Wdrażanie maszyny wirtualnej z włączonym zaufanym uruchamianiem

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania.

Zaufane uruchamianie to sposób na poprawę bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków, łącząc technologie infrastruktury, takie jak vTPM i bezpieczny rozruch.

Wymagania wstępne

• Zaleca się dodanie subskrypcji do Microsoft Defender dla Chmury, jeśli jeszcze nie jest. Microsoft Defender dla Chmury ma warstwę Bezpłatna, która oferuje przydatne szczegółowe informacje dla różnych zasobów platformy Azure i zasobów hybrydowych. W przypadku braku funkcji MDC użytkownicy zaufanej maszyny wirtualnej uruchamiania nie mogą monitorować integralności rozruchu maszyny wirtualnej.

• Przypisz inicjatywy zasad platformy Azure do subskrypcji. Te inicjatywy zasad muszą być przypisane tylko raz na subskrypcję. Zasady pomogą wdrożyć, przeprowadzić inspekcję zaufanych maszyn wirtualnych uruchamiania podczas automatycznego instalowania wszystkich wymaganych rozszerzeń na wszystkich obsługiwanych maszynach wirtualnych.

  • Konfigurowanie inicjatywy zasad wbudowanej w zaufane uruchamianie maszyn wirtualnych
  • Skonfiguruj wymagania wstępne, aby włączyć zaświadczenie gościa na maszynach wirtualnych z włączoną obsługą zaufanego uruchamiania.
  • Skonfiguruj maszyny, aby automatycznie instalować agentów usługi Azure Monitor i Azure Security na maszynach wirtualnych.

• Zezwalaj na tag usługi AzureAttestation w regułach ruchu wychodzącego sieciowej grupy zabezpieczeń, aby zezwolić na ruch dla zaświadczania platformy Microsoft Azure. Zapoznaj się z tematem Tagi usługi sieci wirtualnej.

• Upewnij się, że zasady zapory zezwalają na dostęp do usługi *.attest.azure.net.

Uwaga

Jeśli używasz obrazu systemu Linux i przewidujesz, że maszyna wirtualna może mieć sterowniki jądra niepodpisane lub niepodpisane przez dostawcę dystrybucji systemu Linux, warto rozważyć wyłączenie bezpiecznego rozruchu. W witrynie Azure Portal na stronie "Utwórz maszynę wirtualną" dla parametru "Typ zabezpieczeń" z wybraną pozycją "Zaufane uruchamianie maszyn wirtualnych" kliknij pozycję "Konfiguruj funkcje zabezpieczeń" i usuń zaznaczenie pola wyboru "Włącz bezpieczny rozruch". W interfejsie wiersza polecenia, programie PowerShell lub zestawie SDK ustaw parametr bezpiecznego rozruchu na wartość false.

Wdrażanie zaufanej maszyny wirtualnej uruchamiania

Utwórz maszynę wirtualną z włączonym zaufanym uruchamianiem. Wybierz poniższą opcję:

Portal

1. Zaloguj się w witrynie Azure Portal.
2. Wyszukaj pozycję Maszyny wirtualne.
3. W obszarze Usługi wybierz pozycję Maszyny wirtualne.
4. Na stronie Maszyny wirtualne wybierz pozycję Dodaj, a następnie wybierz pozycję Maszyna wirtualna.
5. W obszarze Szczegóły projektu upewnij się, że wybrano poprawną subskrypcję.
6. W obszarze Grupa zasobów wybierz pozycję Utwórz nową i wpisz nazwę grupy zasobów lub wybierz istniejącą grupę zasobów z listy rozwijanej.
7. W obszarze Szczegóły wystąpienia wpisz nazwę maszyny wirtualnej i wybierz region obsługujący zaufane uruchamianie.
8. W obszarze Typ zabezpieczeń wybierz pozycję Zaufane uruchamianie maszyn wirtualnych. Dzięki temu zostaną wyświetlone trzy kolejne opcje — bezpieczny rozruch, protokół vTPM i monitorowanie integralności. Wybierz odpowiednie opcje wdrożenia. Aby dowiedzieć się więcej o funkcjach zabezpieczeń z włączonym uruchamianiem zaufanym.
9. W obszarze Obraz wybierz obraz z zalecanych obrazów 2. generacji zgodnych z zaufanym uruchomieniem. Aby uzyskać listę, zobacz zaufane uruchamianie.

   Napiwek

   Jeśli na liście rozwijanej nie widzisz żądanej wersji obrazu Gen 2, wybierz pozycję Zobacz wszystkie obrazy , a następnie zmień filtr Typ zabezpieczeń na Zaufane uruchamianie.

10. Wybierz rozmiar maszyny wirtualnej, który obsługuje zaufane uruchamianie. Zobacz listę obsługiwanych rozmiarów.
11. Wypełnij informacje o koncie Administracja istratora, a następnie wprowadź reguły portów przychodzących.
12. W dolnej części strony wybierz pozycję Przejrzyj i utwórz
13. Na stronie Tworzenie maszyny wirtualnej możesz zobaczyć szczegółowe informacje o maszynie wirtualnej, którą chcesz wdrożyć. Po przejściu weryfikacji wybierz pozycję Utwórz.

Wdrożenie maszyny wirtualnej trwa kilka minut.

Interfejs wiersza polecenia

Upewnij się, że używasz najnowszej wersji interfejsu wiersza polecenia platformy Azure.

Zaloguj się do platformy Azure przy użyciu polecenia az login.

az login 

Utwórz maszynę wirtualną z zaufanym uruchomieniem.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

W przypadku istniejących maszyn wirtualnych można włączyć lub wyłączyć ustawienia bezpiecznego rozruchu i vTPM. Aktualizowanie maszyny wirtualnej przy użyciu ustawień bezpiecznego rozruchu i vTPM wyzwala automatycznego ponownego rozruchu.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Aby uzyskać więcej informacji na temat instalowania monitorowania integralności rozruchu za pomocą rozszerzenia zaświadczania gościa, zobacz Integralność rozruchu.

Program PowerShell

Aby aprowizować maszynę wirtualną przy użyciu zaufanego uruchamiania, najpierw należy ją włączyć TrustedLaunch za pomocą polecenia Set-AzVmSecurityProfile cmdlet . Następnie możesz użyć polecenia cmdlet Set-AzVmUefi, aby ustawić konfigurację vTPM i SecureBoot. Użyj poniższego fragmentu kodu jako szybkiego startu, pamiętaj, aby zastąpić wartości w tym przykładzie własnymi.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Szablon

Zaufane maszyny wirtualne uruchamiania można wdrożyć przy użyciu szablonu szybkiego startu:

Linux

Windows

Wdrażanie zaufanej maszyny wirtualnej uruchamiania z obrazu galerii obliczeń platformy Azure

Zaufane maszyny wirtualne uruchamiania platformy Azure obsługują tworzenie i udostępnianie obrazów niestandardowych przy użyciu usługi Azure Compute Gallery. Istnieją dwa typy obrazów, które można utworzyć na podstawie typów zabezpieczeń obrazu:

• Zalecanezaufane obrazy maszyn wirtualnych z obsługą uruchamiania (TrustedLaunchSupported) to obrazy, na których źródło nie ma informacji o stanie gościa maszyny wirtualnej i może służyć do tworzenia maszyn wirtualnych generacji 2 lub zaufanych maszyn wirtualnych uruchamiania.
• Zaufane obrazy maszyn wirtualnych uruchamiania (TrustedLaunch) to obrazy , na których źródło zwykle zawiera informacje o stanie gościa maszyny wirtualnej i mogą służyć do tworzenia tylko zaufanych maszyn wirtualnych uruchamiania.

Zaufane obrazy obsługiwane przez maszynę wirtualną uruchamiania

W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien mieć wartość TrustedLaunchsupported:

• Dysk VHD dysku systemu operacyjnego Gen2
• Obraz zarządzany gen2
• Wersja obrazu z galerii Gen2

Żadne informacje o stanie gościa maszyny wirtualnej nie są uwzględniane w źródle obrazu.

Wynikowa wersja obrazu może służyć do tworzenia maszyn wirtualnych usługi Azure Gen2 lub zaufanych maszyn wirtualnych uruchamiania.

Te obrazy można udostępniać przy użyciu galerii obliczeń platformy Azure — bezpośredniej galerii udostępnionej i galerii zasobów obliczeniowych platformy Azure — galeria społeczności.

Uwaga

Dysk VHD dysku systemu operacyjnego, obraz zarządzany lub wersja obrazu galerii należy utworzyć na podstawie obrazu gen2 zgodnego z zaufanymi maszynami wirtualnymi uruchamiania.

Portal

1. Zaloguj się w witrynie Azure Portal.
2. Wyszukaj i wybierz pozycję Wersje obrazów maszyny wirtualnej na pasku wyszukiwania
3. Na stronie Wersje obrazów maszyny wirtualnej wybierz pozycję Utwórz.
4. Na stronie Tworzenie wersji obrazu maszyny wirtualnej na karcie Podstawy:
   1. Wybierz subskrypcję platformy Azure.
   2. Wybierz istniejącą grupę zasobów lub utwórz nową grupę zasobów.
   3. Wybierz region świadczenia usługi Azure.
   4. Wprowadź numer wersji obrazu.
   5. W polu Źródło wybierz pozycję Obiekty blob usługi Storage (VHD) lub obraz zarządzany albo inną wersję obrazu maszyny wirtualnej
   6. W przypadku wybrania opcji Obiekty blob usługi Storage (VHD) wprowadź dysk VHD dysku systemu operacyjnego (bez stanu gościa maszyny wirtualnej). Upewnij się, że używasz wirtualnego dysku twardego 2. generacji.
   7. W przypadku wybrania opcji Obraz zarządzany wybierz istniejący obraz zarządzany maszyny wirtualnej 2. generacji.
   8. W przypadku wybrania opcji Wersja obrazu maszyny wirtualnej wybierz istniejącą wersję obrazu galerii maszyny wirtualnej Gen2.
   9. W obszarze Docelowa galeria obliczeniowa platformy Azure wybierz lub utwórz galerię, aby udostępnić obraz.
   10. W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane w zależności od przypadku użycia. Jeśli używasz obrazu zarządzanego jako źródła, zawsze wybierz pozycję Uogólnione. Jeśli używasz obiektu blob magazynu (VHD) i chcesz wybrać opcję Uogólnione, przed kontynuowaniem wykonaj kroki, aby uogólnić wirtualny dysk twardy z systemem Linux lub uogólnić dysk VHD systemu Windows. Jeśli używasz istniejącej wersji obrazu maszyny wirtualnej, wybierz opcję Uogólnione lub Wyspecjalizowane na podstawie tego, co jest używane w definicji obrazu źródłowej maszyny wirtualnej.
   11. W obszarze Docelowa definicja obrazu maszyny wirtualnej wybierz pozycję Utwórz nową.
   12. W okienku Tworzenie definicji obrazu maszyny wirtualnej wprowadź nazwę definicji. Upewnij się, że typ zabezpieczeń jest ustawiony na Wartość Zaufana obsługiwana przez usługę . Wprowadź informacje o wydawcy, ofercie i jednostce SKU. Następnie wybierz przycisk OK.
5. Na karcie Replikacja wprowadź liczbę replik i regiony docelowe replikacji obrazów, jeśli to konieczne.
6. Na karcie Szyfrowanie wprowadź informacje dotyczące szyfrowania SSE, jeśli to konieczne.
7. Wybierz pozycję Przejrzyj i utwórz.
8. Po pomyślnym zweryfikowaniu konfiguracji wybierz pozycję Utwórz , aby zakończyć tworzenie obrazu.
9. Po utworzeniu wersji obrazu wybierz pozycję Utwórz maszynę wirtualną.
10. Na stronie Tworzenie maszyny wirtualnej w obszarze Grupa zasobów wybierz pozycję Utwórz nową i wpisz nazwę grupy zasobów lub wybierz istniejącą grupę zasobów z listy rozwijanej.
11. W obszarze Szczegóły wystąpienia wpisz nazwę maszyny wirtualnej i wybierz region obsługujący zaufane uruchamianie.
12. Wybierz pozycję Zaufane uruchamianie maszyn wirtualnych jako typ zabezpieczeń. Pola wyboru Bezpieczny rozruch i vTPM są domyślnie włączone.
13. Wypełnij informacje o koncie Administracja istratora, a następnie wprowadź reguły portów przychodzących.
14. Na stronie walidacji przejrzyj szczegóły maszyny wirtualnej.
15. Po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz , aby zakończyć tworzenie maszyny wirtualnej.

Interfejs wiersza polecenia

Upewnij się, że używasz najnowszej wersji interfejsu wiersza polecenia platformy Azure.

Zaloguj się do platformy Azure przy użyciu polecenia az login.

az login 

Utwórz definicję obrazu z TrustedLaunchSupported typem zabezpieczeń.

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Użyj dysku VHD dysku systemu operacyjnego, aby utworzyć wersję obrazu. Upewnij się, że dysk VHD systemu Linux został uogólniony przed przekazaniem do obiektu blob konta usługi Azure Storage, wykonując kroki opisane tutaj.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Utwórz zaufaną maszynę wirtualną uruchamiania z powyższej wersji obrazu.

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

Program PowerShell

Utwórz definicję obrazu z TrustedLaunchSupported typem zabezpieczeń.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Aby utworzyć wersję obrazu, możemy użyć istniejącej wersji obrazu galerii Gen2, która została uogólniona podczas tworzenia.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Tworzenie zaufanej maszyny wirtualnej uruchamiania z powyższej wersji obrazu

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Zaufane uruchamianie obrazów maszyn wirtualnych

W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien mieć wartość TrustedLaunch:

• Przechwytywanie zaufanej maszyny wirtualnej uruchamiania
• Zarządzany dysk systemu operacyjnego
• Migawka dysku zarządzanego systemu operacyjnego

Wynikowa wersja obrazu może służyć tylko do tworzenia zaufanych maszyn wirtualnych uruchamiania platformy Azure.

Portal

1. Zaloguj się w witrynie Azure Portal.
2. Aby utworzyć obraz galerii obliczeniowej platformy Azure na podstawie maszyny wirtualnej, otwórz istniejącą zaufaną maszynę wirtualną uruchamiania i wybierz pozycję Przechwyć.
3. Na poniższej stronie Tworzenie obrazu zezwól na udostępnianie obrazu galerii jako wersji obrazu maszyny wirtualnej. Tworzenie obrazów zarządzanych nie jest obsługiwane w przypadku zaufanych maszyn wirtualnych uruchamiania.
4. Utwórz nową docelową galerię usługi Azure Compute lub wybierz istniejącą galerię.
5. Wybierz stan systemu operacyjnego jako Uogólniony lub Wyspecjalizowany. Jeśli chcesz utworzyć uogólniony obraz, przed wybraniem tej opcji upewnij się, że uogólniasz maszynę wirtualną, aby usunąć informacje specyficzne dla maszyny. Jeśli szyfrowanie oparte na funkcji BitLocker jest włączone na zaufanej maszynie wirtualnej z systemem Windows z systemem Windows, może nie być możliwe uogólnienie tego samego.
6. Utwórz nową definicję obrazu, podając nazwę, wydawcę, ofertę i jednostkę SKU. Typ zabezpieczeń definicji obrazu powinien być już ustawiony na Zaufane uruchamianie.
7. Podaj numer wersji obrazu.
8. W razie potrzeby zmodyfikuj opcje replikacji.
9. W dolnej części strony Tworzenie obrazu wybierz pozycję Przejrzyj i utwórz , a gdy walidacja jest wyświetlana jako przekazana, wybierz pozycję Utwórz.
10. Po utworzeniu wersji obrazu przejdź bezpośrednio do wersji obrazu. Alternatywnie możesz przejść do wymaganej wersji obrazu za pomocą definicji obrazu.
11. Na stronie Wersja obrazu maszyny wirtualnej wybierz pozycję + Utwórz maszynę wirtualną, aby wylądować na stronie Tworzenie maszyny wirtualnej.
12. Na stronie Tworzenie maszyny wirtualnej w obszarze Grupa zasobów wybierz pozycję Utwórz nową i wpisz nazwę grupy zasobów lub wybierz istniejącą grupę zasobów z listy rozwijanej.
13. W obszarze Szczegóły wystąpienia wpisz nazwę maszyny wirtualnej i wybierz region obsługujący zaufane uruchamianie.
14. Obraz i typ zabezpieczeń są już wypełniane na podstawie wybranej wersji obrazu. Pola wyboru Bezpieczny rozruch i vTPM są domyślnie włączone.
15. Wypełnij informacje o koncie Administracja istratora, a następnie wprowadź reguły portów przychodzących.
16. W dolnej części strony wybierz pozycję Przejrzyj i utwórz
17. Na stronie walidacji przejrzyj szczegóły maszyny wirtualnej.
18. Po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz , aby zakończyć tworzenie maszyny wirtualnej.

Jeśli chcesz użyć dysku zarządzanego lub migawki dysku zarządzanego jako źródła wersji obrazu (zamiast zaufanej maszyny wirtualnej uruchamiania), wykonaj następujące kroki.

1. Zaloguj się do portalu
2. Wyszukaj pozycję Wersje obrazów maszyny wirtualnej i wybierz pozycję Utwórz
3. Podaj numer wersji subskrypcji, grupy zasobów, regionu i obrazu
4. Wybierz źródło jako dyski i/lub migawki
5. Wybierz dysk systemu operacyjnego jako dysk zarządzany lub migawkę dysku zarządzanego z listy rozwijanej
6. Wybierz docelową galerię obliczeniową platformy Azure, aby utworzyć i udostępnić obraz. Jeśli galeria nie istnieje, utwórz nową galerię.
7. Wybierz stan systemu operacyjnego jako Uogólniony lub Wyspecjalizowany. Jeśli chcesz utworzyć uogólniony obraz, upewnij się, że uogólnisz dysk lub migawkę, aby usunąć informacje specyficzne dla maszyny.
8. W polu Docelowa definicja obrazu maszyny wirtualnej wybierz pozycję Utwórz nową. W wyświetlonym oknie wybierz nazwę definicji obrazu i upewnij się, że typ zabezpieczeń jest ustawiony na Zaufane uruchamianie. Podaj informacje o wydawcy, ofercie i jednostce SKU, a następnie wybierz przycisk OK.
9. Karta Replikacja może służyć do ustawiania liczby replik i regionów docelowych na potrzeby replikacji obrazów, jeśli jest to wymagane.
10. Karta Szyfrowanie może również służyć do dostarczania informacji związanych z szyfrowaniem SSE, jeśli jest to wymagane.
11. Wybierz pozycję Utwórz na karcie Przeglądanie i tworzenie , aby utworzyć obraz
12. Po pomyślnym utworzeniu wersji obrazu wybierz pozycję + Utwórz maszynę wirtualną , aby wylądować na stronie Tworzenie maszyny wirtualnej.
13. Wykonaj kroki od 12 do 18, jak wspomniano wcześniej, aby utworzyć zaufaną maszynę wirtualną uruchamiania przy użyciu tej wersji obrazu

Interfejs wiersza polecenia

Upewnij się, że używasz najnowszej wersji interfejsu wiersza polecenia platformy Azure.

Zaloguj się do platformy Azure przy użyciu polecenia az login.

az login 

Tworzenie definicji obrazu z typem zabezpieczeń TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Aby utworzyć wersję obrazu, możemy przechwycić istniejącą maszynę wirtualną zaufanego uruchamiania systemu Linux. Uogólnij zaufaną maszynę wirtualną uruchamiania przed utworzeniem wersji obrazu.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Jeśli dysk zarządzany lub migawka dysku zarządzanego musi być używana jako źródło obrazu dla wersji obrazu, zastąp wartość --managed-image w powyższym poleceniu parametrem --os-snapshot i podaj dysk lub nazwę zasobu migawki

Tworzenie zaufanej maszyny wirtualnej uruchamiania z powyższej wersji obrazu

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

Program PowerShell

Tworzenie definicji obrazu z typem zabezpieczeń TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Aby utworzyć wersję obrazu, możemy przechwycić istniejącą maszynę wirtualną zaufanego uruchamiania systemu Windows. Uogólnij zaufaną maszynę wirtualną uruchamiania przed utworzeniem wersji obrazu.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Tworzenie zaufanej maszyny wirtualnej uruchamiania z powyższej wersji obrazu

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Zaufane zasady wbudowane uruchamiania

Aby ułatwić użytkownikom końcowym wdrażanie zaufanego uruchamiania, dostępne są zasady platformy Azure ułatwiające właścicielom zasobów przyjęcie zaufanego uruchamiania. Głównym elementem objbective jest konwersja maszyn wirtualnych generacji 1 i 2, które są w stanie zaufanego uruchamiania. Maszyna wirtualna powinna mieć włączone pojedyncze zasady Zaufane uruchamianie sprawdza, czy maszyna wirtualna jest obecnie włączona z konfiguracjami zabezpieczeń Zaufane uruchamianie. Dyski i system operacyjny obsługiwany w przypadku zaufanego uruchamiania sprawdzają, czy wcześniej utworzone maszyny wirtualne mają obsługiwany system operacyjny 2. generacji i rozmiar maszyny wirtualnej w celu wdrożenia zaufanych maszyn wirtualnych uruchamiania. Te dwie zasady łączą się w celu zainicjowania zasad zaufanego uruchamiania, umożliwiając grupowanie kilku powiązanych definicji zasad w celu uproszczenia przypisań i zasobów zarządzania w celu uwzględnienia konfiguracji zaufanego uruchamiania.

Aby dowiedzieć się więcej, i rozpocząć wdrażanie wbudowanych zasad zaufanego uruchamiania.

---

Weryfikowanie lub aktualizowanie ustawień

W przypadku maszyn wirtualnych utworzonych z włączonym zaufanym uruchamianiem można wyświetlić zaufaną konfigurację uruchamiania, odwiedzając stronę Przegląd maszyny wirtualnej w witrynie Azure Portal. Na karcie Właściwości zostanie wyświetlony stan funkcji zaufanego uruchamiania:

Aby zmienić konfigurację zaufanego uruchamiania, w menu po lewej stronie w sekcji Ustawienia wybierz pozycję Konfiguracja. W sekcji Typ zabezpieczeń można włączyć lub wyłączyć bezpieczny rozruch, protokół vTPM i monitorowanie integralności. Po zakończeniu wybierz pozycję Zapisz w górnej części strony.

Jeśli maszyna wirtualna jest uruchomiona, zostanie wyświetlony komunikat o ponownym uruchomieniu maszyny wirtualnej. Wybierz pozycję Tak , a następnie poczekaj na ponowne uruchomienie maszyny wirtualnej, aby zmiany zaczęły obowiązywać.

Następne kroki

Dowiedz się więcej o zaufanych maszynach wirtualnych monitorowania uruchamiania i integralności rozruchu.