Share via

Vertrouwde start voor virtuele Azure-machines

  • Artikel

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️

Azure biedt Trusted Launch als een naadloze manier om de beveiliging van virtuele machines van de tweede generatie (VM's) te verbeteren. Trusted Launch beschermt tegen geavanceerde en permanente aanvalstechnieken. Trusted Launch bestaat uit verschillende gecoördineerde infrastructuurtechnologieën die onafhankelijk kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen.

Belangrijk

Vergoedingen

  • Implementeer virtuele machines met geverifieerde opstartlaadders, besturingssysteemkernels en stuurprogramma's veilig.
  • Beveilig sleutels, certificaten en geheimen veilig in de VM's.
  • Krijg inzicht en vertrouwen in de integriteit van de gehele opstartketen.
  • Zorg ervoor dat workloads worden vertrouwd en verifieerbaar.

Grootten van virtuele machines

Type Ondersteunde groottefamilies Momenteel worden groottefamilies niet ondersteund Niet-ondersteunde groottefamilies
Algemeen gebruik B-serie, DCsv2-serie, DCsv3-serie, DCdsv3-serie, Dv4-serie, Dsv4-serie, Dsv3-serie, Dsv2-serie, Dav4-serie, Dasv4-serie, Ddv4-serie, Ddsv4-serie, Dv5-serie, Dsv5-serie, Ddv5-serie, Ddsv5-serie, Dasv5-serie, Dadsv5-serie, Dlsv5-serie, Dldsv5-serie Dpsv5-serie, Dpdsv5-serie, Dplsv5-serie, Dpldsv5-serie Av2-serie, Dv2-serie, Dv3-serie
Geoptimaliseerde rekenkracht FX-serie, Fsv2-serie Alle grootten worden ondersteund.
Geoptimaliseerd voor geheugen Dsv2-serie, Esv3-serie, Ev4-serie, Esv4-serie, Edv4-serie, Edsv4-serie, Eav4-serie, Easv4-serie, Easv5-serie, Eadsv5-serie, Ebsv5-serie, Ebdsv5-serie, Edv5-serie, Edsv5-serie Epsv5-serie, Epdsv5-serie, M-serie, Msv2-serie, Mdsv2 Medium Memory-serie, Mv2-serie Ev3-serie
Geoptimaliseerd voor opslag Lsv2-serie, Lsv3-serie, Lasv3-serie Alle grootten worden ondersteund.
GPU NCv2-serie, NCv3-serie, NCasT4_v3-serie, NVv3-serie, NVv4-serie, NDv2-serie, NC_A100_v4-serie, NVadsA10 v5-serie NDasrA100_v4-serie, NDm_A100_v4-serie NC-serie, NV-serie, NP-serie
High Performance Compute HB-serie, HBv2-serie, HBv3-serie, HBv4-serie, HC-serie, HX-serie Alle grootten worden ondersteund.

Notitie

  • Voor de installatie van de CUDA & GRID-stuurprogramma's op Windows-VM's met beveiligd opstarten zijn geen extra stappen vereist.
  • Voor de installatie van het CUDA-stuurprogramma op Ubuntu-VM's met beveiligd opstarten zijn extra stappen vereist. Zie NVIDIA GPU-stuurprogramma's installeren op VM's uit de N-serie waarop Linux wordt uitgevoerd voor meer informatie. Beveiligd opstarten moet worden uitgeschakeld voor het installeren van CUDA-stuurprogramma's op andere Linux-VM's.
  • Voor de installatie van het GRID-stuurprogramma moet Beveiligd opstarten worden uitgeschakeld voor Linux-VM's.
  • Niet-ondersteunde groottefamilies bieden geen ondersteuning voor VM's van de tweede generatie. Wijzig de VM-grootte in equivalente ondersteunde groottefamilies voor het inschakelen van vertrouwd starten.

Ondersteunde besturingssystemen

Besturingssysteem Versie
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Window Server (Azure Edition) 2022

* Variaties van dit besturingssysteem worden ondersteund.

Meer informatie

Regio's:

  • Alle openbare regio's
  • Alle Azure Government-regio's
  • Alle Azure China-regio's

Prijzen: vertrouwde start verhoogt de bestaande prijskosten voor VM's niet.

Niet-ondersteunde functies

Momenteel worden de volgende VM-functies niet ondersteund met Vertrouwde start:

Secure Boot

In de hoofdmap van Vertrouwd starten is Beveiligd opstarten voor uw VIRTUELE machine. Beveiligd opstarten, dat is geïmplementeerd in platformfirmware, beschermt tegen de installatie van op malware gebaseerde rootkits en bootkits. Beveiligd opstarten werkt om ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart. Hiermee wordt een 'vertrouwenshoofdmap' voor de softwarestack op uw VIRTUELE machine tot stand brengt.

Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) vertrouwde uitgevers ondertekenen. Zowel Windows als bepaalde Linux-distributies ondersteunen Beveiligd opstarten. Als beveiligd opstarten niet kan worden geverifieerd dat de installatiekopie is ondertekend door een vertrouwde uitgever, kan de VM niet worden opgestart. Zie voor meer informatie beveiligd opstarten.

vTPM

Trusted Launch introduceert ook virtuele Trusted Platform Module (vTPM) voor Azure-VM's. Deze gevirtualiseerde versie van een vertrouwde platformmodule voor hardware voldoet aan de TPM2.0-specificatie. Het fungeert als een speciale beveiligde kluis voor sleutels en metingen.

Trusted Launch biedt uw VIRTUELE machine een eigen toegewezen TPM-exemplaar dat wordt uitgevoerd in een beveiligde omgeving buiten het bereik van een virtuele machine. Met vTPM kunt u attestation inschakelen door de volledige opstartketen van uw VM (UEFI, BEsturingssysteem, systeem en stuurprogramma's) te meten.

Trusted Launch maakt gebruik van vTPM om externe attestation uit te voeren via de cloud. Attestations maken platformstatuscontroles mogelijk en worden gebruikt voor het nemen van beslissingen op basis van vertrouwen. Als statuscontrole kan Trusted Launch cryptografisch certificeren dat uw VIRTUELE machine correct is opgestart.

Als het proces mislukt, mogelijk omdat uw VM een niet-geautoriseerd onderdeel uitvoert, Microsoft Defender voor Cloud integriteitswaarschuwingen geeft. De waarschuwingen bevatten details over welke onderdelen niet voldoen aan integriteitscontroles.

Beveiliging op basis van virtualisatie

Beveiliging op basis van virtualisatie (VBS) maakt gebruik van de hypervisor om een beveiligd en geïsoleerd geheugengebied te maken. Windows gebruikt deze regio's om verschillende beveiligingsoplossingen uit te voeren met verbeterde bescherming tegen beveiligingsproblemen en schadelijke aanvallen. Met Trusted Launch kunt u de integriteit van hypervisorcode (HVCI) en Windows Defender Credential Guard inschakelen.

HVCI is een krachtige systeembeperking die Windows-kernelmodusprocessen beschermt tegen injectie en uitvoering van schadelijke of niet-geverifieerde code. De kernelmodusstuurprogramma's en binaire bestanden worden gecontroleerd voordat ze worden uitgevoerd, waardoor niet-ondertekende bestanden niet in het geheugen kunnen worden geladen. Controleert of uitvoerbare code niet kan worden gewijzigd nadat deze is geladen. Zie Beveiliging op basis van virtualisatie en door hypervisor afgedwongen code-integriteit voor meer informatie over VBS en HVCI.

Met Vertrouwde start en VBS kunt u Windows Defender Credential Guard inschakelen. Credential Guard isoleert en beveiligt geheimen, zodat alleen bevoegde systeemsoftware toegang heeft tot deze geheimen. Het helpt onbevoegde toegang tot geheimen en diefstalaanvallen van referenties te voorkomen, zoals Pass-the-Hash-aanvallen. Zie Credential Guard voor meer informatie.

integratie van Microsoft Defender voor Cloud

Vertrouwde start is geïntegreerd met Defender voor Cloud om ervoor te zorgen dat uw VM's correct zijn geconfigureerd. Defender voor Cloud voortdurend compatibele VM's beoordeelt en relevante aanbevelingen geeft:

  • Aanbeveling voor het inschakelen van beveiligd opstarten: de aanbeveling beveiligd opstarten is alleen van toepassing op VM's die ondersteuning bieden voor vertrouwd starten. Defender voor Cloud vm's identificeert die Beveiligd opstarten kunnen inschakelen, maar die kunnen worden uitgeschakeld. Er wordt een aanbeveling met een lage ernst opgegeven om deze in te schakelen.

  • Aanbeveling om vTPM in te schakelen: als vTPM is ingeschakeld voor uw virtuele machine, kunt Defender voor Cloud deze gebruiken om gastattestatie uit te voeren en geavanceerde bedreigingspatronen te identificeren. Als Defender voor Cloud VM's identificeert die ondersteuning bieden voor vertrouwd starten en vTPM uitgeschakeld hebben, wordt een aanbeveling met een lage ernst opgegeven om deze in te schakelen.

  • Aanbeveling voor het installeren van de attestation-extensie voor gasten: als op uw VM Beveiligd opstarten en vTPM is ingeschakeld, maar de extensie Gastattestation niet is geïnstalleerd, Defender voor Cloud aanbevelingen met een lage ernst om de Gastat attestation-extensie erop te installeren. Met deze extensie kan Defender voor Cloud proactief de opstartintegriteit van uw VM's bevestigen en bewaken. Opstartintegriteit wordt getest via externe attestation.

  • Attestation-statusbeoordeling of bewaking van opstartintegriteit: als beveiligd opstarten en vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd, kan Defender voor Cloud op afstand valideren dat uw VIRTUELE machine op een gezonde manier is opgestart. Deze praktijk staat bekend als bewaking van opstartintegriteit. Defender voor Cloud geeft een evaluatie uit die de status van externe attestation aangeeft.

    Als uw VM's correct zijn ingesteld met Vertrouwde start, kan Defender voor Cloud u detecteren en waarschuwen voor problemen met de vm-status.

  • Waarschuwing voor VM-attestation-fout: Defender voor Cloud voert periodiek attestation uit op uw VM's. De attestation vindt ook plaats nadat de VM is opgestart. Als de attestation mislukt, wordt er een waarschuwing met een gemiddelde ernst geactiveerd. VM-attestation kan om de volgende redenen mislukken:

    • De geteste informatie, die een opstartlogboek bevat, wijkt af van een vertrouwde basislijn. Elke afwijking kan erop wijzen dat niet-vertrouwde modules zijn geladen en dat het besturingssysteem kan worden aangetast.

    • De attestation-offerte kan niet worden geverifieerd om afkomstig te zijn van de vTPM van de geteste VM. Een niet-geverifieerde oorsprong kan erop wijzen dat malware aanwezig is en kan verkeer naar de vTPM onderscheppen.

      Notitie

      Waarschuwingen zijn beschikbaar voor VM's waarvoor vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd. Beveiligd opstarten moet zijn ingeschakeld om attestation door te geven. Attestation mislukt als Beveiligd opstarten is uitgeschakeld. Als u Beveiligd opstarten moet uitschakelen, kunt u deze waarschuwing onderdrukken om fout-positieven te voorkomen.

  • Waarschuwing voor niet-vertrouwde Linux-kernelmodule: voor vertrouwd starten met Beveiligd opstarten ingeschakeld, is het mogelijk dat een VIRTUELE machine wordt opgestart, zelfs als een kernelstuurprogramma de validatie mislukt en niet kan worden geladen. Als dit scenario zich voordoet, Defender voor Cloud waarschuwingen met een lage ernst treedt op. Hoewel er geen onmiddellijke bedreiging is, omdat het niet-vertrouwde stuurprogramma niet is geladen, moeten deze gebeurtenissen worden onderzocht. Stel uzelf de volgende vragen:

    • Welk kernelstuurprogramma is mislukt? Ben ik bekend met dit stuurprogramma en verwacht ik dat het wordt geladen?
    • Is dit de exacte versie van het stuurprogramma dat ik verwacht? Zijn de binaire stuurprogrammabestanden intact? Als dit een stuurprogramma van derden is, heeft de leverancier de nalevingstests van het besturingssysteem doorstaan om het te laten ondertekenen?

Gerelateerde inhoud

Implementeer een vertrouwde start-VM.