Azure-beli virtuális gépek megbízható indítása
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
Az Azure megbízható indítást kínál a 2. generációs virtuális gépek biztonságának javítása érdekében. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen. A megbízható indítás több, egymástól függetlenül engedélyezhető, koordinált infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen.
Fontos
- A megbízható indítás az újonnan létrehozott Azure-beli virtuális gépek alapértelmezett állapotaként van kiválasztva. Ha az új virtuális gép olyan funkciókat igényel, amelyeket nem támogat a megbízható indítás, tekintse meg a megbízható indítási gyakori kérdéseket
- A meglévő , 2. generációs Azure-beli virtuális gépek a létrehozás után engedélyezve lehetnek a megbízható indításban. További információ: Megbízható indítás engedélyezése meglévő virtuális gépeken
- Az eredetileg nélküle létrehozott virtuálisgép-méretezési csoporton (VMSS) nem engedélyezheti a megbízható indítást. A megbízható indításhoz új VMSS-t kell létrehozni.
Juttatások
- Virtuális gépek biztonságos üzembe helyezése ellenőrzött rendszerindítási betöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal.
- Biztonságosan védheti a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken.
- Betekintést nyerhet a rendszerindítási lánc teljes integritásába.
- Győződjön meg arról, hogy a számítási feladatok megbízhatóak és ellenőrizhetők.
Virtuális gépek méretei
Feljegyzés
- A CUDA > GRID-illesztőprogramok biztonságos rendszerindításra képes Windows rendszerű virtuális gépeken való telepítése nem igényel további lépéseket.
- A CUDA-illesztőprogram biztonságos rendszerindításra képes Ubuntu rendszerű virtuális gépeken való telepítéséhez további lépések szükségesek, amelyek az NVIDIA GPU-illesztőprogramok Linux rendszerű N sorozatú virtuális gépeken való telepítésével kapcsolatosak. A biztonságos rendszerindítást le kell tiltani a CUDA-illesztőprogramok más Linux rendszerű virtuális gépekre való telepítéséhez.
- A GRID-illesztő telepítéséhez le kell tiltani a biztonságos rendszerindítást Linux rendszerű virtuális gépeken.
- A nem támogatott méretű családok nem támogatják a 2 . generációs virtuális gépeket. Módosítsa a virtuálisgép-méretet egyenértékű támogatott méretcsaládokra a megbízható indítás engedélyezéséhez.
Támogatott operációs rendszerek
OS | Verzió |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 rendszer esetén | Pro, Enterprise, Enterprise Multi-Session * |
Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
Windows Server | 2016, 2019, 2022 * |
Windows Server (Azure Edition) | 2022 |
* Az operációs rendszer változatai támogatottak.
További információk
Régiók:
- Minden nyilvános régió
- Minden Azure Government-régió
- Minden Azure China-régió
Díjszabás: A megbízható indítás nem növeli a virtuális gépek díjszabási költségeit.
Nem támogatott szolgáltatások
Feljegyzés
A következő virtuálisgép-funkciók jelenleg nem támogatottak a Megbízható indítás funkcióval.
- Azure Site Recovery
- Felügyelt rendszerkép (az ügyfeleknek javasoljuk az Azure Compute Gallery használatát)
- Beágyazott virtualizálás (a legtöbb v5-ös virtuálisgép-méretcsalád támogatott)
Biztonságos rendszerindítás
A megbízható indítás gyökere a virtuális gép biztonságos rendszerindítása. A platform belső vezérlőprogramjában implementált Secure Boot védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben. A biztonságos rendszerindítással biztosítható, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhassanak el. Létrehozza a virtuális gép szoftververemének "megbízhatósági gyökerét". Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőnek (rendszertöltő, kernel- és kernelillesztő) megbízható közzétevők aláírására van szükség. A Windows és a linuxos disztribúciók egyaránt támogatják a biztonságos rendszerindítást. Ha a biztonságos rendszerindítás nem tudja hitelesíteni, hogy a rendszerképet megbízható közzétevő írta alá, a virtuális gép nem indul el. További információ: Biztonságos rendszerindítás.
vTPM
A megbízható indítás az Azure-beli virtuális gépekhez készült vTPM-et is bevezeti. A vTPM a hardveres megbízható platformmodul virtualizált verziója, amely megfelel a TPM2.0 specifikációnak. Dedikált biztonságos tárolóként szolgál kulcsokhoz és mérésekhez. A megbízható indítás saját dedikált TPM-példányt biztosít a virtuális gép számára, amely biztonságos környezetben fut bármely virtuális gép elérésén kívül. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével teszi lehetővé az igazolást .
A megbízható indítás a vTPM használatával végzi el a távoli igazolást a felhőn keresztül. Az igazolások lehetővé teszik a platform állapotának ellenőrzését és a megbízhatóságon alapuló döntések meghozatalát. Állapot-ellenőrzésként a megbízható indítás képes kriptográfiailag igazolni, hogy a virtuális gép megfelelően indult el. Ha a folyamat meghiúsul, valószínűleg azért, mert a virtuális gép jogosulatlan összetevőt futtat, Felhőhöz készült Microsoft Defender integritási riasztásokat ad ki. A riasztások tartalmazzák azokat a részleteket, amelyek alapján az összetevők nem sikerültek az integritás-ellenőrzéseknek.
Virtualizáláson alapuló biztonság
A virtualizációalapú biztonság (VBS) a hipervizor használatával hoz létre egy biztonságos és elszigetelt memóriaterületet. A Windows ezeket a régiókat használja különböző biztonsági megoldások futtatására, amelyek fokozott védelmet nyújtanak a biztonsági rések és a rosszindulatú biztonsági rések ellen. A megbízható indítás lehetővé teszi a Hypervisor Code Integrity (HVCI) és a Windows Defender Credential Guard engedélyezését.
A HVCI egy hatékony rendszercsökkentés, amely megvédi a Windows kernel módú folyamatait a rosszindulatú vagy nem ellenőrzött kódok injektálása és végrehajtása ellen. Futtatás előtt ellenőrzi a kernel módú illesztőprogramokat és bináris fájlokat, megakadályozva az aláíratlan fájlok memóriába való betöltését. Az ellenőrzések biztosítják, hogy a végrehajtható kód nem módosítható, ha engedélyezve van a betöltés. A VBS-ről és a HVCI-ről további információt a Virtualization Based Security (VBS) és a Hypervisor Enforced Code Integrity (HVCI) című témakörben talál.
A megbízható indítással és a VBS-sel engedélyezheti a Windows Defender Credential Guardot. A Credential Guard elkülöníti és védi a titkos kódokat, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá. Segít megelőzni a titkos kódokhoz és a hitelesítő adatok ellopására irányuló támadásokhoz, például a Pass-the-Hash (PtH) támadásokhoz való jogosulatlan hozzáférést. További információ: Credential Guard.
Felhőhöz készült Microsoft Defender integráció
A megbízható indítás integrálva van a Felhőhöz készült Microsoft Defender, hogy a virtuális gépek megfelelően legyenek konfigurálva. Felhőhöz készült Microsoft Defender folyamatosan értékeli a kompatibilis virtuális gépeket, és releváns javaslatokat ad ki.
- A biztonságos rendszerindítás engedélyezésére vonatkozó javaslat – A biztonságos rendszerindítási javaslat csak a megbízható indítást támogató virtuális gépekre vonatkozik. Felhőhöz készült Microsoft Defender azonosítja azokat a virtuális gépeket, amelyek engedélyezhetik a biztonságos rendszerindítást, de letiltották. Az engedélyezéshez alacsony súlyossági javaslatot ad ki.
- Javaslat a vTPM engedélyezésére – Ha a virtuális gépen engedélyezve van a vTPM, Felhőhöz készült Microsoft Defender használhatja a vendégigazolás végrehajtására és a speciális fenyegetésminták azonosítására. Ha Felhőhöz készült Microsoft Defender olyan virtuális gépeket azonosít, amelyek támogatják a megbízható indítást, és letiltják a vTPM-et, a rendszer alacsony súlyossági javaslatot ad az engedélyezéséhez.
- Javaslat a vendégigazolási bővítmény telepítésére – Ha a virtuális gép biztonságos rendszerindítást és vTPM-t engedélyezve van, de nincs telepítve a vendégigazolási bővítmény, Felhőhöz készült Microsoft Defender alacsony súlyossági javaslatokat ad a vendégigazolási bővítmény telepítésére. Ez a bővítmény lehetővé teszi, hogy Felhőhöz készült Microsoft Defender proaktívan tanúsítsa és monitorozza a virtuális gépek rendszerindítási integritását. A rendszerindítási integritást távoli igazolással igazolja a rendszer.
- Igazolás állapotfelmérése vagy rendszerindítási integritás monitorozása – Ha a virtuális gép biztonságos rendszerindítási és vTPM-kompatibilis és igazolási bővítménye van telepítve, Felhőhöz készült Microsoft Defender távolról ellenőrizheti, hogy a virtuális gép megfelelően indult-e el. Ez a rendszerindítási integritás monitorozása. Felhőhöz készült Microsoft Defender a távoli igazolás állapotát jelző értékelést ad ki.
Ha a virtuális gépek megfelelően vannak beállítva megbízható indítással, Felhőhöz készült Microsoft Defender észlelheti és riasztást kaphat a virtuális gépek állapotproblémáiról.
Riasztás a virtuális gépek igazolási hibájáról: Felhőhöz készült Microsoft Defender rendszeresen elvégzi az igazolást a virtuális gépeken. Az igazolás a virtuális gép indítása után is megtörténik. Ha az igazolás sikertelen, közepes súlyossági riasztást aktivál. A virtuális gép igazolása a következő okokból meghiúsulhat:
- A rendszerindítási naplót tartalmazó igazolási adatok eltérnek a megbízható alapkonfigurációtól. Bármilyen eltérés azt jelezheti, hogy a nem megbízható modulok be lettek töltve, és az operációs rendszer megsérülhet.
- Az igazolási idézet nem ellenőrizhető, hogy az igazolt virtuális gép vTPM-éből származik-e. A nem ellenőrzött forrás azt jelezheti, hogy kártevő van jelen, és elfoghatja a vTPM felé történő forgalmat.
Feljegyzés
A riasztások olyan virtuális gépekhez érhetők el, amelyeken engedélyezve van a vTPM, és telepítve van az igazolási bővítmény. A biztonságos rendszerindítást engedélyezni kell ahhoz, hogy az igazolás sikeres legyen. Az igazolás sikertelen, ha a biztonságos rendszerindítás le van tiltva. Ha le kell tiltania a biztonságos rendszerindítást, letilthatja ezt a riasztást a hamis pozitív értékek elkerülése érdekében.
Riasztás a nem megbízható Linux Kernel modulról: A biztonságos rendszerindítást engedélyező megbízható indítás esetén a virtuális gép akkor is elindulhat, ha egy kernelillesztő nem érvényesíti az ellenőrzést, és nem tölthető be. Ha ez történik, Felhőhöz készült Microsoft Defender alacsony súlyosságú riasztásokat ad ki. Bár nincs azonnali fenyegetés, mivel a nem megbízható illesztőprogram nincs betöltve, ezeket az eseményeket meg kell vizsgálni.
- Melyik kernelillesztő nem sikerült? Ismerem ezt a illesztőprogramot, és elvárom, hogy betöltse?
- Ez az illesztőprogram pontos verziója, amire számítok? Érintetlenek a sofőr bináris fájljai? Ha ez egy harmadik féltől származó illesztőprogram, a szállító teljesítette az operációsrendszer-megfelelőségi teszteket az aláíráshoz?
Következő lépések
Megbízható indítású virtuális gép üzembe helyezése.