Azure Virtual Machines のトラステッド起動
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
Azure からは、第 2 世代の VM のセキュリティを向上させるためのシームレスな方法として、トラステッド起動が提供されています。 トラステッド起動により、高度で永続的な攻撃手法から保護されます。 トラステッド起動は、個別に有効にできる、複数の連携するインフラストラクチャ テクノロジで構成されています。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。
重要
- トラステッド起動は、新規作成する Azure VM の既定の状態として選択されます。 新しい VM で、トラステッド起動でサポートされていない機能が必要な場合は、「トラステッド起動に関する FAQ」を参照してください
- 既存の Azure 第 2 世代 VM は、作成後にトラステッド起動を有効にできます。 詳細については、「既存の VM でトラステッド起動を有効にする」を参照してください
- 最初にトラステッド起動を使用せずに作成された既存の仮想マシン スケール セット (VMSS) では、トラステッド起動を有効にできません。 トラステッド起動を使用するには、新しい VMSS を作成する必要があります。
メリット
- 検証済みのブート ローダー、OS カーネル、ドライバーを使用して、仮想マシンが安全にデプロイされます。
- 仮想マシン内のキー、証明書、シークレットが安全に保護されます。
- ブート チェーン全体の整合性に関する分析情報と信頼が得られます。
- ワークロードを信頼できて検証可能であることが保証されます。
仮想マシンのサイズ
| Type | サポートされているサイズ ファミリ | 現在サポートされていないサイズ ファミリ | サポートされていないサイズ ファミリ |
|---|---|---|---|
| 汎用 | B シリーズ、DCsv2 シリーズ、DCsv3 シリーズ、DCdsv3 シリーズ、Dv4- シリーズ、Dsv4 シリーズ、Dsv3 シリーズ、Dsv2 シリーズ、Dav4 シリーズ、Dasv4 シリーズ、Ddv4 シリーズ、Ddsv4 シリーズ、Dv5 シリーズ、Dsv5 シリーズ、Ddv5 シリーズ、Ddsv5 シリーズ、Dasv5 シリーズ、Dadsv5 シリーズ、Dlsv5 シリーズ、Dldsv5 シリーズ | Dpsv5 シリーズ、Dpdsv5 シリーズ、Dplsv5 シリーズ、Dpldsv5 シリーズ | Av2 シリーズ、Dv2 シリーズ、Dv3 シリーズ |
| コンピューティングの最適化 | FX シリーズ、Fsv2 シリーズ | サポートされているすべてのサイズ。 | |
| メモリの最適化 | Dsv2 シリーズ、Esv3 シリーズ、Ev4 シリーズ、Esv4 シリーズ、Edv4 シリーズ、Edsv4 シリーズ、Eav4 シリーズ、Easv4 シリーズ、Easv5 シリーズ、Eadsv5 シリーズ、Ebsv5 シリーズ、Ebdsv5 シリーズ、Edv5 シリーズ、Edsv5 シリーズ | Epsv5 シリーズ、Epdsv5 シリーズ、M シリーズ、Msv2 シリーズ、Mdsv2 ミディアム メモリ シリーズ、Mv2 シリーズ | Ev3 シリーズ |
| ストレージ最適化 | Lsv2 シリーズ、Lsv3 シリーズ、Lasv3 シリーズ | サポートされているすべてのサイズ。 | |
| GPU | NCv2 シリーズ、NCv3 シリーズ、NCasT4_v3 シリーズ、NVv3 シリーズ、NVv4 シリーズ、NDv2 シリーズ、NC_A100_v4 シリーズ、NVadsA10 v5 シリーズ | NDasrA100_v4 シリーズ、NDm_A100_v4 シリーズ | NC シリーズ、NV シリーズ、NP シリーズ |
| ハイ パフォーマンス コンピューティング | HB シリーズ、HBv2 シリーズ、HBv3 シリーズ、HBv4 シリーズ、HC シリーズ、HX シリーズ | サポートされているすべてのサイズ。 |
Note
- セキュア ブートが有効な Windows VM への CUDA & GRID ドライバーのインストールでは、追加の手順は必要ありません。
- セキュア ブートが有効な Ubuntu VM に CUDA ドライバーをインストールするには、「Linux を実行している N シリーズ VM に NVIDIA GPU ドライバーをインストールする」に記載されている追加の手順が必要です。 他の Linux VM に CUDA ドライバーをインストールするには、セキュア ブートを無効にする必要があります。
- Linux VM では、GRID ドライバーをインストールするには、セキュア ブートを無効にする必要があります。
- サポートされていないサイズ ファミリでは、第 2 世代 VM はサポートされていません。 トラステッド起動を有効にするために、VM サイズを同等のサポートされるサイズ ファミリに変更します。
サポートされているオペレーティング システム
| OS | Version |
|---|---|
| Alma Linux | 8.7、8.8、9.0 |
| Azure Linux | 1.0、2.0 |
| Debian | 11、12 |
| Oracle Linux | 8.3、8.4、8.5、8.6、8.7、8.8 LVM、9.0、9.1 LVM |
| RedHat Enterprise Linux | 8.4、8.5、8.6、8.7、8.8、9.0、9.1 LVM、9.2 |
| SUSE Enterprise Linux | 15SP3、15SP4、15SP5 |
| Ubuntu Server | 18.04 LTS、20.04 LTS、22.04 LTS、23.04、23.10 |
| Windows 10 | Pro、Enterprise、Enterprise マルチセッション * |
| Windows 11 | Pro、Enterprise、Enterprise マルチセッション * |
| Windows Server | 2016、2019、2022 * |
| Window Server (Azure Edition) | 2022 |
* このオペレーティング システムのバリエーションがサポートされています。
関連情報
[地域]:
- すべてのパブリック リージョン
- すべての Azure Government リージョン
- すべての Azure China リージョン
価格: トラステッド起動によって既存の VM の価格コストが増えることはありません。
サポートされていない機能
Note
次の仮想マシン機能は、現在、トラステッド起動ではサポートされていません。
- Azure Site Recovery
- マネージド イメージ (お客様には、Azure Compute Gallery を使うことをお勧めします)
- 入れ子になった仮想化 (v5 VM のほとんどのサイズ ファミリはサポートされています)
セキュア ブート
トラステッド起動の中核を成すのは、VM のためのセキュア ブートです。 プラットフォームのファームウェアに実装されているセキュア ブートにより、マルウェアベースのルートキットやブート キットがインストールされるのを防ぎます。 セキュア ブートの動作により、署名されたオペレーティング システムとドライバーだけでが起動できることが保証されます。 それにより、VM 上のソフトウェア スタックに対する "信頼のルート" が確立されます。 セキュア ブートが有効になっている場合、すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) で、信頼できる発行元の署名が必要です。 セキュア ブートは、Windows と一部の Linux ディストリビューションの両方でサポートされています。 信頼できる発行元によってイメージが署名されていることをセキュア ブートで認証できない場合、VM は起動に失敗します。 詳細については、「セキュア ブート」を参照してください。
vTPM
トラステッド起動では、Azure VM 用の vTPM も導入されています。 vTPM は、TPM2.0 仕様に準拠した、ハードウェアのトラステッド プラットフォーム モジュールの仮想化バージョンです。キーと測定のためのセキュリティで保護された専用のコンテナーとして機能します。 トラステッド起動から VM には、どの VM からも到達できないセキュリティ保護された環境で実行されている、独自の専用 TPM インスタンスが提供されます。 vTPM により、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) を測定することで、構成証明が有効になります。
トラステッド起動により、vTPM を使用して、クラウド経由でリモート構成証明が実行されます。 構成証明を使用すると、プラットフォームの正常性チェックと、信頼ベースの決定を行うことができます。 正常性チェックとして、トラステッド起動により、VM が正常に起動したことを暗号によって認定できます。 プロセスが失敗した場合、承認されていないコンポーネントが VM で実行されていることが原因の可能性があり、Microsoft Defender for Cloud によって整合性アラートが発行されます。 そのアラートには、整合性チェックに合格しなかったコンポーネントの詳細が含まれます。
仮想化ベースのセキュリティ
仮想化ベースのセキュリティ (VBS) により、ハイパーバイザーを使用して、セキュリティで保護され、分離されたメモリ領域が作成されます。 Windows により、これらの領域を使用して、脆弱性や悪用に対する保護が強化されたさまざまなセキュリティ ソリューションが実行されます。 トラステッド起動を使用すると、Hypervisor Code Integrity (HVCI) と Windows Defender Credential Guard を有効にすることができます。
HVCI は、悪意のある、または検証されていないコードの注入や実行から Windows カーネル モード プロセスを保護する、システムの強力な軽減策です。 実行前にカーネル モードのドライバーとバイナリがチェックされ、署名されていないファイルがメモリに読み込まれるのを防ぎます。 チェックにより、実行可能コードを、読み込みを許可した後で変更きないようにします。 VBS と HVCI の詳細については、「仮想化ベースのセキュリティ (VBS) と Hypervisor Enforced Code Integrity (HVCI)」を参照してください。
トラステッド起動と VBS を使用すると、Windows Defender Credential Guard を有効にすることができます。 Credential Guard によってシークレットが分離されて保護されることで、特権のあるシステム ソフトウェアのみがそれらにアクセスできるようになります。 これは、Pass-the-Hash (PtH) 攻撃など、シークレットや資格情報の盗難攻撃に対する不正アクセスを防ぐのに役立ちます。 詳細については、Credential Guard に関する記事を参照してください。
Microsoft Defender for Cloud の統合
トラステッド起動は、VM が正しく構成されるようにするために、Microsoft Defender for Cloud と統合されています。 Microsoft Defender for Cloud により、互換性のある VM が継続的に評価され、関連する推奨事項が発行されます。
- セキュア ブートの有効化の推奨: - Secure Boot の推奨事項は、トラステッド起動をサポートする VM にのみ適用されます。 セキュア ブートを有効にできるのに無効になっている VM が、Microsoft Defender for Cloud によって特定されます。 それを有効にするように、重大度が低の推奨事項が発行されます。
- vTPM の有効化の推奨 - VM で vTPM が有効になっている場合、Microsoft Defender for Cloud によるゲストの構成証明の実行と、高度な脅威のパターンの特定に、それを使用できます。 Microsoft Defender for Cloud により、トラステッド起動がサポートされていて vTPM が無効になっている VM が特定されると、それを有効にするように、重大度が低の推奨事項が発行されます。
- ゲスト構成証明拡張機能のインストールに関する推奨事項 - VM でセキュア ブートと vTPM が有効になっているが、ゲスト構成証明拡張機能がインストールされていない場合、Microsoft Defender for Cloud によって、ゲスト構成証明拡張機能がインストールするように、重要度が低の推奨事項が発行されます。 この拡張機能を使用すると、Microsoft Defender for Cloud が、VM のブート整合性を事前に証明および監視できます。 ブート整合性がリモート構成証明によって証明されます。
- 構成証明の正常性の評価またはブート整合性の監視 - VM でセキュア ブートと vTPM が有効になっていて、Microsoft Defender for Cloud の構成証明拡張機能がインストールされている場合、VM が正常に起動したことをリモートで検証できます。 これは、ブート整合性の監視と呼ばれます。 Microsoft Defender for Cloud により、リモート構成証明の状態を示す評価が発行されます。
VM がトラステッド起動を使用して適切に設定されている場合、Microsoft Defender for Cloud により VM の正常性の問題を検出してアラートを発行できます。
VM 構成証明の失敗に関するアラート: Microsoft Defender for Cloud により、VM での構成証明が定期的に実行されます。 構成証明は、VM が起動した後にも発生します。 構成証明が失敗した場合、重大度が中のアラートがトリガーされます。 VM の構成証明は、次の理由により失敗する可能性があります。
- 構成証明の対象の情報 (ブート ログを含む) が、信頼されたベースラインから逸脱している。 何らかの逸脱は、信頼されていないモジュールが読み込まれ、OS が侵害される可能性があることを示している可能性があります。
- 構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できなかった。 検証されていないオリジンは、マルウェアが存在し、vTPM へのトラフィックを傍受している可能性があることを示します。
Note
アラートは、vTPM が有効になっていて構成証明拡張機能がインストールされている VM で使用できます。 構成証明を成功させるには、セキュア ブートを有効にする必要があります。 セキュア ブートが無効になっている場合、構成証明は失敗します。 セキュア ブートを無効にする必要がある場合は、このアラートを抑制して擬陽性を回避することができます。
信頼されていない Linux カーネル モジュールのアラート: セキュア ブートが有効になっているトラステッド起動では、カーネル ドライバーが検証に失敗し、読み込みが禁止された場合でも、VM を起動できます。 これが発生すると、Microsoft Defender for Cloud によって、重要度が低のアラートが発行されます。 信頼されていないドライバーが読み込まれいないため、すぐに脅威が発生することはありませんが、これらのイベントは調査する必要があります。
- どのカーネル ドライバーが失敗したか。 このドライバーのことをよく知っていて、それが読み込まれることを期待しているか。
- これは想定しているドライバーの正確なバージョンか。 ドライバー バイナリは完全か。 サード パーティ製のドライバーの場合、ベンダーは OS 準拠テストに合格して署名を取得したか。
次のステップ
トラステッド起動の VM をデプロイします。