Zaufane uruchamianie maszyn wirtualnych platformy Azure

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

Platforma Azure oferuje zaufane uruchamianie jako bezproblemowy sposób poprawy bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami.

Ważne

• Zaufane uruchamianie jest wybierane jako domyślny stan nowo utworzonych maszyn wirtualnych platformy Azure. Jeśli nowa maszyna wirtualna wymaga funkcji, które nie są obsługiwane przez zaufane uruchamianie, zobacz Zaufane uruchamianie — często zadawane pytania.
• Istniejące maszyny wirtualne mogą mieć włączone zaufane uruchamianie po utworzeniu. Aby uzyskać więcej informacji, zobacz Włączanie zaufanego uruchamiania na istniejących maszynach wirtualnych.
• Istniejące zestawy skalowania maszyn wirtualnych (VMSS) mogą mieć włączone zaufane uruchamianie po utworzeniu. Aby uzyskać więcej informacji, zobacz Włączanie zaufanego uruchamiania w istniejących zestawach skalowania.

Świadczenia

• Bezpiecznie wdrażaj maszyny wirtualne za pomocą zweryfikowanych modułów ładujących rozruch, jądra systemu operacyjnego i sterowników.
• Bezpieczna ochrona kluczy, certyfikatów i wpisów tajnych na maszynach wirtualnych.
• Uzyskaj szczegółowe informacje i pewność integralności całego łańcucha rozruchu.
• Upewnij się, że obciążenia są zaufane i weryfikowalne.

Rozmiary maszyn wirtualnych

Typ	Obsługiwane rodziny rozmiarów	Obecnie nieobsługiwane rodziny rozmiarów	Nieobsługiwane rodziny rozmiarów
Ogólnego przeznaczenia	Seria B, seria DCsv2, seria DCsv3, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dlsv5-series, Seria Dldsv5	Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series	Seria Av2, seria Dv2, seria Dv3
Optymalizacja pod kątem obliczeń	Seria FX, seria Fsv2	Obsługiwane są wszystkie rozmiary.
Optymalizacja pod kątem pamięci	Seria Dsv2, seria Esv3, Seria Ev4, Seria Esv4, Seria Edv4, Seria Edv4, Seria Edsv4, Seria Eav4, Easv4-series, Seria Easv5, Eadsv5-series, Ebsv5-series,Ebdsv5-series, Seria Edv5, Seria Edsv5, Seria Edsv5	Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory Series, Mv2-series	Seria Ev3
Optymalizacja pod kątem magazynu	Seria Lsv2, seria Lsv3, Seria Lasv3	Obsługiwane są wszystkie rozmiary.
Procesor GPU	Seria NCv2, seria NCv3, seria NCasT4_v3, seria NVv3, seria NVv4, seria NDv2, seria NC_A100_v4, seria NVadsA10 v5	seria NDasrA100_v4, seria NDm_A100_v4	Seria NC, seria NV, seria NP
Obliczenia o wysokiej wydajności	Seria HB, seria HBv2, seria HBv3, seria HBv4, seria HC, seria HX	Obsługiwane są wszystkie rozmiary.

Uwaga

• Instalacja sterowników CUDA i GRID na maszynach wirtualnych z systemem Windows z włączoną obsługą bezpiecznego rozruchu nie wymaga żadnych dodatkowych kroków.
• Instalacja sterownika CUDA na maszynach wirtualnych z systemem Ubuntu z włączoną obsługą bezpiecznego rozruchu wymaga wykonania dodatkowych kroków. Aby uzyskać więcej informacji, zobacz Instalowanie sterowników procesora GPU NVIDIA na maszynach wirtualnych serii N z systemem Linux. Bezpieczny rozruch powinien być wyłączony do instalowania sterowników CUDA na innych maszynach wirtualnych z systemem Linux.
• Instalacja sterownika GRID wymaga wyłączenia bezpiecznego rozruchu dla maszyn wirtualnych z systemem Linux.
• Nieobsługiwane rodziny rozmiarów nie obsługują maszyn wirtualnych generacji 2 . Zmień rozmiar maszyny wirtualnej na równoważne obsługiwane rodziny rozmiarów, aby włączyć zaufane uruchamianie.

Obsługiwane systemy operacyjne

System operacyjny	Wersja
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Windows Server (Wersja platformy Azure)	2022

* Obsługiwane są odmiany tego systemu operacyjnego.

Więcej informacji

Regiony:

• Wszystkie regiony publiczne
• Wszystkie regiony platformy Azure Government
• Wszystkie regiony platformy Azure (Chiny)

Cennik: zaufane uruchamianie nie zwiększa istniejących kosztów cen maszyn wirtualnych.

Nieobsługiwane funkcje

Obecnie następujące funkcje maszyny wirtualnej nie są obsługiwane w przypadku zaufanego uruchamiania:

• Azure Site Recovery (ogólnie dostępna dla systemu Windows).
• Obraz zarządzany (zachęcamy klientów do korzystania z galerii obliczeń platformy Azure).
• Wirtualizacja zagnieżdżona (obsługiwane są rodziny rozmiarów maszyn wirtualnych w wersji 5).
• Hibernacji maszyny wirtualnej z systemem Linux

Bezpieczny rozruch

W katalogu głównym zaufanego uruchamiania jest bezpieczny rozruch maszyny wirtualnej. Bezpieczny rozruch, który jest implementowany w oprogramowaniu układowym platformy, chroni przed instalacją pakietów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych. Bezpieczny rozruch działa, aby upewnić się, że mogą być uruchamiane tylko podpisane systemy operacyjne i sterowniki. Ustanawia on "główny element zaufania" dla stosu oprogramowania na maszynie wirtualnej.

Po włączeniu bezpiecznego rozruchu wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) wymagają podpisywania zaufanych wydawców. Zarówno system Windows, jak i wybierz dystrybucje systemu Linux obsługują bezpieczny rozruch. Jeśli bezpieczny rozruch nie może uwierzytelnić się, że obraz jest podpisany przez zaufanego wydawcę, rozruch maszyny wirtualnej nie powiedzie się. Aby uzyskać więcej informacji, zobacz Bezpieczny rozruch.

VTPM

Funkcja Trusted Launch wprowadza również wirtualny moduł Trusted Platform Module (vTPM) dla maszyn wirtualnych platformy Azure. Ta zwirtualizowana wersja sprzętowego modułu Trusted Platform Module jest zgodna ze specyfikacją TPM2.0. Służy jako dedykowany bezpieczny magazyn kluczy i pomiarów.

Zaufane uruchamianie zapewnia maszynie wirtualnej własne dedykowane wystąpienie modułu TPM, które działa w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej. Maszyna wirtualna vTPM umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).

Zaufane uruchamianie używa maszyny wirtualnej vTPM do przeprowadzania zdalnego zaświadczania za pośrednictwem chmury. Zaświadczania umożliwiają sprawdzanie kondycji platformy i są używane do podejmowania decyzji opartych na zaufaniu. W ramach kontroli kondycji zaufane uruchamianie może kryptograficznie certyfikować, że maszyna wirtualna została uruchomiona poprawnie.

Jeśli proces zakończy się niepowodzeniem, prawdopodobnie dlatego, że maszyna wirtualna uruchamia nieautoryzowany składnik, Microsoft Defender dla Chmury problemy z alertami integralności. Alerty zawierają szczegółowe informacje o tym, które składniki nie przeszły testów integralności.

Zabezpieczenia oparte na wirtualizacji

Zabezpieczenia oparte na wirtualizacji (VBS) używają funkcji hypervisor do tworzenia bezpiecznego i izolowanego regionu pamięci. System Windows używa tych regionów do uruchamiania różnych rozwiązań zabezpieczeń ze zwiększoną ochroną przed lukami w zabezpieczeniach i złośliwymi programami wykorzystującymi luki w zabezpieczeniach. Zaufane uruchamianie umożliwia włączenie integralności kodu funkcji hypervisor (HVCI) i funkcji Windows Defender Credential Guard.

HVCI to zaawansowane środki zaradcze systemu, które chronią procesy trybu jądra systemu Windows przed wstrzyknięciem i wykonaniem złośliwego lub niezweryfikowanego kodu. Sprawdza sterowniki trybu jądra i pliki binarne przed ich uruchomieniem, uniemożliwiając ładowanie niepodpisanych plików do pamięci. Sprawdza, czy nie można zmodyfikować kodu wykonywalnego po jego załadowaniu. Aby uzyskać więcej informacji na temat skryptów VBS i HVCI, zobacz Zabezpieczenia oparte na wirtualizacji i integralność kodu wymuszane przez funkcję hypervisor.

Za pomocą zaufanego uruchamiania i języka VBS można włączyć funkcję Windows Defender Credential Guard. Funkcja Credential Guard izoluje i chroni wpisy tajne, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp. Pomaga zapobiegać nieautoryzowanemu dostępowi do wpisów tajnych i ataków kradzieży poświadczeń, takich jak ataki typu Pass-the-Hash. Aby uzyskać więcej informacji, zobacz Credential Guard.

integracja Microsoft Defender dla Chmury

Zaufane uruchamianie jest zintegrowane z Defender dla Chmury, aby upewnić się, że maszyny wirtualne są prawidłowo skonfigurowane. Defender dla Chmury stale ocenia zgodne maszyny wirtualne i problemy z odpowiednimi zaleceniami:

• Zalecenie dotyczące włączania bezpiecznego rozruchu: zalecenie Bezpiecznego rozruchu dotyczy tylko maszyn wirtualnych obsługujących zaufane uruchamianie. Defender dla Chmury identyfikuje maszyny wirtualne, które mogą włączyć bezpieczny rozruch, ale mają wyłączone. Wydaje zalecenie o niskiej ważności, aby je włączyć.

• Zalecenie dotyczące włączania maszyny wirtualnej vTPM: jeśli maszyna wirtualna ma włączoną funkcję vTPM, Defender dla Chmury może jej używać do zaświadczania gościa i identyfikowania zaawansowanych wzorców zagrożeń. Jeśli Defender dla Chmury zidentyfikuje maszyny wirtualne, które obsługują zaufane uruchamianie i mają wyłączoną maszynę wirtualną vTPM, wystawia zalecenie o niskiej ważności, aby je włączyć.

• Zalecenie dotyczące instalowania rozszerzenia zaświadczania gościa: jeśli maszyna wirtualna ma włączony bezpieczny rozruch i protokół vTPM, ale nie ma zainstalowanego rozszerzenia zaświadczania gościa, Defender dla Chmury problemy z zaleceniami o niskiej ważności, aby zainstalować na nim rozszerzenie zaświadczania gościa. To rozszerzenie umożliwia Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu maszyn wirtualnych. Integralność rozruchu jest zaświadczana za pośrednictwem zdalnego zaświadczania.

• Ocena kondycji zaświadczania lub monitorowanie integralności rozruchu: jeśli maszyna wirtualna ma włączony bezpieczny rozruch i protokół vTPM oraz zainstalowane rozszerzenie zaświadczania, Defender dla Chmury może zdalnie sprawdzić, czy maszyna wirtualna została uruchomiony w dobrej kondycji. Ta praktyka jest nazywana monitorowaniem integralności rozruchu. Defender dla Chmury wystawia ocenę wskazującą stan zdalnego zaświadczania.

  Jeśli maszyny wirtualne są prawidłowo skonfigurowane przy użyciu zaufanego uruchamiania, Defender dla Chmury może wykrywać i powiadamiać o problemach z kondycją maszyny wirtualnej.

• Alert dotyczący niepowodzenia zaświadczania maszyn wirtualnych: Defender dla Chmury okresowo wykonuje zaświadczanie na maszynach wirtualnych. Zaświadczenie odbywa się również po uruchomieniu maszyny wirtualnej. Jeśli zaświadczenie zakończy się niepowodzeniem, wyzwala alert o średniej ważności. Zaświadczenie maszyny wirtualnej może zakończyć się niepowodzeniem z następujących powodów:

  • Attestowane informacje, które zawierają dziennik rozruchu, są odejmowane z zaufanego punktu odniesienia. Każde odchylenie może wskazywać, że załadowano niezaufane moduły, a system operacyjny może zostać naruszony.

  • Nie można zweryfikować cudzysłowu zaświadczania pochodzącego z maszyny wirtualnej testowanej maszyny wirtualnej vTPM. Niezweryfikowane źródło może wskazywać, że złośliwe oprogramowanie jest obecne i może przechwytywać ruch do maszyny wirtualnej vTPM.

    Uwaga

    Alerty są dostępne dla maszyn wirtualnych z włączoną funkcją vTPM i zainstalowanym rozszerzeniem zaświadczania. Bezpieczny rozruch musi być włączony, aby można było przekazać zaświadczenie. Zaświadczenie kończy się niepowodzeniem, jeśli bezpieczny rozruch jest wyłączony. Jeśli musisz wyłączyć bezpieczny rozruch, możesz pominąć ten alert, aby uniknąć wyników fałszywie dodatnich.

• Alert dotyczący niezaufanego modułu jądra systemu Linux: w przypadku zaufanego uruchamiania z włączonym bezpiecznym rozruchem można uruchomić maszynę wirtualną, nawet jeśli sterownik jądra zakończy się niepowodzeniem i nie będzie można załadować go. W takim scenariuszu Defender dla Chmury problemy z alertami o niskiej ważności. Chociaż nie ma bezpośredniego zagrożenia, ponieważ niezaufany sterownik nie został załadowany, należy zbadać te zdarzenia. Zadaj sobie pytanie:

  • Który sterownik jądra zakończył się niepowodzeniem? Czy znam ten sterownik i czy spodziewam się załadowania go?
  • Czy jest to dokładna wersja sterownika, jakiego oczekuję? Czy pliki binarne sterownika są nienaruszone? Jeśli jest to sterownik innej firmy, czy dostawca przeszedł testy zgodności systemu operacyjnego, aby go podpisać?

Powiązana zawartość

Wdrażanie zaufanej maszyny wirtualnej uruchamiania.