Megosztás a következőn keresztül:

Azure-beli virtuális gépek megbízható indítása

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok

Az Azure megbízható indítást kínál a 2. generációs virtuális gépek (VM-ek) biztonságának javítása érdekében. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen. A megbízható indítás több, egymástól függetlenül engedélyezhető összehangolt infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen.

Fontos

Juttatások

  • Virtuális gépek biztonságos üzembe helyezése ellenőrzött rendszerindítási betöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal.
  • Biztonságosan védheti a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken.
  • Betekintést nyerhet a rendszerindítási lánc teljes integritásába.
  • Győződjön meg arról, hogy a számítási feladatok megbízhatóak és ellenőrizhetők.

Virtuális gépek méretei

Típus Támogatott méretcsaládok Jelenleg nem támogatott méretcsaládok Nem támogatott méretcsaládok
Általános célú B sorozat, DCsv2 sorozat, DCsv3 sorozat, DCdsv3-sorozat, Dv4-sorozat, Dsv4-sorozat, Dsv3-sorozat, Dsv2-sorozat, Dav4-sorozat, Dasv4-sorozat, Ddv4-sorozat, Ddsv4-sorozat, Dv5-sorozat, Dsv5-sorozat, Ddv5-sorozat, Ddsv5-sorozat, Dasv5-sorozat, Dadsv5-sorozat, Dlsv5-sorozat,Dldsv5-sorozat Dpsv5-sorozat, Dpdsv5-sorozat, Dplsv5-sorozat, Dpldsv5-sorozat Av2 sorozat, Dv2 sorozat, Dv3 sorozat
Számításoptimalizált FX-sorozat, Fsv2-sorozat Minden méret támogatott.
Memóriaoptimalizált Dsv2-sorozat, Esv3-sorozat, Ev4-sorozat, Esv4-sorozat, Edv4-sorozat, Edsv4-sorozat, Eav4-sorozat, Easv4-sorozat, Easv5-sorozat, Eadsv5-sorozat, Ebsv5-sorozat, Ebdsv5-sorozat, Edv5-sorozat, Edv5-sorozat, Edsv5-sorozat Epsv5-sorozat, Epdsv5-sorozat, M-sorozat, Msv2-sorozat, Mdsv2 Közepes memória sorozat, Mv2-sorozat Ev3 sorozat
Tároptimalizált Lsv2-sorozat, Lsv3-sorozat, Lasv3-sorozat Minden méret támogatott.
GPU NCv2 sorozat, NCv3 sorozat, NCasT4_v3-sorozat, NVv3 sorozat, NVv4-sorozat, NDv2-sorozat, NC_A100_v4-sorozat, NVadsA10 v5-sorozat NDasrA100_v4 sorozat, NDm_A100_v4 sorozat NC-sorozat, NV-sorozat, NP-sorozat
Nagy teljesítményű számítás HB-sorozat, HBv2 sorozat, HBv3-sorozat, HBv4-sorozat, HC-sorozat, HX-sorozat Minden méret támogatott.

Feljegyzés

  • A CUDA > GRID-illesztőprogramok biztonságos rendszerindításra képes Windows rendszerű virtuális gépeken való telepítése nem igényel további lépéseket.
  • A CUDA-illesztőprogram biztonságos rendszerindításra képes Ubuntu virtuális gépeken való telepítése további lépéseket igényel. További információ: NVIDIA GPU-illesztőprogramok telepítése Linux rendszerű N sorozatú virtuális gépekre. A biztonságos rendszerindítást le kell tiltani a CUDA-illesztőprogramok más Linux rendszerű virtuális gépekre való telepítéséhez.
  • A GRID-illesztő telepítéséhez le kell tiltani a biztonságos rendszerindítást Linux rendszerű virtuális gépeken.
  • A nem támogatott méretcsaládok nem támogatják a 2. generációs virtuális gépeket . Módosítsa a virtuális gép méretét egyenértékű támogatott méretcsaládokra a megbízható indítás engedélyezéséhez.

Támogatott operációs rendszerek

OS Verzió
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Windows Server (Azure Edition) 2022

* Az operációs rendszer változatai támogatottak.

További információ

Régiók:

  • Minden nyilvános régió
  • Minden Azure Government-régió
  • Minden Azure China-régió

Díjszabás: A megbízható indítás nem növeli a virtuális gépek meglévő díjszabási költségeit.

Nem támogatott szolgáltatások

Jelenleg a következő virtuálisgép-funkciók nem támogatottak a Megbízható indítás funkcióval:

Biztonságos rendszerindítás

A megbízható indítás gyökere a virtuális gép biztonságos rendszerindítása. A platform belső vezérlőprogramjában implementált Secure Boot védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben. A biztonságos rendszerindítással biztosítható, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhassanak el. Létrehozza a virtuális gép szoftververemének "megbízhatósági gyökerét".

Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőnek (rendszertöltő, kernel- és kernelillesztő) megbízható közzétevők aláírására van szükség. A Windows és a linuxos disztribúciók egyaránt támogatják a biztonságos rendszerindítást. Ha a biztonságos rendszerindítás nem tudja hitelesíteni, hogy a rendszerképet megbízható közzétevő írta alá, a virtuális gép nem indul el. További információ: Biztonságos rendszerindítás.

vTPM

A Megbízható indítás virtuális platformmodult (vTPM) is bevezet az Azure-beli virtuális gépekhez. A hardveres megbízható platformmodul ezen virtualizált verziója megfelel a TPM2.0 specifikációnak. Dedikált biztonságos tárolóként szolgál kulcsokhoz és mérésekhez.

A Megbízható indítás szolgáltatás saját dedikált TPM-példányt biztosít a virtuális gép számára, amely biztonságos környezetben fut, bármely virtuális gép elérésén kívül. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével teszi lehetővé az igazolást .

A megbízható indítás a vTPM használatával végzi el a távoli igazolást a felhőn keresztül. Az igazolások lehetővé teszik a platform állapotának ellenőrzését, és megbízható döntéseket hoznak. Állapot-ellenőrzésként a Megbízható indítás képes kriptográfiailag igazolni, hogy a virtuális gép megfelelően indult el.

Ha a folyamat meghiúsul, valószínűleg azért, mert a virtuális gép jogosulatlan összetevőt futtat, Felhőhöz készült Microsoft Defender integritási riasztásokat ad ki. A riasztások tartalmazzák azokat a részleteket, amelyek alapján az összetevők nem sikerültek az integritás-ellenőrzéseknek.

Virtualizáláson alapuló biztonság

A virtualizációalapú biztonság (VBS) a hipervizor használatával hoz létre egy biztonságos és elszigetelt memóriaterületet. A Windows ezeket a régiókat használja különböző biztonsági megoldások futtatására, amelyek fokozott védelmet nyújtanak a biztonsági rések és a rosszindulatú biztonsági rések ellen. A Megbízható indítás funkcióval engedélyezheti a hipervizorkód-integritást (HVCI) és a Windows Defender Credential Guardot.

A HVCI egy hatékony rendszercsökkentés, amely megvédi a Windows kernel módú folyamatait a rosszindulatú vagy nem ellenőrzött kódok injektálása és végrehajtása ellen. Futtatás előtt ellenőrzi a kernel módú illesztőprogramokat és bináris fájlokat, megakadályozva az aláíratlan fájlok memóriába való betöltését. Az ellenőrzések biztosítják, hogy a végrehajtható kód nem módosítható a betöltés engedélyezése után. További információ a VBS-ről és a HVCI-ről: Virtualizálásalapú biztonság és hipervizor által kényszerített kódintegritás.

A Megbízható indítás és a VBS használatával engedélyezheti a Windows Defender Hitelesítőadat-őrt. A Credential Guard elkülöníti és védi a titkos kódokat, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá. Segít megelőzni a titkos kódokhoz és a hitelesítő adatok ellopására irányuló támadásokhoz, például a Pass-the-Hash támadásokhoz való jogosulatlan hozzáférést. További információ: Credential Guard.

Felhőhöz készült Microsoft Defender integráció

A megbízható indítás integrálva van a Felhőhöz készült Defender, hogy a virtuális gépek megfelelően legyenek konfigurálva. Felhőhöz készült Defender folyamatosan értékeli a kompatibilis virtuális gépeket, és releváns javaslatokat ad ki:

  • Javaslat a biztonságos rendszerindítás engedélyezésére: A biztonságos rendszerindítási javaslat csak a megbízható indítást támogató virtuális gépekre vonatkozik. Felhőhöz készült Defender azonosítja a biztonságos rendszerindítást engedélyező, de letiltott virtuális gépeket. Egy alacsony súlyosságú javaslatot ad ki annak engedélyezéséhez.

  • Javaslat a vTPM engedélyezésére: Ha a virtuális gépen engedélyezve van a vTPM, Felhőhöz készült Defender használhatja a vendégigazolás végrehajtására és a speciális fenyegetésminták azonosítására. Ha Felhőhöz készült Defender azonosítja a megbízható indítást támogató és a vTPM-et letiltó virtuális gépeket, a rendszer alacsony súlyossági javaslatot ad az engedélyezéséhez.

  • Javaslat a vendégigazolási bővítmény telepítésére: Ha a virtuális gép biztonságos rendszerindítást és vTPM-t engedélyezve van, de nincs telepítve a Vendégigazolási bővítmény, Felhőhöz készült Defender alacsony súlyosságú javaslatokat ad a vendégigazolási bővítmény telepítésére. Ez a bővítmény lehetővé teszi Felhőhöz készült Defender, hogy proaktívan tanúsítsa és monitorozza a virtuális gépek rendszerindítási integritását. A rendszerindítási integritást távoli igazolással igazolja a rendszer.

  • Igazolás állapotfelmérése vagy rendszerindítási integritás monitorozása: Ha a virtuális gép biztonságos rendszerindítást és vTPM-t engedélyezve van, és az igazolási bővítmény telepítve van, Felhőhöz készült Defender távolról ellenőrizheti, hogy a virtuális gép megfelelően indult-e el. Ezt a gyakorlatot rendszerindítási integritás monitorozásának nevezzük. Felhőhöz készült Defender a távoli igazolás állapotát jelző értékelést ad ki.

    Ha a virtuális gépek megfelelően vannak beállítva a Megbízható indítás beállítással, Felhőhöz készült Defender észlelheti és riasztást kaphat a virtuális gépek állapotproblémáiról.

  • Riasztás a virtuális gépek igazolási hibájáról: Felhőhöz készült Defender rendszeresen elvégzi az igazolást a virtuális gépeken. Az igazolás a virtuális gép indítása után is megtörténik. Ha az igazolás sikertelen, közepes súlyosságú riasztást aktivál. A virtuális gép igazolása a következő okokból meghiúsulhat:

    • A rendszerindítási naplót tartalmazó igazolási adatok eltérnek a megbízható alapkonfigurációtól. Bármilyen eltérés azt jelezheti, hogy a nem megbízható modulok be lettek töltve, és az operációs rendszer megsérülhet.
    • Az igazolási idézet nem ellenőrizhető, hogy az igazolt virtuális gép vTPM-éből származik-e. A nem ellenőrzött forrás azt jelezheti, hogy kártevő van jelen, és elfoghatja a vTPM felé történő forgalmat.

    Feljegyzés

    A riasztások olyan virtuális gépekhez érhetők el, amelyeken engedélyezve van a vTPM, és telepítve van az igazolási bővítmény. A biztonságos rendszerindítást engedélyezni kell ahhoz, hogy az igazolás sikeres legyen. Az igazolás sikertelen, ha a biztonságos rendszerindítás le van tiltva. Ha le kell tiltania a biztonságos rendszerindítást, letilthatja ezt a riasztást a hamis pozitív értékek elkerülése érdekében.

  • Nem megbízható Linux kernelmodulra vonatkozó riasztás: Ha a biztonságos rendszerindítást engedélyezve van a megbízható indítás, a virtuális gép akkor is elindulhat, ha egy kernelillesztő nem érvényesíti az ellenőrzést, és nem tölthető be. Ha ez a forgatókönyv történik, Felhőhöz készült Defender alacsony súlyosságú riasztásokat ad ki. Bár nincs azonnali fenyegetés, mivel a nem megbízható illesztőprogram nincs betöltve, ezeket az eseményeket meg kell vizsgálni. Tegye fel magának a következő kérdéseket:

    • Melyik kernelillesztő nem sikerült? Ismerem ezt az illesztőprogramot, és elvárom, hogy betöltse?
    • Ez az illesztőprogram pontos verziója, amire számítok? Érintetlenek a sofőr bináris fájljai? Ha ez egy harmadik féltől származó illesztőprogram, a szállító teljesítette az operációsrendszer-megfelelőségi teszteket, hogy aláírja?

Kapcsolódó tartalom

Megbízható indítású virtuális gép üzembe helyezése.