Megbízható indítás engedélyezése meglévő Azure-beli virtuális gépeken

A következőkre vonatkozik: ✔️ Linux rendszerű, ✔️ Windows rendszerű ✔️ virtuális gép 2. generációs virtuális gép

Az Azure Virtual Machines támogatja a megbízható indítás engedélyezését a meglévő, 2. generációs Azure-beli virtuális gépeken a Megbízható indítás biztonsági típusra való frissítéssel.

A megbízható indítás lehetővé teszi az alapszintű számítási biztonságot az Azure 2. generációs virtuális gépeken. A megbízható indítás védelmet nyújt a virtuális gépeknek az olyan fejlett és állandó támadási technikákkal szemben, mint a rendszerindító készletek és a rootkitek, olyan infrastruktúra-technológiák kombinálásával, mint a Biztonságos rendszerindítás, a vTPM és a rendszerindítási integritás monitorozása a virtuális gépen.

Fontos

• Ha a 2. generációs virtuális gépek esetében engedélyezve van, az ügyfél által felügyelt kulcsokkal (S Standard kiadás-CMK) rendelkező kiszolgálóoldali titkosítást le kell tiltani a megbízható indítási frissítés végrehajtása előtt. Az S Standard kiadás-CMK titkosítást újra engedélyezni kell a megbízható indítási frissítés befejezése után.
• A meglévő 1. generációs Azure-beli virtuális gépeken a megbízható indítás engedélyezésének támogatása jelenleg privát előzetes verzióban érhető el. A regisztrációs hivatkozással https://aka.ms/Gen1ToTLUpgradehozzáférést kaphat az előzetes verzióhoz.
• A megbízható indítás engedélyezése a meglévő Azure-beli virtuálisgép-méretezési csoportokon (VMSS) Az Uniform > Flex jelenleg nem támogatott.

Előfeltételek

• Az Azure 2. generációs virtuális gépek a következőkkel konfigurálhatók:
  • Megbízható indítási támogatott méretcsalád
  • A megbízható indítás támogatott operációsrendszer-rendszerképe. Egyéni operációsrendszer-lemezképek vagy -lemezek esetén az alaprendszerképnek megbízható indítási képesnek kell lennie.
• Az Azure 2. generációs virtuális gépek jelenleg nem használják a megbízható indítással nem támogatott funkciókat.
• A megbízható indítási biztonsági típus engedélyezése előtt le kell állítani és felszabadítani az Azure 2. generációs virtuális gépeket.
• Ha engedélyezve van az Azure Backup a virtuális gépekhez, továbbfejlesztett biztonsági mentési szabályzattal kell konfigurálni. A megbízható indítási biztonsági típus nem engedélyezhető a Standard Házirend biztonsági mentési védelemmel konfigurált 2. generációs virtuális gépek esetében.
  • A meglévő Azure-beli virtuális gépek biztonsági mentése standardróltovábbfejlesztett szabályzatra migrálható a privát előzetes verziójú migrálási funkcióval. Küldje el a beszállási kérelmet az előnézethez a hivatkozás https://aka.ms/formBackupPolicyMigrationhasználatával.

Ajánlott eljárások

• Engedélyezze a megbízható indítást egy 2. generációs virtuális gépen, és győződjön meg arról, hogy a 2. generációs virtuális gépeken az éles számítási feladatokhoz társított 2. generációs virtuális gépeken történő megbízható indítás engedélyezése előtt szükség van-e módosításokra az előfeltételek teljesítéséhez.
• Hozzon létre visszaállítási pontot az éles számítási feladatokhoz társított 2. generációs Azure-beli virtuális gépekhez, mielőtt engedélyezi a megbízható indítási biztonsági típust. A visszaállítási ponttal újra létrehozhatja a lemezeket és a 2. generációs virtuális gépet az előző jól ismert állapottal.

Megbízható indítás engedélyezése meglévő virtuális gépen

Feljegyzés

• A megbízható indítás engedélyezése után a virtuális gépek jelenleg nem állíthatók vissza a Standard (nem megbízható indítási konfiguráció) biztonsági típusra.
• A vTPM alapértelmezés szerint engedélyezve van.
• A biztonságos rendszerindítás engedélyezése javasolt (alapértelmezés szerint nem engedélyezett), ha nem használ egyéni aláíratlan kernelt vagy illesztőprogramokat. A Biztonságos rendszerindítás megőrzi a rendszerindítás integritását, és lehetővé teszi a virtuális gép alapvető biztonságát.

Portál

Ez a szakasz végigvezeti az Azure Portalon a megbízható indítás engedélyezését a meglévő 2. generációs Azure-beli virtuális gépen.

1. Bejelentkezés az Azure Portalra
2. Ellenőrizze, hogy a virtuális gép létrehozása v2-e, és állítsa le a virtuális gépet.

3. A virtuális gép tulajdonságainak Áttekintés lapján válassza a Standard lehetőséget a Biztonság típus alatt. Ez a virtuális gép konfigurációs lapjára lép.

4. Válassza a Biztonsági típus legördülő menüt a Konfiguráció lap Biztonsági típus szakaszában.

5. Válassza a Megbízható indítás lehetőséget a legördülő menüben, és jelölje be a jelölőnégyzeteket a biztonságos rendszerindítás és a vTPM engedélyezéséhez. Kattintson a Mentés gombra a szükséges módosítások elvégzése után.

Feljegyzés

• Az Azure Compute Gallery (ACG), felügyelt rendszerkép és operációsrendszer-lemez használatával létrehozott 2. generációs virtuális gépek nem frissíthetők megbízható indításra a Portál használatával. Győződjön meg arról, hogy az operációsrendszer-verzió támogatott a megbízható indításhoz , és a frissítés végrehajtásához használja a PowerShell, a PARANCSSOR vagy az ARM-sablont.

6. A frissítés sikeres befejezése után zárja be a Konfiguráció lapot, és ellenőrizze a biztonsági típust az Áttekintés lapon a virtuális gép tulajdonságai területen.

7. Indítsa el a frissített megbízható indítású virtuális gépet, és győződjön meg arról, hogy sikeresen elindult, és ellenőrizze, hogy be tud-e jelentkezni a virtuális gépbe RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

Parancssori felület

Ez a szakasz végigvezeti az Azure CLI használatával a meglévő 2. generációs Azure-beli virtuális gépeken való megbízható indítás engedélyezését.

Győződjön meg arról, hogy a legújabb Azure CLI-t telepítette, és bejelentkezett egy Azure-fiókba az bejelentkezéssel.

1. Bejelentkezés az Azure-előfizetésbe

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Virtuális gép felszabadítása

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Engedélyezze a megbízható indítást a TrustedLaunchkövetkező beállítással--security-type: .

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Ellenőrizze az előző parancs kimenetét. securityProfile parancskimenettel adja vissza a konfigurációt.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Indítsa el a virtuális gépet.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Indítsa el a frissített megbízható indítású virtuális gépet, és győződjön meg arról, hogy sikeresen elindult, és ellenőrizze, hogy be tud-e jelentkezni a virtuális gépbe RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

PowerShell

Ez a szakasz végigvezeti az Azure PowerShell használatát a meglévő Azure 2. generációs virtuális gépeken való megbízható indítás engedélyezéséhez.

Győződjön meg arról, hogy telepítette a legújabb Azure PowerShellt, és bejelentkezett egy Azure-fiókba az Csatlakozás-AzAccount használatával.

1. Bejelentkezés az Azure-előfizetésbe

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Virtuális gép felszabadítása

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Engedélyezze a megbízható indítást a TrustedLaunchkövetkező beállítással--security-type: .

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. EllenőrizzesecurityProfile a frissített virtuálisgép-konfigurációt.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Indítsa el a virtuális gépet.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Indítsa el a frissített megbízható indítású virtuális gépet, és győződjön meg arról, hogy sikeresen elindult, és ellenőrizze, hogy be tud-e jelentkezni a virtuális gépbe RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

Sablon

Ez a szakasz egy ARM-sablon használatával teszi lehetővé a megbízható indítást a meglévő 2. generációs Azure-beli virtuális gépen.

Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.

1. Tekintse át a sablont.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Szerkessze a json paraméterfájlt virtuális gépekkel, hogy biztonsági típussal TrustedLaunch frissüljenek.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Paraméterfájl definíciója

Tulajdonság	A tulajdonság leírása	Példa sablonérték
vmName	Az Azure 2. generációs virtuális gép neve	"myVm"
hely	Az Azure 2. generációs virtuális gép helye	"westus3"
secureBootEnabled	Biztonságos rendszerindítás engedélyezése megbízható indítási biztonsági típussal	true

3. A frissíteni kívánt Azure 2. generációs virtuális gépek felszabadítása.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Hajtsa végre az ARM-sablon üzembe helyezését.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Ellenőrizze, hogy az üzembe helyezés sikeres-e. Ellenőrizze a virtuális gép biztonsági típusát és UEFI-beállításait az Azure Portalon. Ellenőrizze a Biztonság típusa szakaszt az Áttekintés lapon.

6. Indítsa el a frissített megbízható indítású virtuális gépet, és győződjön meg arról, hogy sikeresen elindult, és ellenőrizze, hogy be tud-e jelentkezni a virtuális gépbe RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

Következő lépések

(Ajánlott) A frissítés utáni funkciók lehetővé teszik a rendszerindítási integritás monitorozását a virtuális gép állapotának figyeléséhez a Felhőhöz készült Microsoft Defender használatával.

További információ a megbízható indításról és a gyakori kérdések áttekintéséről