신뢰할 수 있는 시작을 사용하도록 설정된 VM 배포

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합

신뢰할 수 있는 시작은 2세대 VM의 보안을 개선하는 방법입니다. 신뢰할 수 있는 시작은 vTPM 및 보안 부팅 등의 인프라 기술을 결합하여 고급 및 지속적인 공격 기법을 방지합니다.

필수 조건

• 구독이 아직 없는 경우 클라우드용 Microsoft Defender에 구독을 등록해야 합니다. 클라우드용 Microsoft Defender에는 다양한 Azure 및 하이브리드 리소스에 대한 매우 유용한 인사이트를 제공하는 무료 계층이 있습니다. 신뢰할 수 있는 시작은 클라우드용 Defender를 활용하여 VM 상태에 관한 여러 권장 사항을 표시합니다.

• 구독에 Azure 정책 이니셔티브를 할당합니다. 이러한 정책 이니셔티브는 구독당 한 번만 할당하면 됩니다. 그러면 지원되는 모든 VM에 필요한 모든 확장이 자동으로 설치됩니다.

  • 신뢰할 수 있는 시작 지원 VM에서 게스트 증명을 사용하도록 필수 구성 요소를 구성합니다.

  • 가상 머신에 Azure Monitor 및 Azure Security 에이전트를 자동으로 설치하도록 머신을 구성합니다.

• Microsoft Azure Attestation에 대한 트래픽을 허용하려면 NSG 아웃바운드 규칙에서 서비스 태그 AzureAttestation을 허용합니다. 가상 네트워크 서비스 태그를 참조하세요.

• 방화벽 정책이 *.attest.azure.net에 대한 액세스를 허용하는지 확인합니다.

참고 항목

Linux 이미지를 사용 중이고 VM에 Linux 배포판 공급업체에서 서명하지 않았거나 서명하지 않은 커널 드라이버가 있을 것으로 예상되는 경우 보안 부팅을 해제하는 것이 좋습니다. Azure Portal에서 ‘신뢰할 수 있는 시작 Virtual Machines’가 선택된 ‘보안 유형’ 매개 변수의 ‘가상 머신 만들기’ 페이지에서 ‘보안 기능 구성’을 클릭하고 ‘보안 부팅 사용’ 확인란의 선택을 취소합니다. CLI, PowerShell 또는 SDK에서 보안 부팅 매개 변수를 false로 설정합니다.

신뢰할 수 있는 시작 VM 배포

신뢰할 수 있는 시작이 사용하도록 설정된 가상 머신을 만듭니다. 아래 옵션을 선택합니다.

포털

1. Azure Portal에 로그인합니다.
2. Virtual Machines를 검색합니다.
3. 서비스에서 가상 머신을 선택합니다.
4. 가상 머신 페이지에서 추가를 선택한 다음, 가상 머신을 선택합니다.
5. 프로젝트 세부 정보에서 올바른 구독이 선택되어 있는지 확인합니다.
6. 리소스 그룹에서 새로 만들기를 선택하고 리소스 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 리소스 그룹을 선택합니다.
7. 인스턴스 세부 정보에서 가상 머신 이름에 대한 이름을 입력하고 신뢰할 수 있는 시작을 지원하는 지역을 선택합니다.
8. 보안 유형에 대해 신뢰할 수 있는 시작 가상 머신을 선택합니다. 이렇게 하면 보안 부팅, vTPM, 무결성 모니터링의 세 가지 옵션이 더 표시됩니다. 배포에 적합한 옵션을 선택합니다. 신뢰할 수 있는 시작 사용 보안 기능에 대해 자세히 알아보세요.
9. 이미지 아래에 신뢰할 수 있는 시작과 호환되는 권장 Gen 2 이미지에서 이미지를 선택합니다. 목록을 보려면 신뢰할 수 있는 시작을 참조하세요.

   팁

   드롭다운에 원하는 이미지의 Gen 2 버전이 표시되지 않으면 모든 이미지 보기를 선택한 다음, 보안 유형 필터를 신뢰할 수 있는 시작으로 변경합니다.

10. 신뢰할 수 있는 시작을 지원하는 VM 크기를 선택합니다. 지원되는 크기 목록을 참조하세요.
11. 관리자 계정 정보를 입력한 다음, 인바운드 포트 규칙을 입력합니다.
12. 페이지의 아래쪽에서 검토 + 생성을 선택합니다.
13. 가상 머신 만들기 페이지에서 배포하려는 VM의 세부 정보를 볼 수 있습니다. 유효성 검사가 통과된 것으로 표시되면 만들기를 선택합니다.

VM 배포에는 몇 분 정도 걸립니다.

CLI

최신 버전의 Azure CLI를 실행하고 있는지 확인합니다.

az login를 사용하여 Azure에 로그인합니다.

az login 

신뢰할 수 있는 시작을 통해 가상 머신을 만듭니다.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

기존 VM의 경우 보안 부팅 및 vTPM 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다. 보안 부팅 및 vTPM 설정으로 가상 머신을 업데이트하면 자동 재부팅이 트리거됩니다.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

게스트 증명 확장을 통해 부팅 무결성 모니터링을 설치하는 방법에 대한 자세한 내용은 부팅 무결성을 참조하세요.

PowerShell

신뢰할 수 있는 시작을 통해 VM을 프로비전하려면 먼저 Set-AzVmSecurityProfile cmdlet을 사용하여 TrustedLaunch에서 사용하도록 설정해야 합니다. 그런 다음, Set-AzVmUefi cmdlet을 사용하여 vTPM 및 SecureBoot 구성을 설정할 수 있습니다. 아래 코드 조각을 빠른 시작으로 사용하고 이 예제의 값을 사용자 고유의 값으로 바꿔야 합니다.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

템플릿

빠른 시작 템플릿을 사용하여 신뢰할 수 있는 시작 VM을 배포할 수 있습니다.

Linux

Windows

Azure Compute Gallery 이미지에서 신뢰할 수 있는 시작 VM 배포

Azure 신뢰할 수 있는 시작 가상 머신은 Azure Compute Gallery를 사용하여 사용자 지정 이미지를 만들고 공유할 수 있습니다. 이미지의 보안 유형에 따라 만들 수 있는 두 가지 유형의 이미지가 있습니다.

• 권장신뢰할 수 있는 시작 VM 지원(TrustedLaunchSupported) 이미지는 원본에 VM 게스트 상태 정보가 없고 2세대 VM 또는 신뢰할 수 있는 시작 VM을 만드는 데 사용할 수 있는 이미지입니다.
• 신뢰할 수 있는 시작 VM(TrustedLaunch) 이미지는 원본에 일반적으로 VM 게스트 상태 정보가 있고 신뢰할 수 있는 시작 VM을 만드는 데만 사용할 수 있는 이미지입니다.

신뢰할 수 있는 시작 VM 지원 이미지

다음 이미지 원본의 경우 이미지 정의의 보안 유형을 TrustedLaunchsupported로 설정해야 합니다.

• Gen2 OS 디스크 VHD
• Gen2 관리되는 이미지
• Gen2 갤러리 이미지 버전

VM 게스트 상태 정보는 이미지 원본에 포함되지 않습니다.

결과 이미지 버전을 사용하여 Azure Gen2 VM 또는 신뢰할 수 있는 시작 VM을 만들 수 있습니다.

이러한 이미지는 Azure Compute Gallery - 직접 공유 갤러리 및 Azure Compute Gallery - 커뮤니티 갤러리를 사용하여 공유할 수 있습니다.

참고 항목

OS 디스크 VHD, 관리형 이미지 또는 갤러리 이미지 버전은 신뢰할 수 있는 시작 VM과 호환되는 Gen2 이미지에서 만들어야 합니다.

포털

1. Azure Portal에 로그인합니다.
2. 검색 창에서 VM 이미지 버전을 검색 및 선택합니다.
3. VM 이미지 버전 페이지에서 만들기를 선택합니다.
4. VM 이미지 버전 만들기 페이지의 기본 사항 탭에서 다음을 수행합니다
   1. Azure 구독을 선택합니다.
   2. 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.
   3. Azure 지역을 선택합니다.
   4. 이미지 버전 번호를 입력합니다.
   5. 원본의 경우 스토리지 Blob(VHD) 또는 관리형 이미지 또는 다른 VM 이미지 버전을 선택합니다.
   6. VHD(Storage Blob)를 선택한 경우 VM 게스트 상태 없이 OS 디스크 VHD를 입력합니다. Gen 2 VHD를 사용해야 합니다.
   7. 관리형 이미지를 선택한 경우 Gen 2 VM의 기존 관리 이미지를 선택합니다.
   8. VM 이미지 버전을 선택한 경우 Gen2 VM의 기존 갤러리 이미지 버전을 선택합니다.
   9. 대상 Azure 컴퓨팅 갤러리의 경우 이미지를 공유할 갤러리를 선택하거나 만듭니다.
   10. 운영 체제 상태의 경우 사용 사례에 따라 일반화 또는 특수화를 선택합니다. 관리되는 이미지를 원본으로 사용하는 경우 항상 일반화를 선택합니다. VHD(스토리지 Blob)를 사용하고 일반화를 선택하려는 경우 계속하기 전에 Linux VHD를 일반화 하거나 Windows VHD를 일반화하는 단계를 수행합니다. 기존 VM 이미지 버전을 사용하는 경우 원본 VM 이미지 정의에 사용되는 내용에 따라 일반화 또는 특수화를 선택합니다.
   11. 대상 VM 이미지 정의에서 새로 만들기를 선택합니다.
   12. VM 이미지 정의 만들기 창에서 정의의 이름을 입력합니다. 보안 유형이 Trustedlaunch 지원으로 설정되어 있는지 확인합니다. 게시자, 제품 및 SKU 정보를 입력합니다. 그런 다음, 확인을 선택합니다.
5. 필요한 경우 복제 탭을 사용하여 이미지 복제에 대한 복제본 수와 대상 지역을 입력합니다.
6. 필요한 경우 암호화 탭에서 SSE 암호화 관련 정보를 입력합니다.
7. 검토 + 생성를 선택합니다.
8. 구성의 유효성을 성공적으로 검사한 후 만들기를 선택하여 이미지 만들기를 완료합니다.
9. 이미지 버전을 성공적으로 만든 후 VM 만들기를 선택합니다.
10. 가상 머신 만들기 페이지의 리소스 그룹에서 새로 만들기를 선택하고 리소스 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 리소스 그룹을 선택합니다.
11. 인스턴스 세부 정보에서 가상 머신 이름에 대한 이름을 입력하고 신뢰할 수 있는 시작을 지원하는 지역을 선택합니다.
12. 보안 유형으로 신뢰할 수 있는 시작 가상 머신을 선택합니다. 보안 부팅 및 vTPM 확인란은 기본적으로 사용하도록 설정됩니다.
13. 관리자 계정 정보를 입력한 다음, 인바운드 포트 규칙을 입력합니다.
14. 유효성 검사 페이지에서 VM의 세부 정보를 검토합니다.
15. 유효성 검사가 성공하면 만들기 를 선택하여 VM 만들기를 완료합니다.

CLI

최신 버전의 Azure CLI를 실행하고 있는지 확인합니다.

az login를 사용하여 Azure에 로그인합니다.

az login 

TrustedLaunchSupported 보안 유형으로 이미지 정의 만들기

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

OS 디스크 VHD를 사용하여 이미지 버전을 만듭니다. 여기에 설명된 단계를 사용하여 Linux VHD를 Azure Storage 계정 Blob에 업로드하기 전에 일반화했는지 확인합니다.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

위의 이미지 버전에서 신뢰할 수 있는 시작 VM 만들기

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

TrustedLaunchSupported 보안 유형으로 이미지 정의 만들기

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

이미지 버전을 만들려면 만드는 동안 일반화된 기존 Gen2 갤러리 이미지 버전을 사용할 수 있습니다.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

위의 이미지 버전에서 신뢰할 수 있는 시작 VM 만들기

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

신뢰할 수 있는 시작 VM 이미지

다음 이미지 원본의 경우 이미지 정의의 보안 유형을 TrustedLaunch로 설정해야 합니다.

• 신뢰할 수 있는 시작 VM 캡처
• 관리형 OS 디스크
• 관리되는 OS 디스크 스냅샷

결과 이미지 버전은 Azure 신뢰할 수 있는 시작 VM을 만드는 데만 사용할 수 있습니다.

포털

1. Azure Portal에 로그인합니다.
2. VM에서 Azure Compute Gallery 이미지를 만들려면 기존의 신뢰할 수 있는 시작 VM을 열고 캡처를 선택합니다.
3. 다음 이미지 만들기 페이지에서 이미지를 갤러리에 VM 이미지 버전으로 공유하도록 허용합니다. 관리되는 이미지 만들기는 신뢰할 수 있는 시작 VM에서 지원되지 않습니다.
4. 새 대상 Azure Compute Gallery를 만들거나 기존 갤러리를 선택합니다.
5. 운영 체제 상태를 일반화 또는 특수화로 선택합니다. 일반화된 이미지를 만들려면 이 옵션을 선택하기 전에 머신 관련 정보를 제거하도록 VM을 일반화해야 합니다. 신뢰할 수 있는 시작 Windows VM에서 Bitlocker 기반 암호화를 사용하도록 설정한 경우 동일한 항목을 일반화하지 못할 수 있습니다.
6. 이름, 게시자, 제품 및 SKU 세부 정보를 제공하여 새 이미지 정의를 만듭니다. 이미지 정의의 보안 유형은 이미 신뢰할 수 있는 시작으로 설정되어 있어야 합니다.
7. 이미지 버전에 대한 버전 번호를 제공합니다.
8. 필요한 경우 복제 옵션을 수정합니다.
9. 이미지 만들기 페이지의 맨 아래에서 검토 + 만들기를 선택하고 유효성 검사가 통과된 것으로 표시되면 만들기를 선택합니다.
10. 이미지 버전이 만들어지면 이미지 버전으로 직접 이동합니다. 또는 이미지 정의를 통해 필요한 이미지 버전으로 이동할 수 있습니다.
11. VM 이미지 버전 페이지에서 + VM 만들기를 선택하여 가상 머신 만들기 페이지에 배치합니다.
12. 가상 머신 만들기 페이지의 리소스 그룹에서 새로 만들기를 선택하고 리소스 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 리소스 그룹을 선택합니다.
13. 인스턴스 세부 정보에서 가상 머신 이름에 대한 이름을 입력하고 신뢰할 수 있는 시작을 지원하는 지역을 선택합니다.
14. 이미지 및 보안 유형은 선택한 이미지 버전에 따라 이미 채워져 있습니다. 보안 부팅 및 vTPM 확인란은 기본적으로 사용하도록 설정됩니다.
15. 관리자 계정 정보를 입력한 다음, 인바운드 포트 규칙을 입력합니다.
16. 페이지의 아래쪽에서 검토 + 생성을 선택합니다.
17. 유효성 검사 페이지에서 VM의 세부 정보를 검토합니다.
18. 유효성 검사가 성공하면 만들기 를 선택하여 VM 만들기를 완료합니다.

관리 디스크 또는 관리 디스크 스냅샷을 이미지 버전의 원본으로 사용하려는 경우(신뢰할 수 있는 시작 VM 대신) 다음 단계를 사용합니다.

1. 포털에 로그인
2. VM 이미지 버전을 검색하고 만들기를 선택합니다.
3. 구독, 리소스 그룹, 지역 및 이미지 버전 번호 제공
4. 원본을 디스크 및/또는 스냅샷으로 선택
5. 드롭다운 목록에서 OS 디스크를 관리 디스크 또는 관리 디스크 스냅샷으로 선택
6. 대상 Azure Compute Gallery를 선택하여 이미지를 만들고 공유합니다. 갤러리가 없으면 새 갤러리를 만듭니다.
7. 운영 체제 상태를 일반화 또는 특수화로 선택합니다. 일반화된 이미지를 만들려면 디스크 또는 스냅샷을 일반화하여 머신 관련 정보를 제거해야 합니다.
8. 대상 VM 이미지 정의에 대해 새로 만들기를 선택합니다. 열리는 창에서 이미지 정의 이름을 선택하고 보안 유형이 신뢰할 수 있는 시작으로 설정되어 있는지 확인합니다. 게시자, 제품 및 SKU 정보를 제공하고 확인을 선택합니다.
9. 필요한 경우 복제 탭을 사용하여 이미지 복제에 대한 복제본 수와 대상 지역을 설정할 수 있습니다.
10. 필요한 경우 암호화 탭을 사용하여 SSE 암호화 관련 정보를 제공할 수도 있습니다.
11. 검토 + 만들기 탭에서 만들기를 선택하여 이미지를 만듭니다.
12. 이미지 버전이 성공적으로 만들어지면 + VM 만들기를 선택하여 가상 머신 만들기 페이지에 배치합니다.
13. 이 이미지 버전을 사용하여 신뢰할 수 있는 시작 VM을 만들려면 앞에서 설명한 대로 12~18단계를 수행하세요.

CLI

최신 버전의 Azure CLI를 실행하고 있는지 확인합니다.

az login를 사용하여 Azure에 로그인합니다.

az login 

TrustedLaunch 보안 유형으로 이미지 정의 만들기

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

이미지 버전을 만들려면 기존 Linux 기반 신뢰할 수 있는 시작 VM을 캡처하면 됩니다. 이미지 버전을 만들기 전에 신뢰할 수 있는 시작 VM을 일반화합니다.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

관리 디스크 또는 관리 디스크 스냅샷을 이미지 버전의 이미지 원본으로 사용해야 하는 경우 위의 명령에서 --managed-image를 --os-snapshot으로 바꾸고 디스크 또는 스냅샷 리소스 이름을 제공합니다.

위의 이미지 버전에서 신뢰할 수 있는 시작 VM 만들기

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

TrustedLaunch 보안 유형으로 이미지 정의 만들기

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

이미지 버전을 만들려면 기존 Windows 기반 신뢰할 수 있는 시작 VM을 캡처하면 됩니다. 이미지 버전을 만들기 전에 신뢰할 수 있는 시작 VM을 일반화합니다.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

위의 이미지 버전에서 신뢰할 수 있는 시작 VM 만들기

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

설정 확인 또는 업데이트

신뢰할 수 있는 시작을 사용하도록 설정된 VM의 경우 Azure Portal에서 VM에 대한 개요 페이지를 방문하여 신뢰할 수 있는 시작 구성을 볼 수 있습니다. 속성 탭에는 신뢰할 수 있는 시작 기능의 상태가 표시됩니다.

신뢰할 수 있는 시작 구성을 변경하려면 왼쪽 메뉴의 설정 섹션에서 구성을 선택합니다. 보안 유형 섹션에서 보안 부팅, vTPM, 무결성 모니터링을 사용하거나 사용하지 않도록 설정할 수 있습니다. 완료되면 페이지 맨 위에 있는 저장을 선택합니다.

VM이 실행 중인 경우 VM이 다시 시작된다는 메시지가 표시됩니다. 변경 내용을 적용하려면 예를 선택한 다음, VM이 다시 시작될 때까지 기다립니다.

다음 단계

신뢰할 수 있는 시작 및 부팅 무결성 모니터링 VM에 대해 자세히 알아봅니다.