Een VIRTUELE machine implementeren waarvoor vertrouwde start is ingeschakeld
Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️
Vertrouwde lancering is een manier om de beveiliging van vm's van de tweede generatie te verbeteren. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken door infrastructuurtechnologieën zoals vTPM en beveiligd opstarten te combineren.
Vereisten
U moet uw abonnement onboarden naar Microsoft Defender voor Cloud als dit nog niet is gebeurd. Microsoft Defender voor Cloud heeft een gratis laag, die zeer nuttige inzichten biedt voor verschillende Azure- en hybride resources. Vertrouwde lancering maakt gebruik van Defender voor Cloud om meerdere aanbevelingen met betrekking tot vm-status weer te geven.
Wijs Initiatieven voor Azure-beleid toe aan uw abonnement. Deze beleidsinitiatieven moeten slechts eenmaal per abonnement worden toegewezen. Hiermee worden automatisch alle vereiste extensies op alle ondersteunde VM's geïnstalleerd.
Configureer vereisten voor het inschakelen van Guest Attestation op vm's met vertrouwde start.
Configureer machines om de Azure Monitor- en Azure Security-agents automatisch op virtuele machines te installeren.
Sta servicetag AzureAttestation toe in uitgaande NSG-regels om verkeer voor Microsoft Azure Attestation toe te staan. Raadpleeg servicetags voor virtueel netwerk.
Zorg ervoor dat het firewallbeleid toegang
*.attest.azure.net
toestaat.
Notitie
Als u een Linux-installatiekopie gebruikt en verwacht dat de VM mogelijk kernelstuurprogramma's heeft die niet zijn ondertekend door de leverancier van de Linux-distributie, kunt u overwegen om beveiligd opstarten uit te schakelen. Klik in Azure Portal op de pagina Een virtuele machine maken voor de parameter Beveiligingstype met Vertrouwde start-VM's geselecteerd, klik op Beveiligingsfuncties configureren en schakel het selectievakje Beveiligd opstarten inschakelen uit. Stel in CLI, PowerShell of SDK de parameter beveiligd opstarten in op false.
Een vertrouwde start-VM implementeren
Maak een virtuele machine waarvoor vertrouwde start is ingeschakeld. Kies hieronder een optie:
- Meld u aan bij de Azure-portal.
- Zoek naar virtuele machines.
- Selecteer virtuele machines onder Services.
- Selecteer Op de pagina Virtuele machines de optie Toevoegen en selecteer vervolgens Virtuele machine.
- Controleer onder Projectdetails of het juiste abonnement is geselecteerd.
- Selecteer onder Resourcegroep Nieuwe maken en typ een naam voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
- Typ onder Instantiedetails een naam voor de naam van de virtuele machine en kies een regio die ondersteuning biedt voor vertrouwde lancering.
- Selecteer voor Beveiligingstype vertrouwde virtuele machines starten. Hierdoor worden er nog drie opties weergegeven: Beveiligd opstarten, vTPM en Integriteitscontrole . Selecteer de juiste opties voor uw implementatie. Meer informatie over beveiligingsfuncties met vertrouwde startmogelijkheden.
- Selecteer onder Afbeelding een afbeelding in de Aanbevolen Gen 2-installatiekopieën die compatibel zijn met vertrouwde lancering. Zie vertrouwde lancering voor een lijst.
Fooi
Als u de Gen 2-versie van de gewenste installatiekopie niet ziet in de vervolgkeuzelijst, selecteert u Alle installatiekopieën weergeven en wijzigt u vervolgens het filter Beveiligingstype in Vertrouwd starten.
- Selecteer een VM-grootte die ondersteuning biedt voor vertrouwde lancering. Bekijk de lijst met ondersteunde grootten.
- Vul de accountgegevens van de Beheer istrator in en voer vervolgens regels voor binnenkomende poorten in.
- Selecteer Onder aan de pagina De optie Controleren + Maken
- Op de pagina Een virtuele machine maken ziet u de details over de VM die u gaat implementeren. Zodra de validatie wordt weergegeven als geslaagd, selecteert u Maken.
Het duurt een paar minuten voor uw virtuele machine is geïmplementeerd.
Een vertrouwde start-VM implementeren vanuit een installatiekopieën van een Azure Compute Gallery
Virtuele machines met vertrouwde lancering van Azure ondersteunen het maken en delen van aangepaste installatiekopieën met behulp van de Azure Compute Gallery. Er zijn twee typen installatiekopieën die u kunt maken, op basis van de beveiligingstypen van de installatiekopieën:
- Aanbevoleninstallatiekopieën voor vertrouwde start-VM's (
TrustedLaunchSupported
) zijn installatiekopieën waarbij de bron geen informatie over de status VM heeft en kan worden gebruikt om vm's van de tweede generatie of vertrouwde start-VM's te maken. - Installatiekopieën van vertrouwde start-VM's (
TrustedLaunch
) zijn installatiekopieën waarbij de bron meestal informatie over de STATUS VM bevat en kan worden gebruikt om alleen VM's met vertrouwde start te maken.
Ondersteunde installatiekopieën van vertrouwde start-VM's
Voor de volgende afbeeldingsbronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld TrustedLaunchsupported
op:
- VHD gen2-besturingssysteemschijf
- Beheerde installatiekopieën van Gen2
- Versie van installatiekopieën van Gen2-galerie
Er worden geen informatie over de gaststatus van de VM opgenomen in de bron van de installatiekopieën.
De resulterende versie van de installatiekopieën kan worden gebruikt om virtuele Azure Gen2-machines of vertrouwde start-VM's te maken.
Deze installatiekopieën kunnen worden gedeeld met behulp van Azure Compute Gallery - Direct Shared Gallery en Azure Compute Gallery - Community Gallery
Notitie
De versie van de VHD van de besturingssysteemschijf, beheerde installatiekopieën of galerieinstallatiekopieën moet worden gemaakt op basis van een Gen2-installatiekopieën die compatibel is met vertrouwde start-VM's.
- Meld u aan bij de Azure-portal.
- Versies van VM-installatiekopieën zoeken en selecteren in de zoekbalk
- Selecteer Maken op de pagina versies van vm-installatiekopieën.
- Ga op het tabblad Basisbeginselen naar de pagina Versie van de VM-installatiekopieën maken:
- Selecteer het Azure-abonnement.
- Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep.
- Selecteer de Azure-regio.
- Voer een versienummer van de installatiekopieën in.
- Selecteer voor bron opslagblobs (VHD) of beheerde installatiekopieën of een andere versie van de VM-installatiekopieën
- Als u Storage Blobs (VHD) hebt geselecteerd, voert u een VHD van de besturingssysteemschijf in (zonder de vm-gaststatus). Zorg ervoor dat u een Gen 2-VHD gebruikt.
- Als u Beheerde installatiekopieën hebt geselecteerd, selecteert u een bestaande beheerde installatiekopieën van een gen 2-VM.
- Als u vm-installatiekopieënversie hebt geselecteerd, selecteert u een bestaande galerie-installatiekopieënversie van een Gen2-VM.
- Voor de Doel-Azure-rekengalerie selecteert of maakt u een galerie om de installatiekopieën te delen.
- Voor de status van het besturingssysteem selecteert u Generalized of Specialized, afhankelijk van uw use-case. Als u een beheerde installatiekopieën als bron gebruikt, selecteert u altijd Gegeneraliseerd. Als u een opslagblob (VHD) gebruikt en gegeneraliseerd wilt selecteren, volgt u de stappen voor het generaliseren van een Linux-VHD of het generaliseren van een Windows-VHD voordat u doorgaat. Als u een bestaande versie van de VM-installatiekopieën gebruikt, selecteert u Gegeneraliseerd of Gespecialiseerd op basis van wat wordt gebruikt in de definitie van de bron-VM-installatiekopieën.
- Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën.
- Voer in het deelvenster Een vm-installatiekopieëndefinitie maken een naam in voor de definitie. Zorg ervoor dat het beveiligingstype is ingesteld op Trustedlaunch Ondersteund. Voer informatie over uitgevers, aanbiedingen en SKU's in. Selecteer vervolgens OK.
- Voer op het tabblad Replicatie het aantal replica's en doelregio's in voor replicatie van installatiekopieën, indien nodig.
- Voer op het tabblad Versleuteling SSE-versleutelingsinformatie in, indien nodig.
- Selecteer Controleren + maken.
- Nadat de configuratie is gevalideerd, selecteert u Maken om het maken van de installatiekopieën te voltooien.
- Nadat de versie van de installatiekopieën is gemaakt, selecteert u Vm maken.
- Selecteer op de pagina Een virtuele machine maken onder Resourcegroep de optie Nieuwe maken en typ een naam voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
- Typ onder Instantiedetails een naam voor de naam van de virtuele machine en kies een regio die ondersteuning biedt voor vertrouwde lancering.
- Selecteer Vertrouwde virtuele machines starten als beveiligingstype. De selectievakjes Beveiligd opstarten en vTPM zijn standaard ingeschakeld.
- Vul de accountgegevens van de Beheer istrator in en voer vervolgens regels voor binnenkomende poorten in.
- Controleer op de validatiepagina de details van de VIRTUELE machine.
- Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.
Vm-installatiekopieën van vertrouwde start
Voor de volgende afbeeldingsbronnen moet het beveiligingstype voor de definitie van de installatiekopie worden ingesteld TrustedLaunch
op:
- Vm-opname met vertrouwde start
- Beheerde OS-schijf
- Momentopname van beheerde besturingssysteemschijf
De resulterende versie van de installatiekopieën kan alleen worden gebruikt voor het maken van azure Trusted Launch-VM's.
- Meld u aan bij de Azure-portal.
- Als u een installatiekopieën van een Azure Compute Gallery wilt maken op basis van een virtuele machine, opent u een bestaande vertrouwde start-VM en selecteert u Capture.
- Op de pagina Een installatiekopieën maken die volgt, staat u toe dat de installatiekopieën als een versie van de VM-installatiekopieën worden gedeeld met de galerie. Het maken van beheerde installatiekopieën wordt niet ondersteund voor VM's met vertrouwde start.
- Maak een nieuwe Doelgalerie van Azure Compute of selecteer een bestaande galerie.
- Selecteer de status van het besturingssysteem als Gegeneraliseerd of Gespecialiseerd. Als u een gegeneraliseerde installatiekopieën wilt maken, moet u ervoor zorgen dat u de VM generaliseert om machinespecifieke informatie te verwijderen voordat u deze optie selecteert. Als Bitlocker-versleuteling is ingeschakeld op uw Vertrouwde windows-VM starten, kunt u mogelijk niet hetzelfde generaliseren.
- Maak een nieuwe installatiekopieëndefinitie door een naam, uitgever, aanbieding en SKU-gegevens op te geven. Het beveiligingstype van de definitie van de installatiekopie moet al zijn ingesteld op Vertrouwd starten.
- Geef een versienummer op voor de versie van de installatiekopieën.
- Wijzig indien nodig replicatieopties.
- Selecteer Onder aan de pagina Een afbeelding maken de optie Controleren + Maken en wanneer de validatie wordt weergegeven als geslaagd, selecteert u Maken.
- Zodra de versie van de installatiekopieën is gemaakt, gaat u rechtstreeks naar de versie van de installatiekopieën. U kunt ook naar de vereiste versie van de installatiekopieën navigeren via de definitie van de installatiekopieën.
- Selecteer op de pagina versie van de VM-installatiekopieën de optie + Vm maken om te landen op de pagina Een virtuele machine maken.
- Selecteer op de pagina Een virtuele machine maken onder Resourcegroep de optie Nieuwe maken en typ een naam voor uw resourcegroep of selecteer een bestaande resourcegroep in de vervolgkeuzelijst.
- Typ onder Instantiedetails een naam voor de naam van de virtuele machine en kies een regio die ondersteuning biedt voor vertrouwde lancering.
- De installatiekopie en het beveiligingstype zijn al ingevuld op basis van de geselecteerde versie van de installatiekopie. De selectievakjes Beveiligd opstarten en vTPM zijn standaard ingeschakeld.
- Vul de accountgegevens van de Beheer istrator in en voer vervolgens regels voor binnenkomende poorten in.
- Selecteer Onder aan de pagina De optie Controleren + Maken
- Controleer op de validatiepagina de details van de VIRTUELE machine.
- Nadat de validatie is voltooid, selecteert u Maken om het maken van de VIRTUELE machine te voltooien.
Als u een beheerde schijf of een momentopname van een beheerde schijf wilt gebruiken als bron van de versie van de installatiekopie (in plaats van een vertrouwde opstart-VM), gebruikt u de volgende stappen
- Aanmelden bij de portal
- Zoek naar VM-installatiekopieën en selecteer Maken
- Geef het abonnement, de resourcegroep, de regio en het versienummer van de installatiekopieën op
- Selecteer de bron als schijven en/of momentopnamen
- Selecteer de besturingssysteemschijf als een beheerde schijf of een momentopname van een beheerde schijf in de vervolgkeuzelijst
- Selecteer een Azure Compute-doelgalerie om de installatiekopieën te maken en te delen. Als er geen galerie bestaat, maakt u een nieuwe galerie.
- Selecteer de status van het besturingssysteem als Gegeneraliseerd of Gespecialiseerd. Als u een gegeneraliseerde installatiekopie wilt maken, moet u ervoor zorgen dat u de schijf of momentopname generaliseert om computerspecifieke informatie te verwijderen.
- Selecteer Nieuwe maken voor de definitie van de doel-VM-installatiekopieën . Selecteer in het venster dat wordt geopend een naam voor de definitie van de installatiekopie en zorg ervoor dat het beveiligingstype is ingesteld op Vertrouwd starten. Geef de informatie over de uitgever, aanbieding en SKU op en selecteer OK.
- Het tabblad Replicatie kan worden gebruikt om het aantal replica's en doelregio's in te stellen voor replicatie van installatiekopieën, indien nodig.
- Het tabblad Versleuteling kan ook worden gebruikt om SSE-versleutelingsgerelateerde informatie op te geven, indien nodig.
- Selecteer Maken op het tabblad Beoordelen en maken om de afbeelding te maken
- Zodra de versie van de installatiekopieën is gemaakt, selecteert u de + Virtuele machine maken om te landen op de pagina Een virtuele machine maken.
- Volg stap 12 tot en met 18 zoals eerder vermeld om een vertrouwde start-VM te maken met behulp van deze installatiekopieënversie
Uw instellingen controleren of bijwerken
Voor VM's die zijn gemaakt met vertrouwde start ingeschakeld, kunt u de configuratie voor vertrouwde start bekijken door naar de overzichtspagina voor de VIRTUELE machine in Azure Portal te gaan. Op het tabblad Eigenschappen ziet u de status van functies voor vertrouwd starten:
Als u de configuratie voor vertrouwde start wilt wijzigen, selecteert u In het linkermenu onder de sectie Instellingen configuratie. U kunt Beveiligd opstarten, vTPM en Integriteitscontrole in- of uitschakelen vanuit de sectie Beveiligingstype . Selecteer Opslaan boven aan de pagina wanneer u klaar bent.
Als de VIRTUELE machine wordt uitgevoerd, ontvangt u een bericht dat de VIRTUELE machine opnieuw wordt opgestart. Selecteer Ja en wacht totdat de virtuele machine opnieuw wordt opgestart voordat wijzigingen van kracht worden.
Volgende stappen
Meer informatie over vertrouwde start - en opstartintegriteitscontrole-VM's .