Abilitare l'avvio attendibile nelle macchine virtuali di Azure esistenti

Articolo
07/02/2024

Si applica a: ✔️ macchina virtuale Linux ✔️ macchina virtuale Windows ✔️ macchina virtuale di seconda generazione

Le macchine virtuali (VM) di Azure supportano l'abilitazione dell'Avvio attendibile nelle macchine virtuali di seconda generazione di Azure esistenti eseguendo l'aggiornamento al tipo di sicurezza Avvio attendibile.

L'avvio attendibile è un modo per abilitare la sicurezza di calcolo di base nelle macchine virtuali di seconda generazione di Azure e protegge da tecniche di attacco avanzate e persistenti, ad esempio kit di avvio e rootkit. A tale scopo, combinare tecnologie dell'infrastruttura come avvio protetto, vTPM e monitoraggio dell'integrità dell'avvio nella macchina virtuale.

Importante

Il supporto per l'abilitazione dell'avvio attendibile nelle macchine virtuali di prima generazione esistenti è attualmente disponibile in anteprima privata. È possibile accedere all'anteprima usando il collegamento di registrazione https://aka.ms/Gen1ToTLUpgrade.

Prerequisiti

La macchina virtuale di seconda generazione di Azure è configurata con:
- Famiglia di dimensioni supportate per l'avvio attendibile
- Dimensioni dell'immagine supportate per l'avvio attendibile. Per l'immagine o i dischi del sistema operativo personalizzati, l'immagine di base deve essere compatibile con Avvio attendibile.
La macchina virtuale di seconda generazione di Azure non usa funzionalità attualmente non supportate con l'Avvio attendibile.
La macchina virtuale di seconda generazione di Azure deve essere arrestata e deallocata prima di abilitare il tipo di sicurezza Avvio attendibile.
Backup di Azure se abilitato per la macchina virtuale deve essere configurato con criteri di backup avanzati. Non è possibile abilitare un tipo di sicurezza di avvio attendibile per la macchina virtuale di seconda generazione configurata con la protezione di backup con Criteri standard.
- È possibile eseguire la migrazione del backup di macchine virtuali di Azure esistenti da criteri standard a avanzati usando Eseguire la migrazione dei backup delle macchine virtuali di Azure da criteri standard a avanzati (anteprima).

Procedure consigliate

Abilitare l'Avvio attendibile in una macchina virtuale di seconda generazione di test e verificare se siano necessarie modifiche per soddisfare i prerequisiti prima di abilitare l'Avvio attendibile nelle macchine virtuali di seconda generazione associate ai carichi di lavoro di produzione.
Creare un punto di ripristino per la macchina virtuale di seconda generazione di Azure associata ai carichi di lavoro di produzione prima di abilitare il tipo di sicurezza Avvio attendibile. È possibile usare il punto di ripristino per ricreare i dischi e la macchina virtuale di seconda generazione con lo stato noto precedente.

Abilitare l'avvio attendibile nelle macchine virtuali esistenti

Nota

Dopo l'abilitazione dell'avvio attendibile, attualmente non è possibile eseguire il rollback delle macchine virtuali al tipo di sicurezza Standard (configurazione di avvio non attendibile).
vTPM è abilitato per impostazione predefinita.
È consigliabile abilitare l'Avvio protetto (non abilitato per impostazione predefinita) se non si usano driver o kernel non firmati personalizzati. L'Avvio protetto mantiene l'integrità dell'avvio e abilita la sicurezza di base per la macchina virtuale.

Abilitare l'avvio attendibile nella macchina virtuale di Azure Generation 2 esistente usando il portale di Azure.

Accedere al portale di Azure.
Verificare che la generazione di macchine virtuali sia V2 e Arrestare la macchina virtuale.
Nella pagina Panoramica nelle Proprietà della macchina virtuale selezionare Standard in Tipo di sicurezza. Verrà visualizzata la pagina Configurazione per la macchina virtuale.
Selezionare l'elenco a discesa Tipo di sicurezza nella sezione Tipo di sicurezza della pagina Configurazione.
Selezionare Avvio attendibile nell'elenco a discesa e selezionare le caselle di controllo per abilitare Avvio protetto e vTPM. Fare clic su Salva dopo aver apportato le modifiche necessarie.
Nota
- Le macchine virtuali di seconda generazione create con Raccolta di calcolo di Azure, Immagine gestita, Disco del sistema operativo non possono essere aggiornate all'avvio attendibile tramite il portale. Assicurarsi che la versione del sistema operativo sia supportata per l'Avvio attendibile e usare PowerShell, l'interfaccia della riga di comando o il modello di Resource Manager per eseguire l'aggiornamento.
Chiudere la pagina Configurazione dopo il completamento dell'aggiornamento e convalidare il Tipo di sicurezza nelle proprietà della macchina virtuale nella pagina Panoramica.
Avviare la macchina virtuale di avvio attendibile aggiornata e verificare di essere in grado di accedere alla macchina virtuale usando RDP (per la macchina virtuale Windows) o SSH (per la macchina virtuale Linux).

Questa sezione illustra come usare l'interfaccia della riga di comando di Azure per abilitare l'avvio attendibile nella macchina virtuale di prima generazione di Azure 2 esistente.

Assicurarsi di aver installato la versione più recente dell'interfaccia della riga di comando di Azure e di aver effettuato l'accesso a un account Azure con az login.

Accedere alla sottoscrizione di Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Deallocare la macchina virtuale

az vm deallocate \
    --resource-group myResourceGroup --name myVm

Abilitare Avvio attendibile impostando --security-type su TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Convalidare l'output del comando precedente. La configurazione securityProfile viene restituita con l'output del comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Avviare la macchina virtuale.

az vm start \
    --resource-group myResourceGroup --name myVm

Avviare la macchina virtuale di avvio attendibile aggiornata e verificare di essere in grado di accedere alla macchina virtuale usando RDP (per la macchina virtuale Windows) o SSH (per la macchina virtuale Linux).

Questa sezione illustra come usare Azure PowerShell per abilitare l'avvio attendibile nella macchina virtuale di prima generazione di Azure 2 esistente.

Assicurarsi di aver installato la versione più recente di Azure PowerShell e di aver effettuato l'accesso a un account Azure con Connect-AzAccount.

Accedere alla sottoscrizione di Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Deallocare la macchina virtuale

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Abilitare Avvio attendibile impostando -SecurityType su TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

ConvalidaresecurityProfile nella configurazione aggiornata della macchina virtuale.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Avviare la macchina virtuale.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Avviare la macchina virtuale di avvio attendibile aggiornata e verificare di essere in grado di accedere alla macchina virtuale usando RDP (per la macchina virtuale Windows) o SSH (per la macchina virtuale Linux).

Questa sezione illustra come usare un modello di Resource Manager per abilitare l'avvio attendibile nella macchina virtuale di prima generazione di Azure 2 esistente.

Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.

Esaminare il modello.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Modificare il file JSON dei parametri con le macchine virtuali da aggiornare con il tipo di sicurezza TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definizione del file dei parametri

Proprietà	Descrizione della proprietà	Valore di esempio del modello
vmName	Nome della macchina virtuale di seconda generazione di Azure	"myVm"
posizione	Posizione della macchina virtuale di seconda generazione di Azure	"westus3"
secureBootEnabled	Abilitare l'avvio protetto con tipo di sicurezza Avvio attendibile	true

Deallocare tutte le macchine virtuali di seconda generazione di Azure da aggiornare.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Eseguire la distribuzione del modello di Resource Manager.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Verificare che la distribuzione sia riuscita. Verificare il tipo di sicurezza e le impostazioni UEFI della macchina virtuale tramite il portale di Azure. Controllare la sezione Tipo di sicurezza nella pagina Panoramica.
Avviare la macchina virtuale di avvio attendibile aggiornata e verificare di essere in grado di accedere alla macchina virtuale usando RDP (per la macchina virtuale Windows) o SSH (per la macchina virtuale Linux).

Passaggi successivi

Sscelta consigliata) Gli aggiornamenti successivi consentono a Monitoraggio dell'integrità dell'avvio di monitorare l'integrità della macchina virtuale usando Microsoft Defender per il cloud.

Altre informazioni su Avvio attendibile e le domande frequenti

Condividi tramite