Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: ✔️ Linux VM ✔️ Windows VM ✔️ Set skala fleksibel ✔️ Set skala seragam
Azure menawarkan Peluncuran Tepercaya sebagai cara yang mulus untuk meningkatkan keamanan Generasi 2 komputer virtual (VM). Peluncuran Tepercaya memberikan perlindungan terhadap teknik serangan yang canggih dan persisten. Peluncuran Tepercaya terdiri dari beberapa teknologi infrastruktur terkoordinasi yang dapat diaktifkan secara independen. Setiap teknologi menyediakan lapisan pertahanan lain terhadap ancaman canggih.
Peluncuran Tepercaya didukung untuk arsitektur x64 dan Arm64.
Penting
- "Trusted Launch" adalah status default untuk VM Azure Gen2 yang baru dibuat dan set skala. Lihat Tanya Jawab Umum Peluncuran Tepercaya jika VM baru Anda memerlukan fitur yang tidak didukung dengan Peluncuran tepercaya.
- Anda dapat meningkatkan VM Azure Gen1 yang ada ke peluncuran Gen2-Trusted untuk mengaktifkan Boot Aman dan vTPM. Lihat Meningkatkan VM Gen1 yang ada ke Gen2 dengan peluncuran tepercaya.
- VM yang ada dapat mengaktifkan Peluncuran Tepercaya setelah dibuat. Untuk informasi selengkapnya, lihat Mengaktifkan Peluncuran Tepercaya pada VM Gen2 yang ada.
- Set skala mesin virtual yang sudah ada dapat mengaktifkan Peluncuran Tepercaya setelah dibuat. Untuk informasi selengkapnya, lihat Mengaktifkan Peluncuran Tepercaya pada set skala yang ada.
Keuntungan
- Sebarkan VM dengan aman dengan boot loader terverifikasi, kernel sistem operasi (OS), dan driver.
- Lindungi kunci, sertifikat, dan rahasia dengan aman di VM.
- Dapatkan wawasan dan pastikan integritas dari seluruh rantai boot.
- Pastikan bahwa beban kerja tepercaya dan dapat diverifikasi.
Ukuran mesin virtual
| Jenis | Ukuran keluarga yang didukung | Keluarga ukuran yang tidak didukung saat ini | Keluarga ukuran yang tidak didukung |
|---|---|---|---|
| Tujuan umum | B-family, D-family, Dpsv6-series1, Dplsv6-series1 | Seri Dpsv5, Seri Dpdsv5, Seri Dplsv5, Seri Dpldsv5 | A-family, Dv2-series, Dv3-series, DC-Confidential-family |
| Dioptimalkan untuk komputasi | F-family, Fx-family | Semua ukuran didukung. | |
| Memori Dioptimalkan | E-family, Eb-family, Epsv6-series1 | Keluarga M | EC-Confidential-family |
| Penyimpanan dioptimalkan | Keluarga L | Semua ukuran didukung. | |
| GPU | NC-family, ND-family, NV-family | NDasrA100_v4-seri, NDm_A100_v4-seri | Seri NC, Seri NV, Seri NP |
| Komputasi Performa Tinggi | Seri HBv22, Seri HBv3, Seri HBv4, Seri HBv5, Seri HC3, Seri HX | Semua ukuran didukung. |
1Ukuran berbasis Arm64 Cobalt 100 yang mendukung Peluncuran Tepercaya.
2Seri HBv2 saat ini didukung untuk Peluncuran Tepercaya tetapi dijadwalkan untuk dihentikan pada 31 Mei 2027. Untuk penyebaran HPC Trusted Launch baru, lebih suka ukuran seri HBv5, seri HX, seri HBv4, atau seri HBv3.
3Ukuran seri HC (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) dijadwalkan untuk pensiun pada 31 Mei 2027. Setelah tanggal ini, VM seri HC yang tersisa tidak akan dialokasikan dan tidak lagi dikenakan biaya, serta seri HC tidak akan lagi memiliki SLA atau dukungan. Penjualan Instans Cadangan 1 tahun dan 3 tahun berakhir pada 2 April 2026. Untuk penyebaran HPC Trusted Launch baru, pertimbangkan seri HBv5 untuk performa yang lebih tinggi dan performa harga yang lebih baik, atau seri HX untuk beban kerja HPC memori tinggi. Rencanakan untuk beralih dari seri HC jauh sebelum tanggal penghentian untuk menghindari gangguan.
Catatan
- Penginstalan
CUDA & Driver GRID pada VM Windows berkemampuan Boot Aman tidak memerlukan langkah tambahan apa pun. - Penginstalan driver CUDA pada VM Ubuntu berkemampuan Boot Aman memerlukan langkah tambahan. Untuk informasi selengkapnya, lihat Menginstal driver GPU NVIDIA pada VM seri N yang menjalankan Linux. Boot Aman harus dinonaktifkan untuk menginstal driver CUDA di VM Linux lainnya.
- Penginstalan driver GRID mengharuskan Secure Boot dinonaktifkan untuk Mesin Virtual (VM) Linux.
- Keluarga ukuran yang tidak didukung tidak mendukung VM Generasi 2 . Ubah ukuran VM menjadi keluarga ukuran yang didukung yang setara untuk mengaktifkan Peluncuran Tepercaya.
Sistem operasi didukung
| Sistem operasi | Versi |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux dari CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variasi OS ini didukung.
Catatan
Peluncuran Tepercaya di Arm64 didukung saat menggunakan gambar Marketplace Arm64 yang berlaku untuk distribusi dan versi yang didukung. Untuk ukuran Cobalt 100, terapkan Peluncuran Tepercaya menggunakan citra Arm64 yang tersedia di Marketplace Azure.
Informasi selengkapnya
Wilayah:
- Semua wilayah publik
- Semua wilayah Azure Government
- Semua wilayah Azure Tiongkok
Harga: Peluncuran Tepercaya tidak meningkatkan biaya VM yang ada.
Fitur yang tidak didukung
Saat ini, fitur VM berikut tidak didukung dengan Peluncuran Tepercaya:
- Managed Image (pelanggan didorong untuk menggunakan Azure Compute Gallery).
- Hibernasi VM Linux
Pengaktifan Aman
Dasar dari peluncuran tepercaya adalah boot aman untuk VM Anda. Boot Aman, yang diimplementasikan dalam firmware platform, melindungi dari penginstalan rootkit berbasis malware dan kit boot. Boot Aman berfungsi untuk memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang dapat melakukan booting. Ini menetapkan "akar kepercayaan" untuk tumpukan perangkat lunak pada VM Anda.
Dengan Boot Aman diaktifkan, semua komponen boot OS (boot loader, kernel, driver kernel) memerlukan penandatanganan penerbit tepercaya. Baik Windows dan distribusi Linux tertentu mendukung boot aman. Jika Secure Boot gagal mengautentikasi bahwa citra ditandatangani oleh penerbit tepercaya, VM tidak dapat melakukan booting. Untuk informasi selengkapnya, lihat Boot Aman.
vTPM
Peluncuran Tepercaya juga memperkenalkan Modul Platform Tepercaya virtual (vTPM) untuk VM Azure. Versi tervirtualisasi dari Modul Platform Tepercaya berbasis perangkat keras ini mematuhi spesifikasi TPM2.0. Ini berperan sebagai brankas aman yang dikhususkan untuk kunci dan pengukuran.
Peluncuran Tepercaya memberi VM Anda instans TPM khusus sendiri yang berjalan di lingkungan yang aman di luar jangkauan VM apa pun. vTPM memungkinkan pengesahan dengan mengukur seluruh rantai boot VM Anda (UEFI, OS, sistem, dan driver).
Peluncuran Tepercaya menggunakan vTPM untuk melakukan pengesahan jarak jauh melalui cloud. Pengesahan memungkinkan pemeriksaan kesehatan platform dan digunakan untuk membuat keputusan berbasis kepercayaan. Sebagai pemeriksaan kesehatan, Peluncuran Tepercaya dapat secara kriptografis mensertifikasi bahwa VM Anda di-boot dengan benar.
Jika proses gagal, mungkin karena VM Anda menjalankan komponen yang tidak sah, Microsoft Defender untuk Cloud mengeluarkan pemberitahuan integritas. Pemberitahuan tersebut menyertakan detail tentang komponen mana yang gagal melewati pemeriksaan integritas.
Keamanan berbasis virtualisasi
Keamanan berbasis virtualisasi (VBS) menggunakan hypervisor untuk membuat wilayah memori yang aman dan terisolasi. Windows menggunakan wilayah ini untuk menjalankan berbagai solusi keamanan dengan peningkatan perlindungan terhadap kerentanan dan eksploitasi berbahaya. Peluncuran Tepercaya memungkinkan Anda mengaktifkan integritas kode hypervisor (HVCI) dan Windows Defender Credential Guard.
HVCI adalah mitigasi sistem kuat yang melindungi Windows proses mode kernel terhadap injeksi dan eksekusi kode berbahaya atau tidak diverifikasi. Ini memeriksa biner dan driver mode kernel sebelum berjalan, agar file yang tidak ditandatangani tidak dimuat ke memori. Pemeriksaan memastikan bahwa kode yang dapat dieksekusi tidak dapat dimodifikasi setelah diizinkan oleh HVCI untuk dimuat. Untuk informasi selengkapnya tentang VBS dan HVCI, lihat Keamanan berbasis virtualisasi dan integritas kode yang diberlakukan hypervisor.
Dengan Trusted Launch dan VBS, Anda dapat mengaktifkan Windows Defender Credential Guard. Credential Guard mengisolasi dan melindungi rahasia sehingga hanya perangkat lunak sistem istimewa yang dapat mengaksesnya. Ini membantu mencegah akses tidak sah ke data rahasia dan serangan pencurian kredensial, seperti serangan Pass-the-Hash. Untuk informasi selengkapnya, lihat Credential Guard.
integrasi Microsoft Defender untuk Cloud
Peluncuran Tepercaya terintegrasi dengan Defender untuk Cloud untuk memastikan bahwa VM Anda dikonfigurasi dengan benar. Defender untuk Cloud terus menilai VM yang kompatibel dan mengeluarkan rekomendasi yang relevan:
Rekomendasi untuk mengaktifkan Boot Aman: Rekomendasi Boot Aman hanya berlaku untuk VM yang mendukung Trusted Launch. Defender untuk Cloud mengidentifikasi VM yang menonaktifkan boot Aman. Ini mengeluarkan rekomendasi tingkat keparahan rendah untuk mengaktifkannya.
Recommendation untuk mengaktifkan vTPM: Jika vTPM diaktifkan untuk VM, Defender untuk Cloud dapat menggunakannya untuk melakukan pengesahan tamu dan mengidentifikasi pola ancaman tingkat lanjut. Jika Defender untuk Cloud mengidentifikasi VM yang mendukung Trusted Launch dengan vTPM dinonaktifkan, layanan tersebut akan mengeluarkan rekomendasi dengan prioritas rendah untuk mengaktifkannya.
Rekomendasi untuk menginstal ekstensi Attestation Tamu: Jika VM Anda memiliki Boot Aman dan vTPM diaktifkan tetapi tidak menginstal ekstensi Attestation Tamu, Defender untuk Cloud mengeluarkan rekomendasi tingkat keparahan rendah untuk menginstal ekstensi Attestation Tamu pada VM tersebut. Ekstensi ini memungkinkan Defender untuk Cloud untuk secara proaktif membuktikan dan memantau integritas boot VM Anda. Integritas boot disahkan melalui pengesahan jarak jauh.
Pemeriksaan kesehatan Atestasi atau pemantauan integritas boot: Jika VM Anda memiliki Boot Aman dan vTPM yang aktif dan ekstensi Atestasi terpasang, Defender untuk Cloud dapat memvalidasi dari jarak jauh bahwa VM Anda di-boot dengan cara yang sehat. Praktik ini dikenal sebagai pemantauan integritas boot. Defender untuk Cloud mengeluarkan penilaian yang menunjukkan status pengesahan jarak jauh.
Jika VM Anda disiapkan dengan benar dengan Peluncuran Tepercaya, Defender untuk Cloud dapat mendeteksi dan memberi tahu Anda tentang masalah kesehatan VM.
Alert untuk kegagalan pengesahan VM: Defender untuk Cloud secara berkala melakukan pengesahan pada VM Anda. Pengesahan juga terjadi setelah boot VM Anda. Jika pengesahan gagal, itu akan memicu peringatan tingkat keparahan sedang.
Catatan
Pemberitahuan pengesahan boot klien VM yang muncul di Microsoft Defender untuk Cloud bersifat informasional dan saat ini tidak disajikan di portal Defender.
Pengesahan VM bisa gagal karena alasan berikut:
Informasi yang dibuktikan, yang mencakup log boot, menyimpang dari patokan tepercaya. Penyimpangan apa pun dapat menunjukkan bahwa modul yang tidak tepercaya dimuat, dan OS dapat disusupi.
Kutipan pengesahan tidak dapat diverifikasi berasal dari vTPM dari VM yang terverifikasi. Asal yang belum diverifikasi dapat menunjukkan bahwa malware ada dan dapat mencegat lalu lintas ke vTPM.
Catatan
Pemberitahuan tersedia untuk VM dengan vTPM diaktifkan dan ekstensi Pengesahan diinstal. Boot Aman harus diaktifkan agar pengesahan berhasil. Pengesahan gagal jika Boot Aman dinonaktifkan. Jika Anda harus menonaktifkan Secure Boot, Anda dapat menyembunyikan peringatan ini untuk menghindari positif palsu.
Peringatan untuk modul kernel Linux yang tidak tepercaya: Untuk Peluncuran Tepercaya dengan Boot Aman diaktifkan, VM dapat melakukan boot meskipun driver kernel gagal validasi dan dilarang dimuat. Jika kegagalan validasi driver kernel terjadi, Defender untuk Cloud mengeluarkan pemberitahuan tingkat keparahan rendah. Meskipun tidak ada ancaman langsung karena driver yang tidak tepercaya belum dimuat, peristiwa ini tetap harus diselidiki. Tanyakan pada diri sendiri:
- Driver kernel mana yang gagal? Apakah saya terbiasa dengan driver kernel yang gagal dan apakah saya mengharapkannya dimuat?
- Apakah versi driver yang tepat sama seperti yang diharapkan? Apakah biner driver lengkap? Jika driver yang gagal adalah driver mitra, apakah mitra lulus tes kepatuhan OS untuk menandatanganinya?
(Pratinjau) Peluncuran Tepercaya sebagai bawaan
Penting
Peluncuran Tepercaya Default saat ini sedang dalam pratinjau. Pratinjau ini hanya ditujukan untuk tujuan pengujian, evaluasi, dan umpan balik. Beban kerja produksi tidak disarankan. Saat mendaftar ke pratinjau, Anda menyetujui ketentuan penggunaan tambahan. Beberapa aspek fitur ini mungkin berubah dengan ketersediaan umum (GA).
Peluncuran Terpercaya sebagai default (TLaD) tersedia dalam versi percobaan untuk mesin virtual Gen2 (VM) baru dan set skala mesin virtual.
TLaD adalah cara cepat dan tanpa sentuhan untuk meningkatkan postur keamanan VM Azure berbasis Gen2 baru dan penyebaran Virtual Machine Scale Sets. Dengan Peluncuran Tepercaya sebagai default, setiap VM Gen2 baru atau set skala yang dibuat melalui alat klien apa pun (seperti templat ARM, Bicep) akan diatur secara default menjadi VM dengan Peluncuran Tepercaya, boot aman, dan vTPM diaktifkan.
Rilis pratinjau publik memungkinkan Anda memvalidasi perubahan ini di lingkungan Anda masing-masing untuk semua VM Azure Gen2 baru, set skala, dan mempersiapkan perubahan yang akan datang ini.
Catatan
Semua VM Gen2 baru, set skala, penyebaran menggunakan alat klien apa pun (templat ARM, Bicep, Terraform, dll.) secara default ke peluncuran tepercaya setelah on-boarding untuk pratinjau. Perubahan ini TIDAK mengganti input yang disediakan sebagai bagian dari kode deploy.
Aktifkan pratinjau TLaD
Daftarkan fitur pratinjau TrustedLaunchByDefaultPreview di bawah namespace Microsoft.Compute pada langganan komputer virtual. Untuk informasi selengkapnya, lihat Menyetel fitur pratinjau di langganan Azure
Untuk membuat VM Gen2 baru atau set skala dengan default peluncuran Tepercaya, jalankan skrip penyebaran yang ada seperti yang ada melalui Azure SDK, Terraform, atau metode lain yang tidak Azure portal, CLI, atau PowerShell. VM atau set skala baru yang dibuat dalam langganan terdaftar menghasilkan VM Peluncuran Tepercaya atau Set Skala Komputer Virtual.
Penyebaran VM & set skala dengan pratinjau TLaD
Perilaku yang ada
Untuk membuat VM peluncuran tepercaya dan set skala, Anda perlu menambahkan elemen securityProfile berikut dalam penyebaran:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
Tidak adanya elemen securityProfile dalam kode penyebaran menyebarkan VM & set skala tanpa mengaktifkan Peluncuran tepercaya.
Contoh
- vm-windows-admincenter – Templat Azure Resource Manager (ARM) menyebarkan VM Gen2 tanpa mengaktifkan Peluncuran tepercaya.
-
vm-simple-windows – Templat ARM menyebarkan VM peluncuran Tepercaya (tanpa default karena
securityProfilesecara eksplisit ditambahkan ke templat ARM)
Perilaku baru
Dengan menggunakan API versi 2021-11-01 atau lebih tinggi DAN on-boarding ke pratinjau, tidak adanya securityProfile elemen dari penyebaran akan memungkinkan Peluncuran Terpercaya secara default ke VM baru dan set skala yang diterapkan jika kondisi berikut terpenuhi:
- Gambar OS Sumber Marketplace mendukung peluncuran tepercaya.
- Gambar OS sumber ACG mendukung dan divalidasi untuk Peluncuran yang Dipercaya.
- Disk sumber mendukung peluncuran tepercaya.
- Ukuran VM mendukung peluncuran Tepercaya.
Penyebaran tidak akan default ke Peluncuran tepercaya jika satu atau lebih dari kondisi yang tercantum tidak terpenuhi dan berhasil diselesaikan, untuk membuat VM Gen2 baru serta set skala tanpa Peluncuran tepercaya.
Anda dapat memilih untuk secara eksplisit mengabaikan pengaturan default untuk penyebaran VM & himpunan skala dengan mengatur
Batasan yang diketahui
Tidak dapat mengatasi default peluncuran tepercaya dan membuat VM Gen2 (peluncuran tidak tepercaya) menggunakan portal Azure setelah mendaftar ke pratinjau.
Setelah mendaftarkan langganan untuk pratinjau, jika mengatur jenis keamanan ke Standard di portal Azure, maka VM atau set skala Trusted launch akan diterapkan. Batasan ini akan ditangani sebelum ketersediaan umum default peluncuran tepercaya.
Untuk mengurangi batasan ini, Anda dapat membatalkan pendaftaran fitur pratinjau dengan menghapus tanda fitur TrustedLaunchByDefaultPreview di bawah namespace Microsoft.Compute pada langganan tertentu.
Tidak dapat mengukur ulang VM atau VMSS ke keluarga ukuran VM peluncuran tepercaya yang tidak didukung (seperti M-Series) pasca default ke Peluncuran tepercaya.
Mengubah ukuran VM Peluncuran Tepercaya ke keluarga ukuran VM yang tidak didukung dengan Peluncuran Tepercaya tidak akan didukung.
Sebagai mitigasi, silakan daftarkan bendera fitur UseStandardSecurityType di bawah namespace layanan Microsoft.Compute DAN roll-back VM dari Peluncuran tepercaya ke Gen2-only (Peluncuran Tidak Tepercaya) dengan mengatur securityType = Standard menggunakan alat klien yang tersedia (kecuali portal Azure).
Umpan balik pratinjau TLaD
Hubungi kami dengan umpan balik, kueri, atau kekhawatiran terkait perubahan mendatang ini di Survei umpan balik pratinjau default peluncuran tepercaya.
Nonaktifkan pratinjau TLaD
Untuk menonaktifkan pratinjau TLaD, batalkan pendaftaran fitur pratinjau TrustedLaunchByDefaultPreview di bawah namespace Microsoft.Compute pada langganan komputer virtual. Untuk informasi selengkapnya, lihat Fitur pratinjau batalkan pendaftaran
Konten terkait
- Deploy a VM Trusted Launch.