Gambaran umum pemantauan integritas boot

Untuk membantu Azure Trusted Launch mencegah serangan rootkit berbahaya dengan lebih baik pada komputer virtual (VM), pengesahan tamu melalui titik akhir Azure Attestation digunakan untuk memantau integritas urutan boot. Pengesahan ini sangat penting untuk memberikan validitas status platform.

VM Peluncuran Tepercaya Anda memerlukan Boot Aman dan Modul Platform Tepercaya (vTPM) virtual untuk diaktifkan sehingga ekstensi pengesahan dapat diinstal. Microsoft Defender untuk Cloud menawarkan laporan berdasarkan status verifikasi Pengesahan Tamu dan bahwa integritas boot VM Anda disiapkan dengan benar. Untuk mempelajari selengkapnya tentang integrasi Microsoft Defender untuk Cloud, lihat Integrasi Peluncuran Tepercaya dengan Microsoft Defender untuk Cloud.

Penting

Peningkatan Ekstensi Otomatis sekarang tersedia untuk Pemantauan Integritas Boot - ekstensi Pengesahan Tamu. Untuk informasi selengkapnya, lihat Peningkatan Ekstensi Otomatis.

Prasyarat

Anda memerlukan langganan Azure aktif dan VM Peluncuran Tepercaya.

Mengaktifkan pemantauan integritas

Untuk mengaktifkan pemantauan integritas, ikuti langkah-langkah di bagian ini.

Portal Azure

1. Masuk ke portal Azure.

2. Pilih sumber daya (Virtual Machines).

3. Di bawah Pengaturan, pilih Konfigurasi. Pada panel Jenis keamanan, pilih Pemantauan integritas.

   

4. Simpan perubahan.

Pada halaman Gambaran Umum VM, jenis keamanan untuk pemantauan integritas akan muncul sebagai Diaktifkan.

Tindakan ini menginstal ekstensi Pengesahan Tamu, yang dapat Anda lihat melalui pengaturan pada tab Ekstensi + Aplikasi .

Templat

Anda dapat menyebarkan ekstensi Pengesahan Tamu untuk VM Peluncuran Tepercaya dengan menggunakan templat mulai cepat.

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Buat VM dengan Peluncuran Tepercaya yang memiliki kemampuan Boot Aman dan vTPM melalui penyebaran awal VM Peluncuran Tepercaya. Untuk menyebarkan ekstensi Pengesahan Tamu, gunakan --enable-integrity-monitoring. Sebagai pemilik VM, Anda dapat menyesuaikan konfigurasi VM dengan menggunakan az vm create.
2. Untuk VM yang ada, Anda dapat mengaktifkan pengaturan pemantauan integritas boot dengan memperbarui untuk memastikan bahwa pemantauan integritas diaktifkan. Anda dapat menggunakan --enable-integrity-monitoring.

Catatan

Ekstensi Pengesahan Tamu harus dikonfigurasi secara eksplisit.

PowerShell

Jika Boot Aman dan vTPM diatur ke AKTIF, integritas boot juga diatur ke AKTIF.

1. Buat VM dengan Peluncuran Tepercaya yang memiliki kemampuan Boot Aman dan vTPM melalui penyebaran awal VM Peluncuran Tepercaya. Sebagai pemilik VM, Anda dapat menyesuaikan konfigurasi VM.
2. Untuk VM yang ada, Anda dapat mengaktifkan pengaturan pemantauan integritas boot dengan memperbarui. Pastikan Boot Aman dan vTPM diatur ke AKTIF.

Untuk informasi selengkapnya tentang membuat atau memperbarui VM untuk menyertakan pemantauan integritas boot melalui ekstensi Pengesahan Tamu, lihat Menyebarkan VM dengan Peluncuran Tepercaya diaktifkan (PowerShell).

Panduan pemecahan masalah untuk penginstalan ekstensi Pengesahan Tamu

Bagian ini membahas kesalahan dan solusi pengesahan.

Gejala

Ekstensi Azure Attestation tidak akan berfungsi dengan baik saat Anda menyiapkan kelompok keamanan jaringan (NSG) atau proksi. Kesalahan muncul yang terlihat mirip dengan "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation provisi gagal."

Solusi

Di Azure, NSG digunakan untuk membantu memfilter lalu lintas jaringan antara sumber daya Azure. NSG berisi aturan keamanan yang mengizinkan atau menolak lalu lintas jaringan masuk, atau lalu lintas jaringan keluar dari beberapa jenis sumber daya Azure. Titik akhir Azure Attestation harus dapat berkomunikasi dengan ekstensi Pengesahan Tamu. Tanpa titik akhir ini, Peluncuran Tepercaya tidak dapat mengakses pengesahan tamu, yang memungkinkan Microsoft Defender untuk Cloud memantau integritas urutan boot VM Anda.

Untuk membuka blokir lalu lintas Azure Attestation di NSG dengan menggunakan tag layanan:

1. Buka VM yang ingin Anda izinkan lalu lintas keluarnya.

2. Di panel paling kiri, di bawah Jaringan, pilih Pengaturan jaringan.

3. Lalu pilih Buat aturan>port Keluar.

   

4. Untuk mengizinkan Azure Attestation, Anda menjadikan tujuan sebagai tag layanan. Pengaturan ini memungkinkan rentang alamat IP untuk memperbarui dan secara otomatis menetapkan aturan yang memungkinkan Azure Attestation. Atur Tag layanan tujuan ke AzureAttestation dan atur Tindakan ke Izinkan.

   

Firewall melindungi jaringan virtual, yang berisi beberapa VM Peluncuran Tepercaya. Untuk membuka blokir lalu lintas Azure Attestation di firewall dengan menggunakan kumpulan aturan aplikasi:

1. Buka instans Azure Firewall yang memiliki lalu lintas yang diblokir dari sumber daya VM Peluncuran Tepercaya.

2. Di bawah Pengaturan, pilih Aturan (klasik) untuk mulai membuka blokir pengesahan tamu di belakang firewall.

3. Di bawah Kumpulan aturan jaringan, pilih Tambahkan kumpulan aturan jaringan.

   

4. Konfigurasikan nama, prioritas, jenis sumber, dan port tujuan berdasarkan kebutuhan Anda. Atur Nama tag layanan ke AzureAttestation dan atur Tindakan ke Izinkan.

Untuk membuka blokir lalu lintas Azure Attestation di firewall dengan menggunakan kumpulan aturan aplikasi:

1. Buka instans Azure Firewall yang memiliki lalu lintas yang diblokir dari sumber daya VM Peluncuran Tepercaya.

   

   Kumpulan aturan harus berisi setidaknya satu aturan yang menargetkan nama domain yang sepenuhnya memenuhi syarat (FQDN).

2. Pilih kumpulan aturan aplikasi dan tambahkan aturan aplikasi.

3. Pilih nama dan prioritas numerik untuk aturan aplikasi Anda. Atur Tindakan untuk kumpulan aturan ke Izinkan.

   

4. Konfigurasikan nama, sumber, dan protokol. Jenis sumber adalah untuk satu alamat IP. Pilih grup IP untuk mengizinkan beberapa alamat IP melalui firewall.

Penyedia bersama regional

Azure Attestation menyediakan penyedia bersama regional di setiap wilayah yang tersedia. Anda dapat memilih untuk menggunakan penyedia bersama regional untuk pengesahan atau membuat penyedia Anda sendiri dengan kebijakan kustom. Setiap pengguna Microsoft Entra dapat mengakses penyedia bersama. Kebijakan yang terkait dengannya tidak dapat diubah.

Catatan

Anda dapat mengonfigurasi jenis sumber, layanan, rentang port tujuan, protokol, prioritas, dan nama.

Konten terkait

Pelajari selengkapnya tentang Peluncuran Tepercaya dan menyebarkan VM Peluncuran Tepercaya.