トラステッド起動に関する FAQ

[アーティクル]
02/02/2024

注意

この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。適宜、使用と計画を検討してください。詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。

トラステッド起動に関してよく寄せられる質問。機能のユースケース、Azure の他の機能のサポート、一般的なエラーの修正。

ユースケース

なぜトラステッド起動を使用する必要があるのですか? トラステッド起動によって何から保護されるのですか?

トラステッド起動により、ブートキット、ルートキット、カーネルレベルのマルウェから保護されます。これらの高度な種類のマルウェアはカーネルモードで動作し、ユーザーからは見えない状態のままです。次に例を示します。

ファームウェアルートキット: これらのキットによって仮想マシンの BIOS のファームウェアが上書きされるので、OS より前にルートキットが起動できるようになります。
ブートキット: 仮想マシンによって OS より前にブートキットが読み込まれるように、これらのキットによって OS のブートローダーが置き換えられます。
カーネルルートキット: これらのキットによって OS カーネルの一部が置き換えられ、OS の読み込み時にルートキットが自動的に開始できるようになります。
ドライバールートキット: これらのキットは、OS によって仮想マシンのコンポーネントと通信するために使用される信頼されたドライバーの 1 つとして扱われます。

トラステッド起動は、Hyper-V シールドされた VM とどのように違いますか?

Hyper-V シールドされた VM は、現在、Hyper-V でのみ使用できます。 Hyper-V シールドされた VM は、通常、保護されたファブリックと共にデプロイされます。保護されたファブリックは、ホストガーディアンサービス (HGS)、1 つ以上の保護されたホスト、シールドされた VM のセットで構成されます。 Hyper-V シールドされた VM は、仮想マシンのデータと状態をさまざまなアクターから保護する必要があるファブリックで使われます。これらのアクターは、ファブリック管理者と、Hyper-V ホストで実行される可能性がある信頼されていないソフトウェアの両方です。一方、トラステッド起動は、HGS の他のデプロイと管理を追加せずに、スタンドアロン仮想マシンまたは Virtual Machine Scale Sets として Azure にデプロイできます。トラステッド起動のすべての機能は、デプロイコードの簡単な変更、または Azure portal のチェックボックスで有効にすることができます。

VM の新しいデプロイでトラステッド起動を無効にすることはできますか?

トラステッド起動 VM は、基本的なコンピューティングセキュリティを提供します。デプロイに次への依存関係がある場合を除き、新しい VM/VMSS デプロイでトラステッド起動を無効にしないことをお勧めします。

値に Standard を設定した securityType パラメーターを使用して、Azure PowerShell (v10.3.0 以降) と CLI (v2.53.0 以降) を使用した新しい VM/VMSS デプロイでトラステッド起動を無効にすることができます

CLI
PowerShell

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

$adminUsername = <USER NAME>
$adminPassword = <PASSWORD> | ConvertTo-SecureString -AsPlainText -Force
$vmCred = New-Object System.Management.Automation.PSCredential($adminUsername, $adminPassword)
New-AzVM -Name MyVm -Credential $vmCred -SecurityType Standard

トラステッド起動 VM のセキュアブートオプションを無効にすることはできますか?

セキュアブートは既定では有効になっていませんが、カスタム署名されていないカーネルまたはドライバーを使用していない場合は、有効にすることをお勧めします。トラステッド起動とセキュアブートオプションを有効にして VM を作成したら、[VM] の [設定] タブで [構成] に移動し、[セキュアブートを有効にする] オプションの選択を解除できます。

サポートされている機能とデプロイ

Azure Compute Gallery はトラステッド起動でサポートされていますか?

トラステッド起動で、Azure Compute Gallery (以前の Shared Image Gallery) を使用してイメージを作成および共有できるようになりました。イメージのソースには以下を指定できます。

一般化または特殊化された既存の Azure VM、または
既存のマネージドディスクまたはスナップショット、または
VHD または別のギャラリーのイメージバージョン。

Azure Compute Gallery を使用したトラステッド起動 VM のデプロイの詳細については、「トラステッド起動の VM をデプロイする」を参照してください。

Azure Backup はトラステッド起動でサポートされていますか?

Azure Backup はトラステッド起動によってサポートされるようになっています。詳細については、「Azure VM バックアップのサポートマトリックス」を参照してください。

トラステッド起動を有効にした後も Azure Backup は引き続き機能しますか?

拡張ポリシーで構成されたバックアップは、トラステッド起動を有効にした後も引き続き VM のバックアップを作成します。

エフェメラル OS ディスクはトラステッド起動でサポートされていますか?

トラステッド起動ではエフェメラル OS ディスクがサポートされます。詳細については、「エフェメラル OS ディスクでのトラステッド起動」を参照してください。

Note

ただし、トラステッド起動 VM 用にエフェメラルディスクを使用するとき、VM の作成後に vTPM によって生成または封印されたキーとシークレットは、再イメージ化のような操作や、サービス復旧などのプラットフォームイベントの後は保存されない可能性があります。

トラステッド起動を有効にする前に作成されたバックアップを使って仮想マシンを復元できますか?

既存の第 2 世代 VM をトラステッド起動にアップグレードする前に作成されたバックアップを使用して、仮想マシン全体または個々のデータディスクを復元できます。 OS ディスクのみの復元または置換に使うことはできません。

トラステッド起動をサポートしている VM サイズは、どうすれば確認できますか?

トラステッド起動をサポートする第 2 世代 VM のサイズの一覧を参照してください。

次のコマンドを使うと、第 2 世代 VM のサイズでトラステッド起動がサポートされていないかどうかを確認できます。

CLI
PowerShell

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

応答は次のような形式になります。出力の TrustedLaunchDisabled True は、その第 2 世代 VM のサイズでトラステッド起動がサポートされていないことを示します。第 2 世代 VM のサイズで、出力に TrustedLaunchDisabled が含まれていない場合、その VM のサイズではトラステッド起動がサポートされていることを意味します。

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

OS イメージでトラステッド起動がサポートされていることを確認するにはどうすればよいですか?

トラステッド起動でサポートされている OS バージョンの一覧を参照してください。

Marketplace OS イメージ

次のコマンドを使用すると、Marketplace OS イメージでトラステッド起動がサポートされているかどうかを確認できます。

CLI
PowerShell

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

応答は次のような形式になります。 hyperVGenerationv2 と SecurityType が TrustedLaunch 出力に含まれている場合は、第 2 世代 OS イメージがトラステッド起動をサポートしていることを示します。

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/westus/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "westus",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

Get-AzVMImage -Skus 22_04-lts-gen2 -PublisherName Canonical -Offer 0001-com-ubuntu-server-jammy -Location westus3 -Version latest

このコマンドの出力は、Virtual Machines - Get API で使用できます。応答は次のような形式になります。 hyperVGenerationv2 と SecurityType が TrustedLaunch 出力に含まれている場合は、第 2 世代 OS イメージがトラステッド起動をサポートしていることを示します。

{
    "properties": {
        "hyperVGeneration": "V2",
        "architecture": "x64",
        "replicaType": "Managed",
        "replicaCount": 10,
        "disallowed": {
            "vmDiskType": "Unmanaged"
        },
        "automaticOSUpgradeProperties": {
            "automaticOSUpgradeSupported": false
        },
        "imageDeprecationStatus": {
            "imageState": "Active"
        },
        "features": [
            {
                "name": "SecurityType",
                "value": "TrustedLaunchSupported"
            },
            {
                "name": "IsAcceleratedNetworkSupported",
                "value": "True"
            },
            {
                "name": "DiskControllerTypes",
                "value": "SCSI, NVMe"
            },
            {
                "name": "IsHibernateSupported",
                "value": "True"
            }
        ],
        "osDiskImage": {
            "operatingSystem": "Linux",
            "sizeInGb": 30
        },
        "dataDiskImages": []
    },
    "location": "WestUS3",
    "name": "22.04.202309080",
    "id": "/Subscriptions/00000000-0000-0000-0000-000000000000/Providers/Microsoft.Compute/Locations/WestUS3/Publishers/Canonical/ArtifactTypes/VMImage/Offers/0001-com-ubuntu-server-jammy/Skus/22_04-lts-gen2/Versions/22.04.202309080"
}

Azure Compute Gallery の OS イメージ

次のコマンドを使用すると、Azure Compute Gallery OS イメージでトラステッド起動がサポートされているかどうかを確認できます。

CLI
PowerShell

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "westus3",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

Get-AzGalleryImageDefinition -ResourceGroupName myImageGalleryRg `
    -GalleryName myImageGallery -GalleryImageDefinitionName myImageDefinition

ResourceGroupName : myImageGalleryRg
OsType            : Windows
OsState           : Generalized
HyperVGeneration  : V2
Identifier        :
  Publisher       : myImageDefinition
  Offer           : myImageDefinition
  Sku             : myImageDefinition
Recommended       :
  VCPUs           :
    Min           : 1
    Max           : 16
  Memory          :
    Min           : 1
    Max           : 32
ProvisioningState : Succeeded
Id                : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name              : myImageDefinition
Type              : Microsoft.Compute/galleries/images
Location          : westus3
Tags              : {}
Features[0]       :
  Name            : SecurityType
  Value           : TrustedLaunchSupported
Architecture      : x64

外部通信ドライバーはトラステッド起動 VM とどのように連携しますか?

COM ポートを追加するには、セキュアブートを無効にする必要があります。そのため、トラステッド起動 VM では COM ポートが既定で無効になっています。

電源状態

機能固有の状態、ブートの種類、一般的なブートの問題。

VM ゲスト状態 (VMGS) とは

VM ゲスト状態 (VMGS) は、トラステッド起動 VM に固有です。これは Azure によって管理される BLOB であり、Unified Extensible Firmware Interface (UEFI) のセキュアブート署名データベースと他のセキュリティ情報が含まれています。 VMGS BLOB のライフサイクルは、OS ディスクのライフサイクルに関連付けされています。

セキュアブートとメジャーブートの違いは何ですか?

セキュアブートチェーンでは、ブートプロセスの各ステップにおいて、後続の手順である暗号化署名が確認されます。たとえば、BIOS によってローダーの署名が確認され、ローダーによって読み込まれるすべてのカーネルオブジェクトの署名が確認されます。いずれかのオブジェクトが侵害されている場合は、署名が一致せず、VM は起動しません。詳細については、「セキュアブート」を参照してください。メジャーブートの場合、ブートプロセスは停止されず、チェーン内の次のオブジェクトのハッシュが測定または計算されて、vTPM 上のプラットフォーム構成レジスタ (PCR) にハッシュが格納されます。ブートの整合性の監視には、メジャーブートレコードが使用されます。

トラステッド起動仮想マシンが正しく起動しないのはなぜですか?

UEFI (ゲストファームウェア)、ブートローダー、オペレーティングシステム、またはブートドライバーから署名されていないコンポーネントが検出された場合、トラステッド起動仮想マシンは起動しません。ブートプロセスの間に、署名されていない、または信頼されていないブートコンポーネントが検出された場合、トラステッド起動仮想マシンのセキュアブートの設定は起動に失敗し、セキュアブートエラーとして報告されます。

セキュアブートからサードパーティ製ドライバーまでのトラステッド起動パイプライン

Note

Azure Marketplace イメージから直接作成されたトラステッド起動仮想マシンでは、セキュアブートエラーは発生しないはずです。 Marketplace の元のイメージソースを含む Azure Compute Gallery イメージと、トラステッド起動 VM から作成されたスナップショットでも、これらのエラーは発生しないはずです。

Azure portal でブートなしのシナリオを確認するにはどうすればよいですか?

セキュアブートエラーによって仮想マシンが使用できなくなった場合、"ブートなし" とは、信頼されている機関によって署名されたオペレーティングシステムコンポーネントが仮想マシンにあり、それがトラステッド起動 VM の起動をブロックしていることを意味します。 VM のデプロイ時に、セキュアブートでの検証エラーがあることを示す情報が、Azure portal 内の Resource Health から表示される場合があります。

仮想マシンの構成ページから Resource Health にアクセスするには、[ヘルプ] パネルの [Resource Health] に移動します。

Resource Health 画面で示されている [推奨される手順] に従います。手順には、仮想マシンのブート診断からのスクリーンショットとダウンロード可能なシリアルログが含まれています。

"ブートなし" の原因がセキュアブートエラーであったことを確認した場合:

使っているイメージは、信頼されていないブートコンポーネントが 1 つ以上存在する可能性があり、非推奨パスに含まれる、古いバージョンです。古くなったイメージを修正するには、サポートされている新しいイメージバージョンに更新します。
使っているイメージが、Marketplace ソースの外部でビルドされている可能性、またはブートコンポーネントが変更されて、署名されていない、または信頼されていないブートコンポーネントを含んでいる可能性があります。イメージに署名されていない、または信頼されていないブートコンポーネントがあるかどうかを確認するには、「セキュアブートエラーの確認」を参照してください。
上の 2 つのシナリオが当てはまらない場合は、仮想マシンがマルウェア (ブートキットやルートキット) に感染している可能性があります。仮想マシンを削除し、インストールされているすべてのソフトウェアを評価しながら、同じソースイメージから新しい VM を再作成することを検討してください。

セキュアブートエラーの確認

Linux 仮想マシン

エンドユーザーが、Azure Linux 仮想マシン内でのセキュアブートエラーの原因であるブートコンポーネントを調べるには、Linux セキュリティパッケージの SBInfo ツールを使用できます。

セキュアブートをオフにする
Azure Linux トラステッド起動仮想マシンに接続します。
お使いの仮想マシンで実行されているディストリビューション用の SBInfo ツールをインストールします。これは Linux セキュリティパッケージ内にあります

これらのコマンドは、Ubuntu、Debian、その他の Debian ベースのディストリビューションに適用されます。

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

これらのコマンドは、RHEL、CentOS、その他の Red Hat ベースのディストリビューションに適用されます。

echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo

sudo yum install azure-security

これらのコマンドは、SLES、openSUSE、その他の SUSE ベースのディストリビューションに適用されます。

sudo zypper ar -t rpm-md -n "packages-microsoft-com-azurecore" --no-gpgcheck https://packages.microsoft.com/yumrepos/azurecore/ azurecore

sudo zypper install azure-security

お使いのディストリビューション用の Linux セキュリティパッケージをインストールした後、"sbinfo" コマンドを実行して、署名されていないモジュール、カーネル、ブートローダーをすべて表示し、セキュアブートエラーの原因になっているブートコンポーネントを確認します。

sudo sbinfo -u -m -k -b

SBInfo 診断ツールの詳細については、"sudo sbinfo -help" を実行してください。

ブート整合性監視エラーが発生するのはなぜですか?

Azure Virtual Machines 用のトラステッド起動は、高度な脅威について監視されます。そのような脅威が検出されると、アラートがトリガーされます。アラートが使用できるのは、Defender for Cloud の拡張セキュリティ機能が有効になっている場合のみです。

Microsoft Defender for Cloud によって構成証明が定期的に実行されます。構成証明が失敗した場合、中程度の重大度のアラートがトリガーされます。トラステッド起動の構成証明は、次の理由により失敗する可能性があります。

構成証明の対象の情報 (トラステッドコンピューティングベース (TCB) のログを含む) が、信頼されたベースライン (セキュアブートが有効になっている場合など) から逸脱している。何らかの逸脱がある場合、信頼されていないモジュールが読み込まれ、OS が侵害されている可能性があることを示します。
構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できなかった。この検証エラーは、マルウェアが存在し、TPM へのトラフィックを傍受している可能性があることを示します。
VM 上の構成証明拡張機能が応答していない。拡張機能の応答停止は、マルウェアまたは OS 管理者によるサービス拒否攻撃を示している可能性があります。

証明書

ユーザーがトラステッド起動 VM を使って信頼のルートを確立するには、どうすればよいですか?

仮想 TPM AK パブリック証明書を使うと、ユーザーは、完全な証明書チェーン (ルート証明書と中間証明書) に関する情報を見ることができ、証明書とルートチェーンの信頼を検証するのに役立ちます。トラステッド起動コンシューマーが最高のセキュリティ態勢を維持し続けられるよう、それによってインスタンスのプロパティに関する情報が提供されるため、ユーザーは完全なチェーンをさかのぼることができます。

ダウンロード手順

.p7b (完全な証明機関) と .cer (中間 CA) の侵害されたパッケージ証明書で、署名と証明機関が明らかになります。関連する内容をコピーし、証明書ツールを使って、証明書の詳細を検査および評価します。

こちらを選択して、Azure 仮想 TPM ルート証明機関 2023 用の .crt を下からダウンロードしてください

Azure 仮想 TPM ルート証明機関 2023

こちらを選択すると、.p7b の内容が表示されます

グローバル仮想 TPM CA - 01:

こちらを選択すると、ルート証明書の .cert の内容が表示されます