Avvio attendibile per le macchine virtuali di Azure

Si applica a: ✔️ Macchine virtuali Linux Macchine ✔️ ✔️ virtuali Windows Set di scalabilità flessibili Set ✔️ di scalabilità uniformi

Azure offre un lancio affidabile come un modo semplice per migliorare la sicurezza delle macchine virtuali di seconda generazione . L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. Il lancio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate.

Importante

L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.

Vantaggi

  • Distribuire in modo sicuro le macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver.
  • Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
  • Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
  • Assicurarsi che i carichi di lavoro siano attendibili e verificabili.

Limitazioni

Supporto delle dimensioni della macchina virtuale:

  • Serie B
  • Serie DCsv2
  • Serie DCsv3, serie DCdsv3
  • Serie Dv4, serie Dsv4, serie Dsv3, serie Dsv2
  • Serie Dav4, Serie Dasv4
  • Serie Ddv4, serie Ddsv4
  • Serie Dv5, serie Dsv5
  • Serie Ddv5, serie Ddsv5
  • Serie Dasv5, Serie Dadsv5
  • Serie Ev5, serie Esv5
  • Serie Edv5, Serie Edsv5
  • Serie Easv5, serie Eadsv5
  • Serie Ebsv5, serie Ebdsv5
  • Serie Eav4, serie Easv4
  • Serie Ev4, serie Esv4, serie Esv3
  • Serie Edv4, Serie Edsv4
  • Serie Fsv2
  • Serie Lsv2
  • Serie NCasT4_v3
  • Serie NVadsA10 v5

Supporto del sistema operativo:

  • Redhat Enterprise Linux 8.3, 8.4, 8.5, 8.6, 9.0 LVM
  • SUSE Enterprise Linux 15 SP3
  • Ubuntu Server 22.04 LTS
  • Ubuntu Server 20.04 LTS
  • Ubuntu Server 18.04 LTS
  • Debian 11
  • CentOS 8.3, 8.4
  • Oracle Linux 8.3, 8.4, 8.5, 8.6, 9.0 LVM
  • CBL-Mariner
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows 11 Pro
  • Windows 11 Enterprise
  • Windows 11 Enterprise multisessione
  • Windows 10 Pro
  • Windows 10 Enterprise
  • Windows 10 Enterprise multisessione

Regioni:

  • Tutte le aree pubbliche

Prezzi: nessun costo aggiuntivo per i prezzi delle macchine virtuali esistenti.

Le funzionalità seguenti non sono supportate:

  • Azure Site Recovery
  • Disco condiviso
  • Disco Ultra
  • Immagine gestita
  • Virtualizzazione nidificata

Avvio protetto

Alla radice dell'avvio attendibile è Avvio protetto per la macchina virtuale. Questa modalità, implementata nel firmware della piattaforma, protegge dall'installazione di rootkit e kit di avvio basati su malware. L'avvio protetto funziona per garantire che solo i sistemi operativi e i driver firmati possano essere avviati. Stabilisce una "radice di attendibilità" per lo stack di software nella macchina virtuale. Con l'avvio protetto abilitato, tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Sia Windows che le distribuzioni Linux supportano l'avvio protetto. Se l'avvio protetto non riesce ad autenticare che l'immagine è stata firmata da un autore attendibile, non sarà consentita l'avvio della macchina virtuale. Per altre informazioni, vedere Avvio protetto.

vTPM

L'avvio attendibile introduce anche vTPM per le macchine virtuali di Azure. Si tratta di una versione virtualizzata di un modulo trusted platform hardware, conforme alla specifica TPM2.0. Funge da insieme di credenziali sicuro dedicato per chiavi e misurazioni. L'avvio attendibile fornisce alla macchina virtuale una propria istanza TPM dedicata, in esecuzione in un ambiente sicuro all'esterno della portata di qualsiasi macchina virtuale. VTPM abilita l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

L'avvio attendibile usa vTPM per eseguire l'attestazione remota dal cloud. Questo viene usato per i controlli di integrità della piattaforma e per prendere decisioni basate sull'attendibilità. Come controllo dell'integrità, l'avvio attendibile può certificare crittograficamente che la macchina virtuale è stata avviata correttamente. Se il processo ha esito negativo, probabilmente perché la macchina virtuale esegue un componente non autorizzato, Microsoft Defender for Cloud genera avvisi di integrità. Gli avvisi includono i dettagli sui componenti che non sono riusciti a superare i controlli di integrità.

Sicurezza basata su virtualizzazione

La sicurezza basata su virtualizzazione usa l'hypervisor per creare un'area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità e exploit dannosi. L'avvio attendibile consente di abilitare HVCI (Hypervisor Code Integrity) e Windows Defender Credential Guard.

HVCI è una potente mitigazione del sistema che protegge i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell'esecuzione, impedendo il caricamento in memoria dei file non firmati. Ciò garantisce che tale codice eseguibile non possa essere modificato una volta che è consentito il caricamento. Per altre informazioni sulla sicurezza basata su virtualizzazione e HVCI, vedere Virtualization Based Security (VBS) e Hypervisor Enforced Code Integrity (HVCI) .For more information about VBS and HVCI, see Virtualization Based Security (VBS) and Hypervisor Enforced Code Integrity (HVCI).

Con l'avvio attendibile e la sicurezza basata su virtualizzazione è possibile abilitare Windows Defender Credential Guard. Questa funzionalità isola e protegge i segreti in modo che solo il software di sistema con privilegi possa accedervi. Consente di impedire l'accesso non autorizzato a segreti e attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash (PtH). Per altre informazioni, vedere Credential Guard.

Integrazione di Microsoft Defender per il cloud

L'avvio attendibile è integrato con Azure Defender for Cloud per assicurarsi che le macchine virtuali siano configurate correttamente. Azure Defender for Cloud valuterà continuamente le macchine virtuali compatibili ed emetterà raccomandazioni pertinenti.

  • Raccomandazione per abilitare l'avvio sicuro : questa raccomandazione si applica solo per le macchine virtuali che supportano l'avvio attendibile. Azure Defender for Cloud identificherà le macchine virtuali che possono abilitare l'avvio sicuro, ma l'avvio è disabilitato. Verrà visualizzata una raccomandazione di bassa gravità per abilitarla.
  • Raccomandazione per abilitare vTPM : se la macchina virtuale ha abilitato vTPM, Azure Defender for Cloud può usarla per eseguire l'attestazione guest e identificare i modelli di minaccia avanzati. Se Azure Defender per Cloud identifica le macchine virtuali che supportano l'avvio attendibile e hanno disabilitato vTPM, verrà visualizzata una raccomandazione di bassa gravità per abilitarla.
  • Raccomandazione per installare l'estensione di attestazione guest : se la macchina virtuale dispone di avvio sicuro e vTPM abilitata, ma non dispone dell'estensione di attestazione guest installata, Azure Defender for Cloud emetterà una raccomandazione di gravità bassa per installare l'estensione di attestazione guest. Questa estensione consente ad Azure Defender per Cloud di attestare in modo proattivo e monitorare l'integrità di avvio delle macchine virtuali. L'integrità dell'avvio viene attestata tramite attestazione remota.
  • Valutazione dell'integrità attestazione o monitoraggio dell'integrità dell'avvio di avvio avvio sicuro e vTPM installato, Azure Defender for Cloud può verificare in remoto che la macchina virtuale sia stata avviata in modo integro. Questo è noto come monitoraggio dell'integrità dell'avvio. Azure Defender for Cloud rilascia una valutazione, che indica lo stato dell'attestazione remota. Attualmente il monitoraggio dell'integrità dell'avvio è supportato per macchine virtuali singole Windows e Linux e per set di scalabilità uniformi.

Se le macchine virtuali sono configurate correttamente con l'avvio attendibile, Microsoft Defender for Cloud può rilevare e avvisare i problemi di integrità delle macchine virtuali.

  • Avviso per l'errore di attestazione della macchina virtuale: Microsoft Defender per Cloud eseguirà periodicamente l'attestazione nelle macchine virtuali. Ciò avviene anche dopo l'avvio della macchina virtuale. Se l'attestazione ha esito negativo, verrà attivato un avviso di gravità media. L'attestazione della macchina virtuale può non riuscire per i motivi seguenti:

    • Le informazioni attestate, che includono un log di avvio, deviano da una baseline attendibile. Ciò può indicare che i moduli non attendibili sono stati caricati e il sistema operativo potrebbe essere compromesso.
    • Impossibile verificare che la citazione di attestazione sia originata dalla vTPM della macchina virtuale attestata. Ciò può indicare che il malware è presente e può intercettare il traffico verso vTPM.

    Nota

    Questo avviso è disponibile per le macchine virtuali con vTPM abilitato e l'estensione Attestazione installata. L'avvio sicuro deve essere abilitato per il passaggio dell'attestazione. L'attestazione avrà esito negativo se l'avvio sicuro è disabilitato. Se è necessario disabilitare l'avvio protetto, è possibile eliminare questo avviso per evitare falsi positivi.

  • Avviso per il modulo Kernel Linux non attendibile: Per l'avvio attendibile con l'avvio sicuro abilitato, è possibile che una macchina virtuale venga avviata anche se un driver kernel ha esito negativo e non è consentito il caricamento. In questo caso, Microsoft Defender per Cloud genererà un avviso di bassa gravità. Anche se non esiste alcuna minaccia immediata, poiché il driver non attendibile non è stato caricato, questi eventi devono essere esaminati. Considerare quanto segue:

    • Quale driver del kernel non è riuscito? Ho familiarità con questo driver e mi aspetta che venga caricato?
    • Questa è la versione esatta del driver che mi aspetta? I file binari del driver sono intatti? Se si tratta di un driver di terze parti, il fornitore ha superato i test di conformità del sistema operativo per ottenere la firma?

Domande frequenti

Domande frequenti sull'avvio attendibile.

Perché usare l'avvio attendibile? Che cos'è la guardia di avvio attendibile contro?

Guardie di avvio attendibili contro kit di avvio, rootkit e malware a livello di kernel. Questi tipi sofisticati di malware vengono eseguiti in modalità kernel e rimangono nascosti dagli utenti. Ad esempio:

  • Rootkit del firmware: questi kit sovrascrivono il firmware del BIOS della macchina virtuale, quindi il rootkit può iniziare prima del sistema operativo.
  • Kit di avvio: questi kit sostituiscono il bootloader del sistema operativo in modo che la macchina virtuale carichi il kit di avvio prima del sistema operativo.
  • Rootkit del kernel: questi kit sostituiscono una parte del kernel del sistema operativo in modo che il rootkit possa iniziare automaticamente quando il sistema operativo viene caricato.
  • Rootkit driver: questi kit fingono di essere uno dei driver attendibili usati dal sistema operativo per comunicare con i componenti della macchina virtuale.

Quali sono le differenze tra l'avvio sicuro e l'avvio misurato?

Nella catena di avvio sicura ogni passaggio del processo di avvio controlla una firma crittografica dei passaggi successivi. Ad esempio, il BIOS verificherà una firma sul caricatore e il caricatore verificherà le firme su tutti gli oggetti kernel caricati e così via. Se uno degli oggetti è compromesso, la firma non corrisponde e la macchina virtuale non verrà avviata. Per altre informazioni, vedere Avvio protetto. L'avvio misurato non arresta il processo di avvio, misura o calcola l'hash degli oggetti successivi nella catena e archivia gli hash nei registri di configurazione della piattaforma (PCR) nella vTPM. I record di avvio misurati vengono usati per il monitoraggio dell'integrità dell'avvio.

Cosa accade quando viene rilevato un errore di integrità?

L'avvio attendibile per le macchine virtuali di Azure viene monitorato per le minacce avanzate. Se tali minacce vengono rilevate, verrà attivato un avviso. Gli avvisi sono disponibili solo se le funzionalità di sicurezza avanzate di Defender per Cloud sono abilitate.

Defender per Cloud esegue periodicamente l'attestazione. Se l'attestazione ha esito negativo, verrà attivato un avviso di gravità media. L'attestazione di avvio attendibile può non riuscire per i motivi seguenti:

L'avvio attendibile per le macchine virtuali di Azure viene monitorato per le minacce avanzate. Se tali minacce vengono rilevate, verrà attivato un avviso. Gli avvisi sono disponibili solo nel livello Standard di Azure Defender for Cloud. Azure Defender per Cloud esegue periodicamente l'attestazione. Se l'attestazione ha esito negativo, verrà attivato un avviso di gravità media. L'attestazione di avvio attendibile può non riuscire per i motivi seguenti:

  • Le informazioni attestate, che includono un log di Trusted Computing Base (TCB), deviano da una baseline attendibile , ad esempio quando è abilitato l'avvio sicuro. Ciò può indicare che i moduli non attendibili sono stati caricati e il sistema operativo potrebbe essere compromesso.
  • Impossibile verificare che la citazione di attestazione sia originata dalla vTPM della macchina virtuale attestata. Ciò può indicare che il malware è presente e può intercettare il traffico verso il TPM.
  • L'estensione di attestazione nella macchina virtuale non risponde. Questo può indicare un attacco denial-of-service da malware o un amministratore del sistema operativo.

Come si confronta l'avvio attendibile con la macchina virtuale schermata Hyper-V?

La macchina virtuale schermata Hyper-V è attualmente disponibile solo in Hyper-V. La macchina virtuale schermata Hyper-V viene in genere distribuita insieme a Guarded Fabric. Un'infrastruttura sorvegliata è costituita da un servizio di sorveglianza host (HGS), uno o più host sorvegliati e un set di macchine virtuali schermate. Le macchine virtuali schermate Hyper-V sono destinate all'uso nelle infrastrutture in cui i dati e lo stato della macchina virtuale devono essere protetti sia dagli amministratori dell'infrastruttura che dal software non attendibile che potrebbero essere in esecuzione negli host Hyper-V. L'avvio attendibile può essere distribuito come macchina virtuale autonoma o set di scalabilità di macchine virtuali in Azure senza distribuzione e gestione aggiuntive di HGS. Tutte le funzionalità di avvio attendibili possono essere abilitate con una semplice modifica nel codice di distribuzione o una casella di controllo nella portale di Azure.

L'avvio attendibile consente ora di creare e condividere immagini tramite Azure Compute Gallery (in precedenza Raccolta immagini condivise). L'origine dell'immagine può essere una macchina virtuale di Azure esistente che è generalizzata o specializzata, un disco gestito esistente o uno snapshot, un disco rigido virtuale o una versione di immagine da un'altra raccolta. Per distribuire una macchina virtuale di avvio attendibile da una versione dell'immagine di Azure Compute Gallery, vedere la macchina virtuale di avvio attendibile.

L'avvio attendibile supporta Backup di Azure?

L'avvio attendibile supporta ora Backup di Azure. Per altre informazioni, vedere Matrice di supporto per il backup di macchine virtuali di Azure.

L'avvio attendibile supporta dischi del sistema operativo temporanei?

L'avvio attendibile supporta dischi del sistema operativo temporanei. Si noti che, durante l'uso di dischi temporanei per macchine virtuali di avvio attendibile, chiavi e segreti generati o bloccati dalla vTPM dopo la creazione della macchina virtuale potrebbero non essere persistenti tra operazioni come la risimaging e gli eventi della piattaforma, ad esempio la guarigione del servizio. Per altre informazioni, vedere Avvio attendibile per dischi del sistema operativo temporanei (anteprima).

Come è possibile trovare dimensioni delle macchine virtuali che supportano l'avvio attendibile?

Vedere l'elenco delle dimensioni delle macchine virtuali di seconda generazione che supportano l'avvio attendibile.

I comandi seguenti possono essere usati per verificare se le dimensioni di una macchina virtuale di seconda generazione non supportano l'avvio attendibile.

CLI

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

PowerShell

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

La risposta sarà simile al modulo seguente. TrustedLaunchDisabled True nell'output indica che le dimensioni della macchina virtuale di seconda generazione non supportano l'avvio attendibile. Se è una dimensione di macchina virtuale di seconda generazione e TrustedLaunchDisabled non fa parte dell'output, implica che l'avvio attendibile sia supportato per le dimensioni della macchina virtuale.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

Che cos'è lo stato guest della macchina virtuale (VMGS)?

Lo stato guest della macchina virtuale (VMGS) è specifico per la macchina virtuale di avvio attendibile. Si tratta di un BLOB gestito da Azure e che contiene i database di firma di avvio sicuri UEFI (Unified Extensible Firmware Interface) e altre informazioni di sicurezza. Il ciclo di vita del BLOB VMGS è associato a quello del disco del sistema operativo.

Passaggi successivi

Distribuire una macchina virtuale di avvio attendibile.