Vertrouwde start inschakelen op bestaande Azure-VM's

Van toepassing op: ✔️ Virtuele Linux-machine van windows-VM ✔️ ✔️ generatie 2

Azure Virtual Machines biedt ondersteuning voor het inschakelen van vertrouwde lancering op bestaande Virtuele Azure-machines van generatie 2 door een upgrade uit te voeren naar het beveiligingstype Vertrouwde lancering .

Vertrouwde lancering is een manier om basisbeveiliging voor rekenkracht in te schakelen op virtuele Azure-machines van de tweede generatie. Vertrouwde lancering beschermt uw virtuele machines tegen geavanceerde en permanente aanvalstechnieken, zoals opstartkits en rootkits, door infrastructuurtechnologieën zoals Beveiligd opstarten, vTPM en Bewaking van opstartintegriteit op uw VIRTUELE machine te combineren.

Belangrijk

• Als deze functie is ingeschakeld voor vm van de tweede generatie, moet versleuteling aan de serverzijde met door de klant beheerde sleutels (SSE-CMK) worden uitgeschakeld voordat u een upgrade voor vertrouwde start uitvoert. SSE-CMK-versleuteling moet na voltooiing van de upgrade voor vertrouwde lancering opnieuw worden ingeschakeld.
• Ondersteuning voor het inschakelen van vertrouwde lancering op bestaande virtuele Azure-machines van de 1e generatie bevindt zich momenteel in de beperkte preview-versie. U kunt toegang krijgen tot preview met behulp van de registratiekoppeling https://aka.ms/Gen1ToTLUpgrade.
• Het inschakelen van vertrouwde start op bestaande virtuele-machineschaalsets van Azure (VMSS) Uniform & Flex wordt momenteel niet ondersteund.

Vereisten

• Azure Generation 2 VM('s) is geconfigureerd met:
  • Familie met ondersteunde grootten van vertrouwde lancering
  • Vertrouwde opstartinstallatiekopieën van het besturingssysteem. Voor aangepaste installatiekopieën van het besturingssysteem of schijven moet de basisinstallatiekopieën vertrouwd worden gestart.
• Azure Generation 2 VM('s) maakt momenteel geen gebruik van functies die momenteel niet worden ondersteund met vertrouwde start.
• Azure Generation 2 VM('s) moeten worden gestopt en de toewijzing ervan ongedaan worden gemaakt voordat u het beveiligingstype Vertrouwde start inschakelt.
• Azure Backup indien ingeschakeld voor VM('s) moet worden geconfigureerd met uitgebreid back-upbeleid. Het beveiligingstype Vertrouwde start kan niet worden ingeschakeld voor VM('s van de tweede generatie) die zijn geconfigureerd met standaardbeleidsback-upbeveiliging .
  • Bestaande Back-up van Virtuele Azure-machines kan worden gemigreerd van Standard naar Uitgebreid beleid met behulp van de privé-preview-migratiefunctie. Verzend een aanvraag voor onboarding om een voorbeeld te bekijken met behulp van de koppeling https://aka.ms/formBackupPolicyMigration.

Aanbevolen procedures

• Schakel vertrouwd starten in op een test-VM van de tweede generatie en zorg ervoor dat er wijzigingen nodig zijn om te voldoen aan de vereisten voordat vertrouwde lancering wordt ingeschakeld op vm's van de tweede generatie die zijn gekoppeld aan productieworkloads.
• Maak een herstelpunt voor Azure Generation 2 VM('s) die zijn gekoppeld aan productieworkloads voordat u het beveiligingstype Vertrouwde lancering inschakelt. U kunt het herstelpunt gebruiken om de schijven en generatie 2-VM opnieuw te maken met de vorige bekende status.

Vertrouwde start inschakelen op bestaande VM

Notitie

• Nadat vertrouwde start is ingeschakeld, kunnen virtuele machines momenteel niet worden teruggedraaid naar het beveiligingstype Standard (niet-vertrouwde startconfiguratie).
• vTPM is standaard ingeschakeld.
• Beveiligd opstarten wordt aanbevolen om in te schakelen (niet standaard ingeschakeld) als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor vm's.

Portal

In deze sectie wordt stapsgewijs uitgelegd hoe u Azure Portal gebruikt om vertrouwd starten in te schakelen op een bestaande Virtuele Machine van de Tweede generatie van Azure.

1. Aanmelden bij Azure Portal
2. Controleer of het genereren van virtuele machines V2 is en vm stoppen.

3. Selecteer Standard onder Beveiligingstype op de pagina Overzicht in VM-eigenschappen. Hiermee navigeert u naar de configuratiepagina voor vm's.

4. Selecteer de vervolgkeuzelijst Beveiligingstype onder de sectie Beveiligingstype van de pagina Configuratie.

5. Selecteer Vertrouwd starten onder vervolgkeuzelijst en schakel selectievakjes in om Beveiligd opstarten en vTPM in te schakelen. Klik op Opslaan nadat u de vereiste wijzigingen hebt aangebracht.

Notitie

• Vm's van de tweede generatie die zijn gemaakt met behulp van De Azure Compute Gallery (ACG), beheerde installatiekopieën, kunnen niet worden bijgewerkt naar vertrouwde start met behulp van de portal. Zorg ervoor dat de versie van het besturingssysteem wordt ondersteund voor vertrouwd starten en PowerShell, CLI of ARM-sjabloon gebruiken om een upgrade uit te voeren.

6. Sluit de pagina Configuratie zodra de update is voltooid en valideer beveiligingstype onder VM-eigenschappen op de overzichtspagina .

7. Start de bijgewerkte vertrouwde start-VM en zorg ervoor dat deze is gestart en controleer of u zich kunt aanmelden bij de VM met behulp van RDP (voor Windows-VM) of SSH (voor Linux-VM).

CLI

In deze sectie wordt stapsgewijs uitgelegd hoe u de Azure CLI gebruikt om vertrouwd starten in te schakelen op een bestaande virtuele Azure-machine van generatie 2.

Zorg ervoor dat u de nieuwste Azure CLI hebt geïnstalleerd en bent aangemeld bij een Azure-account met az login.

1. Aanmelden bij Azure-abonnement

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Toewijzing van VM ongedaan maken

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Vertrouwde start inschakelen door in te stellen --security-type op TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. De uitvoer van de vorige opdracht valideren . securityProfile configuratie wordt geretourneerd met opdrachtuitvoer.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Start de VIRTUELE machine.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Start de bijgewerkte vertrouwde start-VM en zorg ervoor dat deze is gestart en controleer of u zich kunt aanmelden bij de VM met behulp van RDP (voor Windows-VM) of SSH (voor Linux-VM).

Powershell

In deze sectie wordt stapsgewijs uitgelegd hoe u Azure PowerShell gebruikt om vertrouwd starten in te schakelen op een bestaande virtuele Azure-machine van de tweede generatie.

Zorg ervoor dat u de nieuwste Azure PowerShell hebt geïnstalleerd en bent aangemeld bij een Azure-account met Verbinding maken-AzAccount.

1. Aanmelden bij Azure-abonnement

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Toewijzing van VM ongedaan maken

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Vertrouwde start inschakelen door in te stellen --security-type op TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ValiderensecurityProfile in bijgewerkte VM-configuratie.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Start de VIRTUELE machine.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Start de bijgewerkte vertrouwde start-VM en zorg ervoor dat deze is gestart en controleer of u zich kunt aanmelden bij de VM met behulp van RDP (voor Windows-VM) of SSH (voor Linux-VM).

Sjabloon

In deze sectie wordt stapsgewijs uitgelegd hoe u een ARM-sjabloon gebruikt om vertrouwd starten in te schakelen op een bestaande virtuele Azure-machine van generatie 2.

Een Azure Resource Manager-sjabloon is een JSON-bestand (JavaScript Object Notation) dat de infrastructuur en configuratie voor uw project definieert. Voor de sjabloon is declaratieve syntaxis vereist. U beschrijft de beoogde implementatie zonder de reeks programmeeropdrachten te schrijven om de implementatie te maken.

1. Bekijk de sjabloon.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Bewerk het json-parameterbestand met virtuele machines die moeten worden bijgewerkt met TrustedLaunch het beveiligingstype.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definitie van parameterbestand

Eigenschappen	Beschrijving van eigenschap	Voorbeeldwaarde van sjabloon
vmName	Naam van virtuele Azure-machine van de tweede generatie	"myVm"
locatie	Locatie van Azure Generation 2 VM	"westus3"
secureBootEnabled	Beveiligd opstarten inschakelen met het beveiligingstype Vertrouwde start	true

3. Maak de toewijzing van alle Azure Generation 2-VM('s) ongedaan die moeten worden bijgewerkt.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Voer de implementatie van de ARM-sjabloon uit.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Controleer of de implementatie is geslaagd. Controleer op het beveiligingstype en de UEFI-instellingen van de VIRTUELE machine met behulp van Azure Portal. Controleer de sectie Beveiligingstype op de pagina Overzicht.

6. Start de bijgewerkte vertrouwde start-VM en zorg ervoor dat deze is gestart en controleer of u zich kunt aanmelden bij de VM met behulp van RDP (voor Windows-VM) of SSH (voor Linux-VM).

Volgende stappen

(Aanbevolen) Na upgrades kunt u bewaking van opstartintegriteit inschakelen om de status van de VIRTUELE machine te bewaken met behulp van Microsoft Defender voor Cloud.

Meer informatie over vertrouwd starten en veelgestelde vragen bekijken