次の方法で共有

トラステッド起動を有効にして仮想マシンをデプロイする

  • [アーティクル]

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット。

トラステッド起動は、第 2 世代の仮想マシン (VM) のセキュリティを強化する手段です。 トラステッド起動を、仮想トラステッド プラットフォーム モジュール (vTPM) やセキュア ブートのようなインフラストラクチャのテクノロジと組み合わせて、高度で永続的な攻撃手法から保護します。

前提条件

  • まだ行っていない場合は、サブスクリプションを Microsoft Defender for Cloud にオンボードすることをお勧めします。 Defender for Cloud には Free レベルがあり、Azure とハイブリッドのさまざまなリソースについての有益な分析情報が得られます。 Defender for Cloud がない場合、トラステッド起動 VM のユーザーは、VM のブート整合性を監視できません。

  • Azure Policy のイニシアティブをサブスクリプションに割り当てます。 ポリシーのイニシアティブは、サブスクリプションごとに 1 回だけ割り当てる必要があります。 ポリシーは、サポートされているすべての VM に必要なすべての拡張機能を自動的にインストールしながら、トラステッド起動 VM のデプロイと監査に役立ちます。

    • トラステッド起動 VM の組み込みのポリシー イニシアティブを構成します。
    • トラステッド起動が有効な VM でゲスト構成証明を有効にするための前提条件を構成します。
    • Azure Monitor と Azure セキュリティ エージェントを VM に自動的にインストールするようにマシンを構成します。

  • ネットワーク セキュリティ グループのアウトバウンド規則でサービス タグ AzureAttestation を許可して、Azure Attestation のトラフィックを許可します。 詳細については、「仮想ネットワーク サービス タグ」を参照してください。

  • ファイアウォール ポリシーで *.attest.azure.net へのアクセスが許可されていることを確認します。

Note

Linux イメージを使っていて、VM のカーネル ドライバーが署名されていない、または Linux ディストリビューション ベンダーによって署名されていないと思われる場合は、セキュア ブートをオフにすることを検討してください。 Azure portal では、[Security type] パラメーターに [トラステッド起動の仮想マシン] が選択された [仮想マシンの作成] ページで、[セキュリティ機能の構成] を選んで、[セキュア ブートを有効にする] チェックボックスをオフにします。 Azure CLI、PowerShell、または SDK では、セキュア ブート パラメーターを false に設定します。

トラステッド起動 VM をデプロイする

トラステッド起動を有効にして VM を作成します。 次のオプションの 1 つを選択します。

  1. Azure Portal にサインインします。

  2. 仮想マシン」を検索します。

  3. [サービス] で、 [仮想マシン] を選択します。

  4. [仮想マシン] ページで、[追加] を選んでから、[仮想マシン] を選びます。

  5. [プロジェクトの詳細] で、正しいサブスクリプションが選択されていることを確認します。

  6. [リソース グループ] で、 [新規作成] を選択します。 リソース グループの名前を入力するか、ドロップダウン リストから既存のリソース グループを選びます。

  7. [インスタンスの詳細] で、VM の名前を入力し、トラステッド起動がサポートされているリージョンを選びます。

  8. [セキュリティの種類] で、[トラステッド起動の仮想マシン] を選びます。 オプション [セキュア ブート][vTPM][整合性の監視] が表示されたら、デプロイに適したオプションを選びます。 詳しくは、トラステッド起動が有効なセキュリティ機能に関する記事をご覧ください。

    トラステッド起動のオプションを示すスクリーンショット。

  9. [イメージ] で、[[トラステッド起動] と互換性のある、推奨される Gen 2 イメージ] からイメージを選びます。 一覧については、トラステッド起動に関する記事をご覧ください。

    ヒント

    ドロップダウン リストに目的の Gen2 バージョンのイメージが表示されない場合は、[すべてのイメージを表示] を選びます。 次に、[セキュリティの種類] フィルターを [トラステッド起動] に変更します。

  10. トラステッド起動がサポートされている VM サイズを選びます。 詳しくは、サポートされているサイズの一覧を参照してください。

  11. [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。

  12. ページの下部にある [確認と作成] を選びます。

  13. [仮想マシンの作成] ページでは、デプロイしようとしている VM の情報を確認できます。 検証結果が合格と表示されたら、[作成] を選びます。

トラステッド起動のオプションが含まれる検証ページを示すスクリーンショット。

VM がデプロイされるまでに数分かかります。

Azure トラステッド起動 VM は、Azure Compute Gallery を使ったカスタム イメージの作成と共有をサポートしています。 イメージのセキュリティの種類に基づいて、2 種類のイメージを作成できます。

トラステッド起動 VM でサポートされているイメージ

次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunchsupported に設定する必要があります。

  • Gen2 オペレーティング システム (OS) ディスク VHD
  • Gen2 マネージド イメージ
  • Gen2 ギャラリー イメージ バージョン

VM ゲストの状態情報をイメージ ソースに含めることはできません。

結果のイメージ バージョンを使って、Azure Gen2 VM またはトラステッド起動 VM を作成できます。

これらのイメージは、Azure Compute Gallery – 直接共有ギャラリーAzure Compute Gallery - コミュニティ ギャラリーを使って共有できます。

Note

OS ディスク VHD、マネージド イメージ、またはギャラリー イメージ バージョンは、トラステッド起動 VM と互換性のある Gen2 イメージから作成する必要があります。

  1. Azure portal にサインインします。
  2. 検索バーで "VM イメージ バージョン" を検索して選びます。
  3. [VM イメージ バージョン] ページで、[作成] を選びます。
  4. [VM イメージ バージョンの作成] ページの [基本] タブで、次のようにします。
    1. Azure サブスクリプションを選択します。
    2. 既存のリソース グループを選択するか、新しいリソース グループを作成します。
    3. Azure リージョンを選択します。
    4. イメージのバージョン番号を入力します。
    5. [ソース] で、[ストレージ BLOB (VHD)] または [マネージド イメージ]、または別の [VM イメージ バージョン] を選びます。
    6. [Storage Blobs (VHD)] (ストレージ BLOB (VHD)) を選んだ場合は、OS ディスク VHD (VM ゲスト状態なし) を入力します。 Gen2 VHD を使っていることを確認します。
    7. [マネージド イメージ] を選んだ場合は、Gen2 VM の既存のマネージド イメージを選びます。
    8. [VM イメージ バージョン] を選んだ場合は、Gen2 VM の既存のギャラリー イメージ バージョンを選びます。
    9. [ターゲット Azure コンピュート ギャラリー] で、イメージを共有するギャラリーを選ぶか作成します。
    10. [オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。 ソースとしてマネージド イメージを使っている場合は、常に [一般化] を選びます。 ストレージ BLOB (VHD) を使っていて、[一般化] を選びたい場合は、続ける前に、手順に従って Linux VHD を一般化するか、、Windows VHD を一般化します。 既存の VM イメージ バージョンを使っている場合は、ソース VM イメージの定義で使われているものに基づいて [一般] または [特殊化] を選びます。
    11. [ターゲット VM イメージ定義] で、[新規作成] を選びます。
    12. [VM イメージ定義の作成] ペインで、定義の名前を入力します。 [セキュリティの種類] が [トラステッド起動がサポートされています] に設定されていることを確認します。 発行元、オファー、SKU の情報を入力します。 [OK] をクリックします。
  5. 必要に応じて、[レプリケーション] タブで、イメージ レプリケーションのレプリカ数とターゲット リージョンを入力します。
  6. [暗号化] タブで、必要に応じて SSE 暗号化関連の情報を入力します。
  7. [確認および作成] を選択します。
  8. 構成を確認して問題がなければ、[作成] を選んでイメージの作成を完了します。
  9. イメージ バージョンが作成されたら、[VM の作成] を選びます。
  10. [仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選びます。 リソース グループの名前を入力するか、ドロップダウン リストから既存のリソース グループを選びます。
  11. [インスタンスの詳細] で、VM の名前を入力し、トラステッド起動がサポートされているリージョンを選びます。
  12. [セキュリティの種類] で、[トラステッド起動の仮想マシン] を選びます。 [セキュア ブート][vTPM] のチェックボックスは、既定で有効になっています。
  13. [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
  14. 検証ページで、VM の詳細を確認します。
  15. 検証で問題がなければ、[作成] を選んで VM の作成を完了します。

トラステッド起動 VM イメージ

次のイメージ ソースの場合、イメージ定義でセキュリティの種類が TrustedLaunch に設定されている必要があります。

  • トラステッド起動 VM のキャプチャ
  • マネージド OS ディスク
  • マネージド OS ディスク スナップショット

結果のイメージ バージョンを使って、Azure トラステッド起動 VM のみを作成できます。

  1. Azure Portal にサインインします。
  2. VM から Azure Compute Gallery イメージを作成するには、既存のトラステッド起動 VM を開いて、[キャプチャ] を選びます。
  3. [イメージの作成] ページで、イメージが VM イメージ バージョンとしてギャラリーに共有されるのを許可します。 マネージド イメージの作成は、トラステッド起動 VM ではサポートされていません。
  4. 新しいターゲットの Azure Compute Gallery を作成するか、既存のギャラリーを選択します。
  5. [オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、このオプションを選ぶ前に、必ず VM を一般化してマシン固有の情報を削除します。 トラステッド起動 Windows VM で Bitlocker ベースの暗号化が有効になっている場合、同じものを一般化できない可能性があります。
  6. 名前、発行元、オファー、SKU の詳細を指定して、新しいイメージ定義を作成します。 イメージ定義の [セキュリティの種類] は、既に [トラステッド起動] に設定されている必要があります。
  7. イメージのバージョンについて、バージョン番号を指定します。
  8. 必要に応じてレプリケーション オプションを変更します。
  9. [イメージの作成] ページの下部にある [確認tと作成] を選びます。 検証結果が合格と表示されたら、[作成] を選びます。
  10. イメージ バージョンが作成されたら、そのイメージ バージョンに直接移動します。 または、イメージ定義から、必要なイメージ バージョンに移動できます。
  11. [VM イメージ バージョン] ページで [+ VM の作成] を選んで、[仮想マシンの作成] ページに移動します。
  12. [仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選びます。 リソース グループの名前を入力するか、ドロップダウン リストから既存のリソース グループを選びます。
  13. [インスタンスの詳細] で、VM の名前を入力し、トラステッド起動がサポートされているリージョンを選びます。
  14. イメージとセキュリティの種類は、選択したイメージのバージョンに基づいて既に設定されています。 [セキュア ブート][vTPM] のチェックボックスは、既定で有効になっています。
  15. [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
  16. ページの下部にある [確認と作成] を選びます。
  17. 検証ページで、VM の詳細を確認します。
  18. 検証で問題がなければ、[作成] を選んで VM の作成を完了します。

イメージ バージョンのソースとして (トラステッド起動 VM の代わりに) マネージド ディスクまたはマネージド ディスク スナップショットを使う場合は、次の手順のようにして行います。

  1. Azure portal にサインインします。
  2. [VM イメージ バージョン] を検索して [作成] を選びます。
  3. サブスクリプション、リソース グループ、リージョン、イメージ バージョン番号を指定します。
  4. ソースとして [ディスクやスナップショット] を選びます。
  5. OS ディスクとしてドロップダウン リストからマネージド ディスクまたはマネージド ディスク スナップショットを選びます。
  6. イメージを作成および共有するための [ターゲット Azure Compute Gallery] を選択します。 ギャラリーが存在しない場合は、新しいギャラリーを作成します。
  7. [オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、ディスクまたはスナップショットを一般化してマシン固有の情報を削除するようにしてください。
  8. [ターゲット VM イメージ定義] で、[新規作成] を選びます。 開いたウィンドウで、イメージ定義の名前を選び、[セキュリティの種類][トラステッド起動] に設定されていることを確認します。 発行元、オファー、SKU の情報を指定して、[OK] を選びます。
  9. 必要に応じて、[レプリケーション] タブを使用して、イメージ レプリケーションのレプリカ数とターゲット リージョンを設定できます。
  10. 必要な場合は、[暗号化] タブを使って SSE 暗号化関連の情報を指定することもできます。
  11. [確認と作成] タブで [作成] を選んでイメージを作成します。
  12. イメージ バージョンが正常に作成された後、[+ VM の作成] を選んで [仮想マシンの作成] ページに移動します。
  13. 前に説明したステップ 12 から 18 に従い、このイメージ バージョンを使ってトラステッド起動 VM を作成します。

トラステッド起動の組み込みポリシー

ユーザーがトラステッド起動を採用できるよう、Azure ポリシーを使って、リソース所有者がトラステッド起動を採用するのを支援できます。 主な目的は、トラステッド起動対応の第 1 世代と第 2 世代の VM の変換を支援することです。

"仮想マシンでトラステッド起動が有効になっている必要がある" という単一のポリシーは、現在 VM でトラステッド起動のセキュリティ構成が有効になっているかどうかをチェックします。 "トラステッド起動でサポートされているディスクと OS" ポリシーは、以前に作成された VM に、トラステッド起動 VM をデプロイするための有効な第 2 世代 OS と VM サイズがあるかどうかをチェックします。

これら 2 つのポリシーは、トラステッド起動ポリシー イニシアティブを作成するために付属しています。 このイニシアティブを使うと、関連する複数のポリシー定義をグループ化して、トラステッド起動構成を含めるための割り当てと管理リソースを簡略化できます。

詳細を確認し、デプロイを開始するには、トラステッド起動組み込みポリシーに関するページを参照してください。

設定を確認または更新する

トラステッド起動を有効にして作成された VM の場合は、Azure portal で VM の [概要] ページに移動して、トラステッド起動の構成を見ることができます。 [プロパティ] タブには、トラステッド起動機能の状態が表示されます。

VM のトラステッド起動のプロパティを示すスクリーンショット。

トラステッド起動の構成を変更するには、左側のメニューの [設定][構成] を選びます。 [セキュリティの種類] セクションでは、[セキュア ブート][vTPM][整合性の監視] を有効または無効にできます。 済んだら、ページの上部で [保存] を選びます。

トラステッド起動の設定を変更するためのチェック ボックスを示すスクリーンショット。

VM が実行中である場合、VM が再起動されるというメッセージが表示されます。 [はい] を選んだ後、VM が再起動されて変更が有効になるまで待ちます。

関連するコンテンツ

トラステッド起動ブート整合性の監視 の VM の詳細を確認します。