Megbízható indítás engedélyezése meglévő Azure-beli virtuális gépeken

A következőkre vonatkozik: ✔️ Linux rendszerű, ✔️ Windows rendszerű ✔️ virtuális gép 2. generációs virtuális gép

Az Azure Virtual Machines a Megbízható indítás biztonsági típusra való frissítéssel támogatja az Azure Trusted elindítását a meglévő Azure 2. generációs virtuális gépeken.>

A megbízható indítás lehetővé teszi az alapszintű számítási biztonságot az Azure 2. generációs virtuális gépeken, és védelmet nyújt az olyan fejlett és állandó támadási technikákkal szemben, mint a rendszerindító készletek és a rootkitek. Ez olyan infrastruktúra-technológiák kombinálásával történik, mint a Biztonságos rendszerindítás, a virtuális platformmodul (vTPM) és a rendszerindítási integritás monitorozása a virtuális gépen.

Fontos

A meglévő 1. generációs Azure-beli virtuális gépeken a megbízható indítás engedélyezésének támogatása jelenleg privát előzetes verzióban érhető el. A regisztrációs űrlap használatával hozzáférhet az előzetes verzióhoz.

Előfeltételek

• Az Azure 2. generációs virtuális gép a következőkkel van konfigurálva:
  • A megbízható indítás által támogatott méretcsalád.
  • A megbízható indítás támogatott operációs rendszer lemezképe. Egyéni operációsrendszer-rendszerképek vagy -lemezek esetén az alaprendszerképnek megbízható indítási képesnek kell lennie.
• Az Azure 2. generációs virtuális gép jelenleg nem használja a megbízható indítással nem támogatott funkciókat.
• A 2. generációs Azure-beli virtuális gépeket le kell állítani és el kell szabadítani a megbízható indítási biztonsági típus engedélyezése előtt.
• Ha engedélyezve van, az Azure Backupot a bővített biztonsági mentési szabályzattal kell konfigurálni a virtuális gépekhez. A Megbízható indítás biztonsági típusa nem engedélyezhető a Standard házirend biztonsági mentési védelemmel konfigurált 2. generációs virtuális gépek esetében.
  • A meglévő Azure-beli virtuális gépek biztonsági mentése áttelepíthető a Standardból a bővített szabályzatba . Kövesse az Azure-beli virtuális gépek biztonsági mentéseinek áttelepítése standardról bővített szabályzatra (előzetes verzió) című témakörben leírt lépéseket.

Ajánlott eljárások

• Engedélyezze a megbízható indítást egy 2. generációs teszt virtuális gépen, és állapítsa meg, hogy szükség van-e módosításokra az előfeltételek teljesítéséhez, mielőtt engedélyezi a megbízható indítást az éles számítási feladatokhoz társított 2. generációs virtuális gépeken.
• A Megbízható indítás biztonsági típus engedélyezése előtt hozzon létre visszaállítási pontokat az éles számítási feladatokhoz társított 2. generációs Azure-beli virtuális gépekhez. A visszaállítási pontok használatával újra létrehozhatja a lemezeket és a 2. generációs virtuális gépet az előző jól ismert állapottal.

Megbízható indítás engedélyezése meglévő virtuális gépen

Feljegyzés

• A megbízható indítás engedélyezése után a virtuális gépek jelenleg nem állíthatók vissza a Standard biztonsági típusra (nem megbízható indítási konfiguráció).
• A vTPM alapértelmezés szerint engedélyezve van.
• Javasoljuk, hogy engedélyezze a biztonságos rendszerindítást, ha nem használ egyéni aláíratlan kernelt vagy illesztőprogramokat. Alapértelmezés szerint nincs engedélyezve. A Biztonságos rendszerindítás megőrzi a rendszerindítás integritását, és lehetővé teszi a virtuális gépek alapvető biztonságát.

Portál

Engedélyezze a megbízható indítást egy meglévő, 2. generációs Azure-beli virtuális gépen az Azure Portal használatával.

1. Jelentkezzen be az Azure Portalra.

2. Győződjön meg arról, hogy a virtuális gép generációja V2 , és válassza a Leállítás lehetőséget a virtuális gép számára.

   

3. A virtuális gép tulajdonságainak Áttekintés lapján, a Biztonság típus alatt válassza a Standard lehetőséget. Megnyílik a virtuális gép konfigurációs oldala.

   

4. A Konfiguráció lap Biztonság típusa szakaszában válassza a Biztonsági típus legördülő listát.

   

5. A legördülő listában válassza a Megbízható indítás lehetőséget. Jelölje be a jelölőnégyzeteket a biztonságos rendszerindítás és a vTPM engedélyezéséhez. A módosítások végrehajtása után válassza a Mentés lehetőséget.

   Feljegyzés

   • Az Azure Compute Gallery (ACG), felügyelt rendszerkép vagy operációsrendszer-lemez használatával létrehozott 2. generációs virtuális gépek nem frissíthetők megbízható indításra a portál használatával. Győződjön meg arról, hogy az operációs rendszer verziója támogatott a megbízható indításhoz. A frissítés futtatásához használja a PowerShellt, az Azure CLI-t vagy egy Azure Resource Manager-sablont (ARM-sablont).

   

6. A frissítés sikeres befejezése után zárja be a Konfiguráció lapot. A virtuális gép tulajdonságainak Áttekintés lapján erősítse meg a biztonsági típus beállításait.

   

7. Indítsa el a frissített megbízható indítású virtuális gépet. Ellenőrizze, hogy be tud-e jelentkezni a virtuális gépre a Windows rendszerű virtuális gépek távoli asztali protokollja (RDP) vagy a Linux rendszerű virtuális gépekhez készült Secure Shell Protocol (SSH) használatával.

Parancssori felület

Kövesse a lépéseket, hogy engedélyezze a megbízható indítást egy meglévő 2. generációs Azure-beli virtuális gépen az Azure CLI használatával.

Győződjön meg arról, hogy a legújabb Azure CLI-t telepíti, és bejelentkezett egy Azure-fiókba az bejelentkezéssel.

1. Jelentkezzen be a virtuálisgép-Azure-előfizetésbe.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. A virtuális gép felszabadítása.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Engedélyezze a megbízható indítást a TrustedLaunchkövetkező beállítással--security-type: .

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Ellenőrizze az előző parancs kimenetét. Győződjön meg arról, hogy a securityProfile konfiguráció a parancs kimenetével lesz visszaadva.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Indítsa el a virtuális gépet.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Indítsa el a frissített megbízható indítású virtuális gépet. Ellenőrizze, hogy be tud-e jelentkezni a virtuális gépre RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

PowerShell

Az Azure PowerShell használatával engedélyezze a megbízható indítást egy meglévő, 2. generációs Azure-beli virtuális gépen.

Győződjön meg arról, hogy a legújabb Azure PowerShellt telepíti, és bejelentkezett egy Azure-fiókba a Connect-AzAccount használatával.

1. Jelentkezzen be a virtuálisgép-Azure-előfizetésbe.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. A virtuális gép felszabadítása.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Engedélyezze a megbízható indítást a TrustedLaunchkövetkező beállítással-SecurityType: .

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Ellenőrizze securityProfile a frissített virtuálisgép-konfigurációban.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Indítsa el a virtuális gépet.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Indítsa el a frissített megbízható indítású virtuális gépet. Ellenőrizze, hogy be tud-e jelentkezni a virtuális gépre RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

Sablon

Kövesse azokat a lépéseket, amelyekkel arm-sablonnal engedélyezheti a megbízható indítást egy meglévő Azure 2. generációs virtuális gépen.

Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.

1. Tekintse át a sablont.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Szerkessze a parameters JSON-fájlt virtuális gépekkel a biztonsági típussal TrustedLaunch való frissítéshez.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Paraméterfájl definíciója

   Tulajdonság	A tulajdonság leírása	Példa sablonérték
   vmName	Az Azure 2. generációs virtuális gép neve.	myVm
   hely	Az Azure 2. generációs virtuális gép helye.	westus3
   secureBootEnabled	Engedélyezze a biztonságos rendszerindítást a megbízható indítási biztonsági típussal.	true

3. Az összes 2. generációs Azure-beli virtuális gép felszabadítása a frissítéshez.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Futtassa az ARM-sablon üzembe helyezését.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Indítsa el a frissített megbízható indítású virtuális gépet. Ellenőrizze, hogy be tud-e jelentkezni a virtuális gépre RDP (Windows rendszerű virtuális gépek esetén) vagy SSH használatával (Linux rendszerű virtuális gépek esetén).

Azure Advisor-javaslat

Az Azure Advisor feltölti a Megbízható indítás engedélyezése alapkonfigurációt, valamint a meglévő 2. generációs virtuális gépek működési kiválóságára vonatkozó modern biztonsági javaslatot a meglévő 2. generációs virtuális gépek számára, hogy megbízható indítást alkalmazzanak, ami magasabb biztonsági helyzet az Azure-beli virtuális gépek számára, további költségek nélkül. Győződjön meg arról, hogy a 2. generációs virtuális gép rendelkezik a megbízható indításra való migrálás minden előfeltételével, kövesse az összes ajánlott eljárást, beleértve az operációs rendszer lemezképének ellenőrzését, a virtuális gép méretét és a visszaállítási pontok létrehozását. Ahhoz, hogy az Advisor-javaslat teljesnek minősüljön, kövesse a virtuális gépek biztonsági típusának frissítéséhez és a megbízható indítás engedélyezéséhez a megbízható indítás engedélyezése meglévő virtuális gépeken című cikkben ismertetett lépéseket.

Mi a teendő, ha a 2. generációs virtuális gépek nem felelnek meg a megbízható indítás előfeltételeinek?

A 2. generációs virtuális gépek esetében, amelyek nem ítették meg a megbízható indításra való frissítés előfeltételeit , tekintse meg az előfeltételek teljesítésének módját. Ha például a virtuális gép mérete nem támogatott, keressen egy egyenértékű, megbízható indítást támogató támogatott méretet .

Feljegyzés

Kérjük, utasítsa el a javaslatot, ha a Gen2 virtuális gép olyan virtuálisgép-méretcsaládokkal van konfigurálva, amelyek jelenleg nem támogatottak az MSv2-sorozathoz hasonló megbízható indítással.

Kapcsolódó tartalom

• Engedélyezze a megbízható indítást az új virtuális gépek üzembe helyezéséhez. További részletekért lásd : Megbízható indítású virtuális gépek üzembe helyezése
• A frissítések után javasoljuk, hogy engedélyezze a rendszerindítási integritás monitorozását a virtuális gép állapotának figyeléséhez a Felhőhöz készült Microsoft Defender használatával.
• További információ a megbízható indításról és a gyakori kérdések áttekintéséről.