhez további lépések szükségesek, amelyek az NVIDIA GPU-illesztőprogramok Linux rendszerű N sorozatú virtuális gépeken való telepítésével kapcsolatosak. A biztonságos rendszerindítást le kell tiltani a CUDA-illesztőprogramok más Linux rendszerű virtuális gépekre való telepítéséhez.
  • A GRID-illesztő telepítéséhez le kell tiltani a biztonságos rendszerindítást Linux rendszerű virtuális gépeken.
  • A nem támogatott méretű családok nem támogatják a 2 . generációs virtuális gépeket. Módosítsa a virtuálisgép-méretet egyenértékű támogatott méretcsaládokra a megbízható indítás engedélyezéséhez.

Támogatott operációs rendszerek

OS Verzió
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 rendszer esetén Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Windows Server (Azure Edition) 2022

* Az operációs rendszer változatai támogatottak.

További információk

Régiók:

  • Minden nyilvános régió
  • Minden Azure Government-régió
  • Minden Azure China-régió

Díjszabás: A megbízható indítás nem növeli a virtuális gépek díjszabási költségeit.

Nem támogatott szolgáltatások

Feljegyzés

A következő virtuálisgép-funkciók jelenleg nem támogatottak a Megbízható indítás funkcióval.

Biztonságos rendszerindítás

A megbízható indítás gyökere a virtuális gép biztonságos rendszerindítása. A platform belső vezérlőprogramjában implementált Secure Boot védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben. A biztonságos rendszerindítással biztosítható, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhassanak el. Létrehozza a virtuális gép szoftververemének "megbízhatósági gyökerét". Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőnek (rendszertöltő, kernel- és kernelillesztő) megbízható közzétevők aláírására van szükség. A Windows és a linuxos disztribúciók egyaránt támogatják a biztonságos rendszerindítást. Ha a biztonságos rendszerindítás nem tudja hitelesíteni, hogy a rendszerképet megbízható közzétevő írta alá, a virtuális gép nem indul el. További információ: Biztonságos rendszerindítás.

vTPM

A megbízható indítás az Azure-beli virtuális gépekhez készült vTPM-et is bevezeti. A vTPM a hardveres megbízható platformmodul virtualizált verziója, amely megfelel a TPM2.0 specifikációnak. Dedikált biztonságos tárolóként szolgál kulcsokhoz és mérésekhez. A megbízható indítás saját dedikált TPM-példányt biztosít a virtuális gép számára, amely biztonságos környezetben fut bármely virtuális gép elérésén kívül. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével teszi lehetővé az igazolást .

A megbízható indítás a vTPM használatával végzi el a távoli igazolást a felhőn keresztül. Az igazolások lehetővé teszik a platform állapotának ellenőrzését és a megbízhatóságon alapuló döntések meghozatalát. Állapot-ellenőrzésként a megbízható indítás képes kriptográfiailag igazolni, hogy a virtuális gép megfelelően indult el. Ha a folyamat meghiúsul, valószínűleg azért, mert a virtuális gép jogosulatlan összetevőt futtat, Felhőhöz készült Microsoft Defender integritási riasztásokat ad ki. A riasztások tartalmazzák azokat a részleteket, amelyek alapján az összetevők nem sikerültek az integritás-ellenőrzéseknek.

Virtualizáláson alapuló biztonság

A virtualizációalapú biztonság (VBS) a hipervizor használatával hoz létre egy biztonságos és elszigetelt memóriaterületet. A Windows ezeket a régiókat használja különböző biztonsági megoldások futtatására, amelyek fokozott védelmet nyújtanak a biztonsági rések és a rosszindulatú biztonsági rések ellen. A megbízható indítás lehetővé teszi a Hypervisor Code Integrity (HVCI) és a Windows Defender Credential Guard engedélyezését.

A HVCI egy hatékony rendszercsökkentés, amely megvédi a Windows kernel módú folyamatait a rosszindulatú vagy nem ellenőrzött kódok injektálása és végrehajtása ellen. Futtatás előtt ellenőrzi a kernel módú illesztőprogramokat és bináris fájlokat, megakadályozva az aláíratlan fájlok memóriába való betöltését. Az ellenőrzések biztosítják, hogy a végrehajtható kód nem módosítható, ha engedélyezve van a betöltés. A VBS-ről és a HVCI-ről további információt a Virtualization Based Security (VBS) és a Hypervisor Enforced Code Integrity (HVCI) című témakörben talál.

A megbízható indítással és a VBS-sel engedélyezheti a Windows Defender Credential Guardot. A Credential Guard elkülöníti és védi a titkos kódokat, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá. Segít megelőzni a titkos kódokhoz és a hitelesítő adatok ellopására irányuló támadásokhoz, például a Pass-the-Hash (PtH) támadásokhoz való jogosulatlan hozzáférést. További információ: Credential Guard.

Felhőhöz készült Microsoft Defender integráció

A megbízható indítás integrálva van a Felhőhöz készült Microsoft Defender, hogy a virtuális gépek megfelelően legyenek konfigurálva. Felhőhöz készült Microsoft Defender folyamatosan értékeli a kompatibilis virtuális gépeket, és releváns javaslatokat ad ki.

  • A biztonságos rendszerindítás engedélyezésére vonatkozó javaslat – A biztonságos rendszerindítási javaslat csak a megbízható indítást támogató virtuális gépekre vonatkozik. Felhőhöz készült Microsoft Defender azonosítja azokat a virtuális gépeket, amelyek engedélyezhetik a biztonságos rendszerindítást, de letiltották. Az engedélyezéshez alacsony súlyossági javaslatot ad ki.
  • Javaslat a vTPM engedélyezésére – Ha a virtuális gépen engedélyezve van a vTPM, Felhőhöz készült Microsoft Defender használhatja a vendégigazolás végrehajtására és a speciális fenyegetésminták azonosítására. Ha Felhőhöz készült Microsoft Defender olyan virtuális gépeket azonosít, amelyek támogatják a megbízható indítást, és letiltják a vTPM-et, a rendszer alacsony súlyossági javaslatot ad az engedélyezéséhez.
  • Javaslat a vendégigazolási bővítmény telepítésére – Ha a virtuális gép biztonságos rendszerindítást és vTPM-t engedélyezve van, de nincs telepítve a vendégigazolási bővítmény, Felhőhöz készült Microsoft Defender alacsony súlyossági javaslatokat ad a vendégigazolási bővítmény telepítésére. Ez a bővítmény lehetővé teszi, hogy Felhőhöz készült Microsoft Defender proaktívan tanúsítsa és monitorozza a virtuális gépek rendszerindítási integritását. A rendszerindítási integritást távoli igazolással igazolja a rendszer.
  • Igazolás állapotfelmérése vagy rendszerindítási integritás monitorozása – Ha a virtuális gép biztonságos rendszerindítási és vTPM-kompatibilis és igazolási bővítménye van telepítve, Felhőhöz készült Microsoft Defender távolról ellenőrizheti, hogy a virtuális gép megfelelően indult-e el. Ez a rendszerindítási integritás monitorozása. Felhőhöz készült Microsoft Defender a távoli igazolás állapotát jelző értékelést ad ki.

Ha a virtuális gépek megfelelően vannak beállítva megbízható indítással, Felhőhöz készült Microsoft Defender észlelheti és riasztást kaphat a virtuális gépek állapotproblémáiról.

  • Riasztás a virtuális gépek igazolási hibájáról: Felhőhöz készült Microsoft Defender rendszeresen elvégzi az igazolást a virtuális gépeken. Az igazolás a virtuális gép indítása után is megtörténik. Ha az igazolás sikertelen, közepes súlyossági riasztást aktivál. A virtuális gép igazolása a következő okokból meghiúsulhat:

    • A rendszerindítási naplót tartalmazó igazolási adatok eltérnek a megbízható alapkonfigurációtól. Bármilyen eltérés azt jelezheti, hogy a nem megbízható modulok be lettek töltve, és az operációs rendszer megsérülhet.
    • Az igazolási idézet nem ellenőrizhető, hogy az igazolt virtuális gép vTPM-éből származik-e. A nem ellenőrzött forrás azt jelezheti, hogy kártevő van jelen, és elfoghatja a vTPM felé történő forgalmat.

    Feljegyzés

    A riasztások olyan virtuális gépekhez érhetők el, amelyeken engedélyezve van a vTPM, és telepítve van az igazolási bővítmény. A biztonságos rendszerindítást engedélyezni kell ahhoz, hogy az igazolás sikeres legyen. Az igazolás sikertelen, ha a biztonságos rendszerindítás le van tiltva. Ha le kell tiltania a biztonságos rendszerindítást, letilthatja ezt a riasztást a hamis pozitív értékek elkerülése érdekében.

  • Riasztás a nem megbízható Linux Kernel modulról: A biztonságos rendszerindítást engedélyező megbízható indítás esetén a virtuális gép akkor is elindulhat, ha egy kernelillesztő nem érvényesíti az ellenőrzést, és nem tölthető be. Ha ez történik, Felhőhöz készült Microsoft Defender alacsony súlyosságú riasztásokat ad ki. Bár nincs azonnali fenyegetés, mivel a nem megbízható illesztőprogram nincs betöltve, ezeket az eseményeket meg kell vizsgálni.

    • Melyik kernelillesztő nem sikerült? Ismerem ezt a illesztőprogramot, és elvárom, hogy betöltse?
    • Ez az illesztőprogram pontos verziója, amire számítok? Érintetlenek a sofőr bináris fájljai? Ha ez egy harmadik féltől származó illesztőprogram, a szállító teljesítette az operációsrendszer-megfelelőségi teszteket az aláíráshoz?

Következő lépések

Megbízható indítású virtuális gép üzembe helyezése.