Condividi tramite

Avvio attendibile per le macchine virtuali di Azure

  • Articolo

Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi

Azure offre un avvio attendibile come un modo semplice per migliorare la sicurezza delle macchine virtuali di seconda generazione. L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate.

Importante

Vantaggi

  • Implementare in modo sicuro le macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver.
  • Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
  • Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
  • Assicurare che i carichi di lavoro siano attendibili e verificabili.

Dimensioni delle macchine virtuali

Type Famiglie di dimensioni supportate Attualmente non sono supportate le famiglie di dimensioni Famiglie di dimensioni non supportate
Utilizzo generico Serie B, Serie DCsv2, Serie DCsv3, Serie DCdsv3, Serie Dv4, Serie Dsv4, Serie Dsv3, Serie Dsv2, Serie Dav4, Serie Dasv4, Serie Ddv4, Serie Ddsv4, Serie Dv5, Serie Dsv5, Serie Ddv5, Serie Ddsv5, Serie Dasv5, Serie Dadsv5, Serie Dlsv5, Serie Dldsv5 Serie Dpsv5, Serie Dpdsv5, Serie Dplsv5, Serie Dpldsv5 Serie Av2, Serie Dv2, Serie Dv3
Con ottimizzazione per il calcolo Serie FX, Serie Fsv2 Tutte le dimensioni supportate.
Ottimizzato per la memoria Serie Dsv2, Serie Esv3, Serie Ev4, Serie Esv4, Serie Edv4, Serie Edsv4, Serie Eav4, Serie Easv4, Serie Easv5, Serie Eadsv5, Serie Ebsv5,Serie Ebdsv5 ,Serie Edv5, Serie Edsv5 Serie Epsv5, Serie Epdsv5, Serie M, Serie Msv2, Serie Mdsv2 Medium Memory, Serie Mv2 Serie Ev3
Con ottimizzazione per l'archiviazione Serie Lsv2, Serie Lsv3, Serie Lasv3 Tutte le dimensioni supportate.
GPU Serie NCv2, Serie NCv3, Serie NCasT4_v3, Serie NVv3, Serie NVv4, Serie NDv2, Serie NC_A100_v4, Serie NVadsA10 v5 Serie NDasrA100_v4, Serie NDm_A100_v4 Serie NC, Serie NV, Serie NP
Calcolo con prestazioni elevate Serie HB, Serie HBv2, Serie HBv3, Serie HBv4, Serie HC, Serie HX Tutte le dimensioni supportate.

Nota

  • L'installazione dei driver CUDA & GRID nelle macchine virtuali Windows abilitate per l'avvio sicuro non richiede passaggi aggiuntivi.
  • L'installazione del driver CUDA nelle macchine virtuali Ubuntu abilitate per l'avvio sicuro richiede passaggi aggiuntivi documentati in Installare i driver GPU NVIDIA nelle macchine virtuali serie N che eseguono Linux. L'avvio sicuro deve essere disabilitato per l'installazione dei driver CUDA in altre macchine virtuali Linux.
  • Per l'installazione del driver GRID è necessario disabilitare l'avvio sicuro per le macchine virtuali Linux.
  • Le famiglie di dimensioni non supportate non supportano le macchine virtuali di seconda generazione. Modificare la dimensione della macchine virtuali in famiglie di dimensioni supportate equivalenti per abilitare l'avvio attendibile.

Sistemi operativi supportati

Sistema operativo Versione
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Server Windows 2016, 2019, 2022 *
Window Server (Edizione Azure) 2022

* Sono supportate le varianti di questo sistema operativo.

Informazioni aggiuntive

Aree di Azure:

  • Tutte le aree pubbliche
  • Tutte le aree di Azure per enti pubblici
  • Tutte le aree di Azure Cina

Prezzi: l'avvio attendibile non aumenta i prezzi delle macchine virtuali esistenti.

Funzionalità non supportate

Nota

Le funzionalità di macchina virtuale seguenti non sono attualmente supportate con l’avvio attendibile.

Avvio protetto

Nella radice dell'avvio attendibile è avvio attendibile per la macchina virtuale. L'avvio sicuro, implementato nel firmware della piattaforma, protegge dall'installazione di kit avvio e rootkit basati su malware. L'avvio sicuro funziona per garantire che solo i sistemi operativi e i driver firmati possano essere avviati. Stabilisce una "radice di attendibilità" per lo stack software nella macchina virtuale. Con l'avvio sicuro abilitato, tutti i componenti di avvio del sistema operativo (driver kernel, kernel, caricatore avvio) richiedono la firma di autori attendibili. Sia Windows che alcune distribuzioni Linux supportano l'avvio sicuro. Se l'avvio sicuro non riesce ad autenticare che l'immagine è firmata da un autore attendibile, l'avvio della macchina virtuale non riesce. Per altre informazioni, vedere Avvio protetto.

vTPM

L'avvio attendibile introduce anche vTPM per le macchine virtuali di Azure. vTPM è una versione virtualizzata di un Trusted Platform Module hardware, conforme alla specifica TPM2.0. Funge da insieme di credenziali sicuro dedicato per chiavi e misure. L'avvio attendibile fornisce alla macchina virtuale una propria istanza TPM dedicata, in esecuzione in un ambiente sicuro all'esterno della copertura di qualsiasi macchina virtuale. vTPM abilita l’attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

L'avvio attendibile usa vTPM per eseguire l'attestazione remota tramite il cloud. Le attestazioni abilitano i controlli di integrità della piattaforma e per prendere decisioni basate sull'attendibilità. Come controllo di integrità, l'avvio attendibile può certificare crittograficamente che la macchina virtuale è stata avviata correttamente. Se il processo ha esito negativo, probabilmente è perché la macchina virtuale esegue un componente non autorizzato, Microsoft Defender per il cloud genera avvisi di integrità. Gli avvisi includono i dettagli sui componenti che non sono riusciti a superare i controlli di integrità.

Sicurezza basata sulla virtualizzazione

La sicurezza basata su virtualizzazione (VBS) usa l'hypervisor per creare un'area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità ed exploit dannosi. L'avvio attendibile consente di abilitare l'integrità del codice hypervisor (HVCI) e Windows Defender Credential Guard.

HVCI è una potente mitigazione del sistema che protegge i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell'esecuzione, impedendo il caricamento dei file non firmati in memoria. Verifica che il codice eseguibile non possa essere modificato dopo il caricamento. Per altre informazioni su VBS e HVCI, vedere Sicurezza basata sulla virtualizzazione (VBS) e Hypervisor Enforced Code Integrity (HVCI).

Con l'avvio attendibile e la sicurezza basata su virtualizzazione è possibile abilitare Windows Defender Credential Guard. Credential Guard isola e protegge i segreti in modo che solo il software di sistema con privilegi possa accedervi. Consente di impedire l'accesso non autorizzato ai segreti e agli attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash (PtH). Per altre informazioni, vedere Credential Guard.

Integrazione di Microsoft Defender per il cloud

L'avvio attendibile è integrato con Microsoft Defender per il cloud per assicurarsi che le macchine virtuali siano configurate correttamente. Microsoft Defender per il cloud valuta continuamente le macchine virtuali compatibili e rilascia elementi consigliati pertinenti.

  • Raccomandazione per abilitare l’avvio sicuro: la raccomandazione di avvio sicuro si applica solo alle macchine virtuali che supportano l'avvio attendibile. Microsoft Defender per il cloud identifica le macchine virtuali che possono abilitare l'avvio sicuro, ma che lo hanno disabilitato. Invia una raccomandazione di gravità bassa per abilitarla.
  • Raccomandazione per abilitare vTPM: se la macchina virtuale ha vTPM abilitato, Microsoft Defender per il cloud può usarla per eseguire l'attestazione guest e identificare i modelli di minaccia avanzati. Se Microsoft Defender per il cloud identifica le macchine virtuali che supportano l'avvio attendibile e hanno vTPM disabilitato, invia una raccomandazione di gravità bassa per abilitarla.
  • Raccomandazione di installare l'estensione di attestazione guest: se la macchina virtuale ha l'avvio sicuro e vTPM abilitato, ma non è installata l'estensione di attestazione guest, Microsoft Defender per il cloud genera raccomandazioni di gravità bassa per installare l'estensione di attestazione guest. Questa estensione consente a Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio delle macchine virtuali. L'integrità dell'avvio viene attestata tramite attestazione remota.
  • Valutazione integrità dell'attestazione o Monitoraggio dell'integrità di avvio: se la macchina virtuale presenta Avvio sicuro e vTPM abilitato ed estensione di attestazione installata, Microsoft Defender per il cloud può verificare in remoto che la macchina virtuale sia stata avviata in modo integro. Questo è noto come monitoraggio dell'integrità dell'avvio. Microsoft Defender per il cloud rilascia una valutazione, con l’indicazione dello stato dell'attestazione remota.

Se le macchine virtuali sono configurate correttamente con l'avvio attendibile, Microsoft Defender per il cloud può rilevare e avvisare l'utente dei problemi di integrità delle macchine virtuali.

  • Avviso per l'errore di attestazione della macchina virtuale: Microsoft Defender per il cloud esegue periodicamente l'attestazione nelle macchine virtuali. L'attestazione si verifica anche dopo gli avvii della macchina virtuale. Se l'attestazione ha esito negativo, attiva un avviso di gravità media. L'attestazione della macchina virtuale può avere esito negativo per i motivi seguenti:

    • Le informazioni attestate, che includono un log di avvio, deviano da una baseline attendibile. Qualsiasi deviazione può indicare che i moduli non attendibili sono stati caricati e che il sistema operativo potrebbe essere compromesso.
    • Non è stato possibile verificare che l'offerta di attestazione abbia origine dal vTPM della macchina virtuale con attestazione. Un'origine non verificata può indicare che il malware è presente e potrebbe intercettare il traffico verso vTPM.

    Nota

    Gli avvisi sono disponibili per le macchine virtuali con vTPM abilitato e l'estensione Attestazione installata. L'avvio sicuro deve essere abilitato per il passaggio dell'attestazione. L'attestazione ha esito negativo se l'avvio sicuro è disabilitato. Se è necessario disabilitare l'avvio sicuro, è possibile eliminare questo avviso per evitare falsi positivi.

  • Avviso per il modulo Kernel Linux non attendibile: per l'avvio attendibile con avvio sicuro abilitato, è possibile che una macchina virtuale venga avviata anche se un driver del kernel non riesce la convalida e non è consentito il caricamento. In questo caso, Microsoft Defender per il cloud genera avvisi con gravità bassa. Anche se non esiste alcuna minaccia immediata, perché il driver non attendibile non è stato caricato, questi eventi devono essere esaminati.

    • Quale driver del kernel non è riuscito? Ho familiarità con questo driver e mi aspetto che venga caricato?
    • Questa è la versione esatta del driver che mi aspetto? I file binari del driver sono intatti? In caso di driver di terze parti, il fornitore ha superato i test di conformità del sistema operativo per ottenere la firma?

Passaggi successivi

Distribuire una macchina virtuale di avvio attendibile.