Peluncuran Tepercaya untuk komputer virtual Azure
Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam
Azure menawarkan Peluncuran Tepercaya sebagai cara yang mulus untuk meningkatkan keamanan komputer virtual (VM) Generasi 2 . Peluncuran Tepercaya melindungi dari teknik serangan tingkat lanjut dan persisten. Peluncuran Tepercaya terdiri dari beberapa teknologi infrastruktur terkoordinasi yang dapat diaktifkan secara independen. Setiap teknologi menyediakan lapisan pertahanan lain terhadap ancaman canggih.
Penting
- Peluncuran Tepercaya dipilih sebagai status default untuk Azure VM yang baru dibuat. Jika VM baru Anda memerlukan fitur yang tidak didukung oleh Peluncuran Tepercaya, lihat Tanya Jawab Umum Peluncuran Tepercaya.
- Komputer virtual (VM) yang ada dapat mengaktifkan Peluncuran Tepercaya setelah dibuat. Untuk informasi selengkapnya, lihat Mengaktifkan Peluncuran Tepercaya pada VM yang ada.
- Set skala komputer virtual (VMSS) yang ada dapat mengaktifkan Peluncuran Tepercaya setelah dibuat. Untuk informasi selengkapnya, lihat Mengaktifkan Peluncuran Tepercaya pada set skala yang ada.
Keuntungan
- Sebarkan VM dengan aman dengan boot loader terverifikasi, kernel sistem operasi (OS), dan driver.
- Lindungi kunci, sertifikat, dan rahasia dengan aman di VM.
- Dapatkan wawasan dan kepercayaan diri dari seluruh integritas rantai boot.
- Pastikan bahwa beban kerja tepercaya dan dapat diverifikasi.
Ukuran komputer virtual
| Jenis | Keluarga ukuran yang didukung | Keluarga ukuran yang saat ini tidak didukung | Keluarga ukuran yang tidak didukung |
|---|---|---|---|
| Tujuan umum | Seri B, seri DCsv2, seri DCsv3, seri DCdsv3, Seri Dv4, seri Dsv4, seri Dsv3, seri Dsv2, seri Dav4, seri Dasv4, seri Ddv4, seri Ddsv4, seri Dv5, seri Dv5, seri Dsv5, seri Ddv5, seri Ddsv5, seri Dasv5, seri Dasv5, seri Dadsv5, seri Dlsv5, Seri Dldsv5 | Seri Dpsv5, seri Dpdsv5, seri Dplsv5, seri Dpldsv5 | Seri Av2, seri Dv2, seri Dv3 |
| Dioptimalkan untuk komputasi | Seri FX, seri Fsv2 | Semua ukuran didukung. | |
| Memori Dioptimalkan | Seri Dsv2, seri Esv3, seri Ev4, seri Esv4, seri Edv4, seri Edsv4, seri Eav4, seri Easv4, seri Easv5, seri Eadsv5, seri Ebsv5, seri Ebdsv5, seri Edv5, seri Edv5, seri Edsv5 | Seri Epsv5, seri Epdsv5, seri M, seri Msv2, seri Memori Sedang Mdsv2, seri Mv2 | Seri Ev3 |
| Penyimpanan dioptimalkan | Seri Lsv2, seri Lsv3, seri Lasv3 | Semua ukuran didukung. | |
| GPU | Seri NCv2, seri NCv3, seri NCasT4_v3, seri NVv3, seri NVv4, seri NDv2, seri NC_A100_v4, seri NVadsA10 v5 | seri NDasrA100_v4, seri NDm_A100_v4 | Seri NC, seri NV, seri NP |
| Komputasi Performa Tinggi | Seri HB, seri HBv2, seri HBv3, seri HBv4, seri HC, seri HX | Semua ukuran didukung. |
Catatan
- Penginstalan driver CUDA & GRID pada VM Windows berkemampuan Boot Aman tidak memerlukan langkah tambahan.
- Penginstalan driver CUDA pada VM Ubuntu berkemampuan Boot Aman memerlukan langkah tambahan. Untuk informasi selengkapnya, lihat Menginstal driver GPU NVIDIA pada VM seri N yang menjalankan Linux. Boot Aman harus dinonaktifkan untuk menginstal driver CUDA di VM Linux lainnya.
- Penginstalan driver GRID mengharuskan Boot Aman dinonaktifkan untuk VM Linux.
- Keluarga ukuran yang tidak didukung tidak mendukung VM Generasi 2 . Ubah ukuran VM menjadi keluarga ukuran yang didukung yang setara untuk mengaktifkan Peluncuran Tepercaya.
Sistem operasi didukung
| OS | Versi |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022 * |
| Server Jendela (Edisi Azure) | 2022 |
* Variasi OS ini didukung.
Informasi selengkapnya
Wilayah:
- Semua wilayah di publik
- Semua wilayah Azure Government
- Semua wilayah Azure Tiongkok
Harga: Peluncuran Tepercaya tidak meningkatkan biaya harga VM yang ada.
Fitur yang tidak didukung
Saat ini, fitur VM berikut tidak didukung dengan Peluncuran Tepercaya:
- Azure Site Recovery (saat ini dalam pratinjau).
- Gambar Terkelola (pelanggan didorong untuk menggunakan Azure Compute Gallery).
- Virtualisasi berlapis (keluarga ukuran VM v5 didukung).
Boot Aman
Di akar Peluncuran Tepercaya adalah Boot Aman untuk VM Anda. Boot Aman, yang diimplementasikan dalam firmware platform, melindungi dari penginstalan rootkit berbasis malware dan kit boot. Boot Aman berfungsi untuk memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang dapat melakukan booting. Ini menetapkan "akar kepercayaan" untuk tumpukan perangkat lunak pada VM Anda.
Dengan Boot Aman diaktifkan, semua komponen boot OS (boot loader, kernel, driver kernel) memerlukan penandatanganan penerbit tepercaya. Windows dan distribusi Linux tertentu mendukung Boot Aman. Jika Boot Aman gagal mengautentikasi bahwa gambar ditandatangani oleh penerbit tepercaya, VM gagal di-boot. Untuk informasi selengkapnya, lihat Boot Aman.
vTPM
Peluncuran Tepercaya juga memperkenalkan Modul Platform Tepercaya virtual (vTPM) untuk Azure VM. Versi virtual Modul Platform Tepercaya perangkat keras ini mematuhi spesifikasi TPM2.0. Ini berfungsi sebagai brankas aman khusus untuk kunci dan pengukuran.
Peluncuran Tepercaya memberi VM Anda instans TPM khusus sendiri yang berjalan di lingkungan yang aman di luar jangkauan VM apa pun. vTPM memungkinkan pengesahan dengan mengukur seluruh rantai boot VM Anda (UEFI, OS, sistem, dan driver).
Peluncuran Tepercaya menggunakan vTPM untuk melakukan pengesahan jarak jauh melalui cloud. Pengesahan memungkinkan pemeriksaan kesehatan platform dan digunakan untuk membuat keputusan berbasis kepercayaan. Sebagai pemeriksaan kesehatan, Peluncuran Tepercaya dapat secara kriptografis mensertifikasi bahwa VM Anda di-boot dengan benar.
Jika proses gagal, mungkin karena VM Anda menjalankan komponen yang tidak sah, Microsoft Defender untuk Cloud mengeluarkan pemberitahuan integritas. Pemberitahuan tersebut menyertakan detail tempat komponen gagal melewati pemeriksaan integritas.
Keamanan berbasis virtualisasi
Keamanan berbasis virtualisasi (VBS) menggunakan hypervisor untuk membuat wilayah memori yang aman dan terisolasi. Windows menggunakan wilayah ini untuk menjalankan berbagai solusi keamanan dengan peningkatan perlindungan dari kerentanan dan eksploitasi berbahaya. Peluncuran Tepercaya memungkinkan Anda mengaktifkan integritas kode hypervisor (HVCI) dan Windows Defender Credential Guard.
HVCI adalah mitigasi sistem canggih yang melindungi proses mode kernel Windows dari injeksi dan eksekusi kode berbahaya atau belum diverifikasi. Ini memeriksa biner dan driver mode kernel sebelum berjalan, agar file yang tidak ditandatangani tidak dimuat ke memori. Pemeriksaan memastikan bahwa kode yang dapat dieksekusi tidak dapat dimodifikasi setelah diizinkan untuk dimuat. Untuk informasi selengkapnya tentang VBS dan HVCI, lihat Keamanan berbasis virtualisasi dan integritas kode yang diberlakukan hypervisor.
Dengan Peluncuran Tepercaya dan VBS, Anda dapat mengaktifkan Windows Defender Credential Guard. Credential Guard mengisolasi dan melindungi rahasia sehingga hanya perangkat lunak sistem istimewa yang dapat mengaksesnya. Ini membantu mencegah akses tidak sah ke rahasia dan serangan pencurian info masuk, seperti serangan Pass-the-Hash. Untuk informasi selengkapnya, lihat Penjaga Informasi Masuk.
Integrasi Pertahanan Microsoft untuk Cloud
Peluncuran Tepercaya terintegrasi dengan Defender untuk Cloud untuk memastikan bahwa VM Anda dikonfigurasi dengan benar. Defender untuk Cloud terus menilai VM yang kompatibel dan mengeluarkan rekomendasi yang relevan:
Rekomendasi untuk mengaktifkan Boot Aman: Rekomendasi Boot Aman hanya berlaku untuk VM yang mendukung Peluncuran Tepercaya. Defender untuk Cloud mengidentifikasi VM yang dapat mengaktifkan Boot Aman tetapi menonaktifkannya. Ini mengeluarkan rekomendasi tingkat keparahan rendah untuk mengaktifkannya.
Rekomendasi untuk mengaktifkan vTPM: Jika VM Anda mengaktifkan vTPM, Defender untuk Cloud dapat menggunakannya untuk melakukan pengesahan tamu dan mengidentifikasi pola ancaman tingkat lanjut. Jika Defender untuk Cloud mengidentifikasi VM yang mendukung Peluncuran Tepercaya dan menonaktifkan vTPM, VM tersebut mengeluarkan rekomendasi tingkat keparahan rendah untuk mengaktifkannya.
Rekomendasi untuk menginstal ekstensi pengesahan tamu: Jika VM Anda mengaktifkan Boot Aman dan vTPM tetapi ekstensi Pengesahan Tamu tidak terinstal, Defender untuk Cloud mengeluarkan rekomendasi tingkat keparahan rendah untuk menginstal ekstensi Pengesahan Tamu di atasnya. Ekstensi ini memungkinkan Defender untuk Cloud untuk secara proaktif membuktikan dan memantau integritas boot VM Anda. Integritas boot disahkan melalui pengesahan jarak jauh.
Penilaian kesehatan pengesahan atau pemantauan integritas boot: Jika VM Anda mengaktifkan Boot Aman dan vTPM dan ekstensi Pengesahan terinstal, Defender untuk Cloud dapat memvalidasi bahwa VM Anda di-boot dari jarak jauh dengan cara yang sehat. Praktik ini dikenal sebagai pemantauan integritas boot. Defender untuk Cloud mengeluarkan penilaian yang menunjukkan status pengesahan jarak jauh.
Jika VM Anda disiapkan dengan benar dengan Peluncuran Tepercaya, Defender untuk Cloud dapat mendeteksi dan memberi tahu Anda tentang masalah kesehatan VM.
Pemberitahuan untuk kegagalan pengesahan VM: Defender untuk Cloud secara berkala melakukan pengesahan pada VM Anda. Pengesahan juga terjadi setelah boot VM Anda. Jika pengesahan gagal, pengesahan akan memicu pemberitahuan tingkat keparahan sedang. Pengesahan VM bisa gagal karena alasan berikut:
- Informasi yang dibuktikan, yang mencakup log boot, menyimpang dari garis besar tepercaya. Penyimpangan apa pun dapat menunjukkan bahwa modul yang tidak tepercaya telah dimuat, dan OS dapat disusupi.
- Kutipan pengesahan tidak dapat diverifikasi untuk berasal dari vTPM VM yang dibuktikan. Asal yang belum diverifikasi dapat menunjukkan bahwa malware ada dan dapat mencegat lalu lintas ke vTPM.
Catatan
Pemberitahuan tersedia untuk VM dengan vTPM diaktifkan dan ekstensi Pengesahan diinstal. Boot Aman harus diaktifkan agar pengesahan berhasil. Pengesahan gagal jika Boot Aman dinonaktifkan. Jika Anda harus menonaktifkan Boot Aman, Anda dapat menyembunyikan pemberitahuan ini untuk menghindari positif palsu.
Pemberitahuan untuk modul kernel Linux yang tidak tepercaya: Untuk Peluncuran Tepercaya dengan Boot Aman diaktifkan, VM dapat di-boot meskipun driver kernel gagal validasi dan dilarang dimuat. Jika skenario ini terjadi, Defender untuk Cloud mengeluarkan pemberitahuan dengan tingkat keparahan rendah. Meskipun tidak ada ancaman langsung, karena driver yang tidak tepercaya belum dimuat, peristiwa ini harus diselidiki. Tanyakan pada diri sendiri:
- Driver kernel mana yang gagal? Apakah saya terbiasa dengan driver ini dan apakah saya mengharapkannya dimuat?
- Apakah ini versi yang tepat dari driver yang saya harapkan? Apakah biner driver lengkap? Jika ini adalah driver pihak ketiga, apakah vendor lulus tes kepatuhan OS untuk menandatanganinya?
Konten terkait
Menyebarkan VM Peluncuran Tepercaya.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk