Vertrouwde start voor virtuele Azure-machines

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️

Azure biedt vertrouwde lancering als een naadloze manier om de beveiliging van VM's van de tweede generatie te verbeteren. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken. Vertrouwde lancering bestaat uit verschillende, gecoördineerde infrastructuurtechnologieën die onafhankelijk van elkaar kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen.

Belangrijk

• Vertrouwd starten is geselecteerd als de standaardstatus voor nieuw gemaakte Azure-VM's. Als voor uw nieuwe VIRTUELE machine functies zijn vereist die niet worden ondersteund door vertrouwde lancering, raadpleegt u de veelgestelde vragen over vertrouwde start
• Bestaande Azure Generation 2-VM's kunnen vertrouwde start hebben ingeschakeld nadat deze is gemaakt. Zie Vertrouwde start inschakelen op bestaande VM's voor meer informatie
• U kunt geen vertrouwde start inschakelen voor een bestaande virtuele-machineschaalset (VMSS) die in eerste instantie zonder deze is gemaakt. Voor vertrouwde lancering is het maken van nieuwe VMSS vereist.

Vergoedingen

• Implementeer virtuele machines met geverifieerde opstartladers, besturingssysteemkernels en stuurprogramma's veilig.
• Beveilig sleutels, certificaten en geheimen veilig in de virtuele machines.
• Krijg inzicht en vertrouwen in de integriteit van de gehele opstartketen.
• Zorg ervoor dat workloads worden vertrouwd en verifieerbaar.

Grootten van virtuele machines

Type	Ondersteunde groottefamilies	Momenteel worden groottefamilies niet ondersteund	Niet-ondersteunde groottefamilies
Algemeen doel	B-serie, DCsv2-serie, DCsv3-serie, DCdsv3-serie, Dv4-serie, Dsv4-serie, Dsv3-serie, Dsv2-serie, Dav4-serie, Dasv4-serie, Ddv4-serie, Ddsv4-serie, Dv5-serie, Dsv5-serie, Ddv5-serie, Ddsv5-serie, Dasv5-serie, Dadsv5-serie, Dlsv5-serie, Dldsv5-serie	Dpsv5-serie, Dpdsv5-serie, Dplsv5-serie, Dpldsv5-serie	Av2-serie, Dv2-serie, Dv3-serie
Geoptimaliseerde rekenkracht	FX-serie, Fsv2-serie	Alle grootten worden ondersteund.
Geoptimaliseerd voor geheugen	Dsv2-serie, Esv3-serie, Ev4-serie, Esv4-serie, Edv4-serie, Edsv4-serie, Eav4-serie, Easv4-serie, Easv5-serie, Eadsv5-serie, Ebsv5-serie, Ebdsv5-serie, Edv5-serie, Edsv5-serie	Epsv5-serie, Epdsv5-serie, M-serie, Msv2-serie, Mdsv2 Medium Memory-serie, Mv2-serie	Ev3-serie
Geoptimaliseerd voor opslag	Lsv2-serie, Lsv3-serie, Lasv3-serie	Alle grootten worden ondersteund.
GPU	NCv2-serie, NCv3-serie, NCasT4_v3-serie, NVv3-serie, NVv4-serie, NDv2-serie, NC_A100_v4-serie, NVadsA10 v5-serie	NDasrA100_v4-serie, NDm_A100_v4-serie	NC-serie, NV-serie, NP-serie
High Performance Compute	HB-serie, HBv2-serie, HBv3-serie, HBv4-serie, HC-serie, HX-serie	Alle grootten worden ondersteund.

Notitie

• Voor de installatie van de CUDA & GRID-stuurprogramma's op Windows-VM's waarvoor Beveiligd opstarten is ingeschakeld, zijn geen extra stappen vereist.
• Voor de installatie van het CUDA-stuurprogramma op Ubuntu-VM's met Beveiligd opstarten zijn extra stappen vereist die worden beschreven bij NVIDIA GPU-stuurprogramma's installeren op VM's uit de N-serie waarop Linux wordt uitgevoerd. Beveiligd opstarten moet worden uitgeschakeld voor het installeren van CUDA-stuurprogramma's op andere Linux-VM's.
• Voor de installatie van het GRID-stuurprogramma moet beveiligd opstarten worden uitgeschakeld voor Linux-VM's.
• Niet-ondersteunde groottefamilies bieden geen ondersteuning voor VM's van de tweede generatie. Wijzig de VM-grootte in equivalente ondersteunde groottefamilies voor het inschakelen van vertrouwde start.

Ondersteunde besturingssystemen

Besturingssysteem	Versie
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Window Server (Azure Edition)	2022

* Variaties van dit besturingssysteem worden ondersteund.

Aanvullende informatie

Regio's:

• Alle openbare regio's
• Alle Azure Government-regio's
• Alle Azure China-regio's

Prijzen: vertrouwde lancering verhoogt de bestaande kosten voor VM-prijzen niet.

Niet-ondersteunde functies

Notitie

De volgende functies voor virtuele machines worden momenteel niet ondersteund met Vertrouwde start.

• Azure Site Recovery
• Beheerde installatiekopieën (klanten worden aangemoedigd om Azure Compute Gallery te gebruiken)
• Geneste virtualisatie (de meeste ondersteunde V5 VM-groottefamilies)

Beveiligd opstarten

In de hoofdmap van de vertrouwde start is Beveiligd opstarten voor uw VIRTUELE machine. Beveiligd opstarten, dat is geïmplementeerd in platformfirmware, beschermt tegen de installatie van op malware gebaseerde rootkits en bootkits. Beveiligd opstarten werkt om ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart. Hiermee wordt een 'vertrouwenshoofdmap' voor de softwarestack op uw VIRTUELE machine tot stand brengt. Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) vertrouwde uitgevers ondertekenen. Zowel Windows als bepaalde Linux-distributies ondersteunen Beveiligd opstarten. Als beveiligd opstarten niet kan worden geverifieerd dat de installatiekopie is ondertekend door een vertrouwde uitgever, kan de VM niet worden opgestart. Zie voor meer informatie beveiligd opstarten.

vTPM

Vertrouwde lancering introduceert ook vTPM voor Azure-VM's. vTPM is een gevirtualiseerde versie van een vertrouwde platformmodule voor hardware die compatibel is met de TPM2.0-specificatie. Het fungeert als een speciale beveiligde kluis voor sleutels en metingen. Vertrouwde start biedt uw virtuele machine een eigen toegewezen TPM-exemplaar dat wordt uitgevoerd in een beveiligde omgeving buiten het bereik van een virtuele machine. Met vTPM kunt u attestation inschakelen door de volledige opstartketen van uw VM (UEFI, BEsturingssysteem, systeem en stuurprogramma's) te meten.

Vertrouwde lancering maakt gebruik van vTPM om externe attestation uit te voeren via de cloud. Attestations maken platformstatuscontroles mogelijk en voor het nemen van beslissingen op basis van vertrouwen. Als statuscontrole kan vertrouwd starten cryptografisch certificeren dat uw VIRTUELE machine correct is opgestart. Als het proces mislukt, mogelijk omdat uw VM een niet-geautoriseerd onderdeel uitvoert, Microsoft Defender voor Cloud integriteitswaarschuwingen geeft. De waarschuwingen bevatten details over welke onderdelen niet voldoen aan integriteitscontroles.

Beveiliging op basis van virtualisatie

Beveiliging op basis van virtualisatie (VBS) maakt gebruik van de hypervisor om een beveiligd en geïsoleerd geheugengebied te maken. Windows gebruikt deze regio's om verschillende beveiligingsoplossingen uit te voeren met verbeterde bescherming tegen beveiligingsproblemen en schadelijke aanvallen. Met vertrouwde start kunt u HVCI (Hypervisor Code Integrity) en Windows Defender Credential Guard inschakelen.

HVCI is een krachtige systeembeperking die Windows-kernelmodusprocessen beschermt tegen injectie en uitvoering van schadelijke of niet-geverifieerde code. De kernelmodusstuurprogramma's en binaire bestanden worden gecontroleerd voordat ze worden uitgevoerd, waardoor niet-ondertekende bestanden niet in het geheugen kunnen worden geladen. Controleert of uitvoerbare code niet kan worden gewijzigd zodra het is toegestaan om te laden. Zie Virtualisatie based security (VBS) en Hypervisor Enforced Code Integrity (HVCI) voor meer informatie over VBS en HVCI (Virtualization Based Security).

Met vertrouwde start en VBS kunt u Windows Defender Credential Guard inschakelen. Credential Guard isoleert en beveiligt geheimen, zodat alleen bevoegde systeemsoftware toegang heeft tot deze geheimen. Het helpt onbevoegde toegang tot geheimen en diefstalaanvallen van referenties te voorkomen, zoals Pass-the-Hash-aanvallen (PtH). Zie Credential Guard voor meer informatie.

integratie van Microsoft Defender voor Cloud

Vertrouwde start is geïntegreerd met Microsoft Defender voor Cloud om ervoor te zorgen dat uw VM's correct zijn geconfigureerd. Microsoft Defender voor Cloud beoordeelt voortdurend compatibele VM's en geeft relevante aanbevelingen.

• Aanbeveling voor het inschakelen van Beveiligd opstarten - Aanbeveling voor beveiligd opstarten is alleen van toepassing op VM's die ondersteuning bieden voor vertrouwde lancering. Microsoft Defender voor Cloud vm's identificeert die Beveiligd opstarten kunnen inschakelen, maar die wel kunnen worden uitgeschakeld. Er wordt een aanbeveling met een lage ernst opgegeven om deze in te schakelen.
• Aanbeveling om vTPM in te schakelen: als vTPM is ingeschakeld voor uw virtuele machine, kunt Microsoft Defender voor Cloud deze gebruiken om gastverklaring uit te voeren en geavanceerde bedreigingspatronen te identificeren. Als Microsoft Defender voor Cloud VM's identificeert die ondersteuning bieden voor vertrouwde lancering en vTPM uitgeschakeld hebben, wordt een aanbeveling met een lage ernst opgegeven om deze in te schakelen.
• Aanbeveling voor het installeren van de attestation-extensie voor gasten: als de VM beveiligd opstarten en vTPM is ingeschakeld, maar de extensie voor gastattest niet is geïnstalleerd, Microsoft Defender voor Cloud aanbevelingen met een lage ernst voor het installeren van de gastattestatie-extensie. Met deze extensie kan Microsoft Defender voor Cloud proactief de opstartintegriteit van uw VM's bevestigen en bewaken. Opstartintegriteit wordt getest via externe attestation.
• Attestation-statusbeoordeling of Bewaking van opstartintegriteit: als op uw VM beveiligd opstarten en vTPM is ingeschakeld en de attestation-extensie is geïnstalleerd, kan Microsoft Defender voor Cloud op afstand valideren dat uw VIRTUELE machine op een gezonde manier is opgestart. Dit staat bekend als bewaking van opstartintegriteit. Microsoft Defender voor Cloud een evaluatie geeft aan wat de status van externe attestation is.

Als uw VM's correct zijn ingesteld met vertrouwde lancering, kan Microsoft Defender voor Cloud u detecteren en waarschuwen voor problemen met de vm-status.

• Waarschuwing voor VM-attestation-fout: Microsoft Defender voor Cloud regelmatig attestation uitvoert op uw VM's. De attestation vindt ook plaats nadat de VM is opgestart. Als de attestation mislukt, wordt er een waarschuwing met een gemiddelde ernst geactiveerd. VM-attestation kan om de volgende redenen mislukken:

  • De geteste informatie, die een opstartlogboek bevat, wijkt af van een vertrouwde basislijn. Elke afwijking kan erop wijzen dat niet-vertrouwde modules zijn geladen en dat het besturingssysteem kan worden aangetast.
  • De attestation-offerte kan niet worden geverifieerd om afkomstig te zijn van de vTPM van de geteste VM. Een niet-geverifieerde oorsprong kan erop wijzen dat malware aanwezig is en kan verkeer naar de vTPM onderscheppen.

  Notitie

  Waarschuwingen zijn beschikbaar voor VM's waarvoor vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd. Beveiligd opstarten moet zijn ingeschakeld om attestation door te geven. Attestation mislukt als Beveiligd opstarten is uitgeschakeld. Als u Beveiligd opstarten moet uitschakelen, kunt u deze waarschuwing onderdrukken om fout-positieven te voorkomen.

• Waarschuwing voor niet-vertrouwde Linux-kernelmodule: voor vertrouwde lancering met beveiligd opstarten ingeschakeld, is het mogelijk dat een VIRTUELE machine wordt opgestart, zelfs als een kernelstuurprogramma de validatie mislukt en niet kan worden geladen. Als dit gebeurt, Microsoft Defender voor Cloud waarschuwingen met een lage ernst. Hoewel er geen onmiddellijke bedreiging is, omdat het niet-vertrouwde stuurprogramma niet is geladen, moeten deze gebeurtenissen worden onderzocht.

  • Welk kernelstuurprogramma is mislukt? Ben ik bekend met dit stuurprogramma en verwacht dat het wordt geladen?
  • Is dit de exacte versie van het stuurprogramma dat ik verwacht? Zijn de binaire stuurprogrammabestanden intact? Als dit een stuurprogramma van derden is, heeft de leverancier de nalevingstests van het besturingssysteem doorstaan om het te laten ondertekenen?

Volgende stappen

Implementeer een vertrouwde start-VM.