Włączanie zaufanego uruchamiania na istniejących maszynach wirtualnych platformy Azure

Dotyczy: ✔️ maszyna wirtualna z systemem Linux maszyna wirtualna ✔️ ✔️ z systemem Windows Generation 2

Usługa Azure Virtual Machines obsługuje włączanie zaufanego uruchamiania platformy Azure na istniejących maszynach wirtualnych generacji 2 platformy Azure przez uaktualnienie do zaufanego typu zabezpieczeń uruchamiania.

Zaufane uruchamianie to sposób włączania podstawowych zabezpieczeń obliczeniowych na maszynach wirtualnych generacji 2 platformy Azure i ochrony przed zaawansowanymi i trwałymi technikami ataków, takimi jak zestawy rozruchowe i zestawy rootkit. Umożliwia to połączenie technologii infrastruktury, takich jak bezpieczny rozruch, wirtualny moduł zaufanej platformy (vTPM) i monitorowanie integralności rozruchu na maszynie wirtualnej.

Ważne

Obsługa włączania zaufanego uruchamiania na istniejących maszynach wirtualnych generacji 1 platformy Azure jest obecnie dostępna w prywatnej wersji zapoznawczej. Dostęp do wersji zapoznawczej można uzyskać przy użyciu formularza rejestracji.

Wymagania wstępne

• Maszyna wirtualna generacji 2 platformy Azure jest skonfigurowana przy użyciu:
  • Rodzina obsługiwanych rozmiarów zaufanego uruchamiania.
  • Obraz zaufanego uruchamiania obsługiwanego systemu operacyjnego. W przypadku niestandardowych obrazów lub dysków systemu operacyjnego podstawowy obraz powinien mieć możliwość zaufanego uruchamiania.
• Maszyna wirtualna generacji 2 platformy Azure nie korzysta obecnie z funkcji, które nie są obsługiwane w przypadku zaufanego uruchamiania.
• Maszyny wirtualne generacji 2 platformy Azure powinny zostać zatrzymane i cofnięto przydział przed włączeniem typu zabezpieczeń Zaufane uruchamianie.
• Jeśli usługa Azure Backup jest włączona, dla maszyn wirtualnych należy skonfigurować zasady rozszerzonej kopii zapasowej. Nie można włączyć zaufanego typu zabezpieczeń uruchamiania dla maszyn wirtualnych generacji 2 skonfigurowanej z ochroną kopii zapasowych zasad w warstwie Standardowa.
  • Istniejące kopie zapasowe maszyny wirtualnej platformy Azure można migrować ze standardu do zasad rozszerzonych. Wykonaj kroki opisane w artykule Migrowanie kopii zapasowych maszyn wirtualnych platformy Azure z warstwy Standardowa do rozszerzonych zasad (wersja zapoznawcza).

Najlepsze rozwiązania

• Włącz zaufane uruchamianie na maszynie wirtualnej generacji testowej 2 i ustal, czy jakiekolwiek zmiany są wymagane do spełnienia wymagań wstępnych przed włączeniem zaufanego uruchamiania na maszynach wirtualnych generacji 2 skojarzonych z obciążeniami produkcyjnymi.
• Utwórz punkty przywracania dla maszyn wirtualnych generacji 2 platformy Azure skojarzonych z obciążeniami produkcyjnymi przed włączeniem typu zabezpieczeń Zaufane uruchamianie. Możesz użyć punktów przywracania, aby ponownie utworzyć dyski i maszynę wirtualną generacji 2 z poprzednim dobrze znanym stanem.

Włączanie zaufanego uruchamiania na istniejącej maszynie wirtualnej

Uwaga

• Po włączeniu zaufanego uruchamiania obecnie maszyny wirtualne nie mogą być przywracane do standardowego typu zabezpieczeń (konfiguracja uruchamiania nieodparta na zaufaniu).
• Funkcja vTPM jest domyślnie włączona.
• Zalecamy włączenie bezpiecznego rozruchu, jeśli nie używasz niestandardowego niepodpisanego jądra lub sterowników. Nie jest ona domyślnie włączona. Bezpieczny rozruch zachowuje integralność rozruchu i umożliwia podstawowe zabezpieczenia maszyn wirtualnych.

Portal

Włącz zaufane uruchamianie na istniejącej maszynie wirtualnej generacji 2 platformy Azure przy użyciu witryny Azure Portal.

1. Zaloguj się w witrynie Azure Portal.

2. Upewnij się, że generacja maszyny wirtualnej to V2 , a następnie wybierz pozycję Zatrzymaj dla maszyny wirtualnej.

   

3. Na stronie Przegląd we właściwościach maszyny wirtualnej w obszarze Typ zabezpieczeń wybierz pozycję Standardowa. Zostanie otwarta strona Konfiguracja maszyny wirtualnej.

   

4. Na stronie Konfiguracja w sekcji Typ zabezpieczeń wybierz listę rozwijaną Typ zabezpieczeń.

   

5. Na liście rozwijanej wybierz pozycję Zaufane uruchamianie. Zaznacz pola wyboru, aby włączyć bezpieczny rozruch i protokół vTPM. Po wprowadzeniu zmian wybierz pozycję Zapisz.

   Uwaga

   • Maszyny wirtualne generacji 2 utworzone przy użyciu usługi Azure Compute Gallery (ACG), obrazu zarządzanego lub dysku systemu operacyjnego nie można uaktualnić do zaufanego uruchamiania przy użyciu portalu. Upewnij się, że wersja systemu operacyjnego jest obsługiwana na potrzeby zaufanego uruchamiania. Użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager (szablonu usługi ARM), aby uruchomić uaktualnienie.

   

6. Po pomyślnym zakończeniu aktualizacji zamknij stronę Konfiguracja . Na stronie Przegląd we właściwościach maszyny wirtualnej potwierdź ustawienia Typ zabezpieczeń.

   

7. Uruchom uaktualnioną zaufaną maszynę wirtualną uruchamiania. Sprawdź, czy możesz zalogować się do maszyny wirtualnej przy użyciu protokołu RDP (Remote Desktop Protocol) dla maszyn wirtualnych z systemem Windows lub protokołu SSH (Secure Shell Protocol) dla maszyn wirtualnych z systemem Linux.

Interfejs wiersza polecenia

Wykonaj kroki, aby włączyć zaufane uruchamianie na istniejącej maszynie wirtualnej generacji 2 platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Upewnij się, że zainstalowano najnowszy interfejs wiersza polecenia platformy Azure i zalogowaliśmy się do konta platformy Azure przy użyciu polecenia az login.

1. Zaloguj się do subskrypcji platformy Azure maszyny wirtualnej.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Cofanie przydziału maszyny wirtualnej.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Włącz zaufane uruchamianie, ustawiając wartość --security-type TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Zweryfikuj dane wyjściowe poprzedniego polecenia. Upewnij się, że securityProfile konfiguracja jest zwracana z danymi wyjściowymi polecenia.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Uruchom maszynę wirtualną.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Uruchom uaktualnioną zaufaną maszynę wirtualną uruchamiania. Sprawdź, czy możesz zalogować się do maszyny wirtualnej przy użyciu protokołu RDP (dla maszyn wirtualnych z systemem Windows) lub SSH (dla maszyn wirtualnych z systemem Linux).

Program PowerShell

Wykonaj kroki, aby włączyć zaufane uruchamianie na istniejącej maszynie wirtualnej generacji 2 platformy Azure przy użyciu programu Azure PowerShell.

Upewnij się, że zainstalowano najnowszą wersję programu Azure PowerShell i zalogowaliśmy się do konta platformy Azure przy użyciu polecenia Connect-AzAccount.

1. Zaloguj się do subskrypcji platformy Azure maszyny wirtualnej.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Cofanie przydziału maszyny wirtualnej.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Włącz zaufane uruchamianie, ustawiając wartość -SecurityType TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Zweryfikuj securityProfile zaktualizowaną konfigurację maszyny wirtualnej.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Uruchom maszynę wirtualną.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Uruchom uaktualnioną zaufaną maszynę wirtualną uruchamiania. Sprawdź, czy możesz zalogować się do maszyny wirtualnej przy użyciu protokołu RDP (dla maszyn wirtualnych z systemem Windows) lub SSH (dla maszyn wirtualnych z systemem Linux).

Szablon

Wykonaj kroki, aby włączyć zaufane uruchamianie na istniejącej maszynie wirtualnej generacji 2 platformy Azure przy użyciu szablonu usługi ARM.

Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. W szablonie używana jest składnia deklaratywna. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.

1. Przejrzyj szablon.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. parameters Edytuj plik JSON przy użyciu maszyn wirtualnych, aby był aktualizowany przy użyciu TrustedLaunch typu zabezpieczeń.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definicja pliku parametrów

   Właściwości	Opis właściwości	Przykładowa wartość szablonu
   vmName	Nazwa maszyny wirtualnej generacji 2 platformy Azure.	myVm
   lokalizacja	Lokalizacja maszyny wirtualnej generacji 2 platformy Azure.	westus3
   secureBootEnabled	Włącz bezpieczny rozruch z zaufanym typem zabezpieczeń uruchamiania.	true

3. Cofanie przydziału wszystkich maszyn wirtualnych generacji 2 platformy Azure do zaktualizowania.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Uruchom wdrożenie szablonu usługi ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Uruchom uaktualnioną zaufaną maszynę wirtualną uruchamiania. Sprawdź, czy możesz zalogować się do maszyny wirtualnej przy użyciu protokołu RDP (dla maszyn wirtualnych z systemem Windows) lub SSH (dla maszyn wirtualnych z systemem Linux).

Zalecenie usługi Azure Advisor

Usługa Azure Advisor wypełnia rekomendację Włącz podstawową doskonałość uruchamiania i nowoczesne zabezpieczenia istniejących maszyn wirtualnych 2. generacji dla istniejących maszyn wirtualnych 2. generacji w celu wdrożenia zaufanego uruchamiania, co stanowi wyższy poziom zabezpieczeń dla maszyn wirtualnych platformy Azure bez dodatkowych kosztów. Upewnij się, że maszyna wirtualna 2. generacji ma wszystkie wymagania wstępne dotyczące migracji do zaufanego uruchamiania, postępuj zgodnie ze wszystkimi najlepszymi rozwiązaniami, w tym weryfikacją obrazu systemu operacyjnego, rozmiarem maszyny wirtualnej i tworzeniem punktów przywracania. Aby zalecenie doradcy było uznawane za ukończone, wykonaj kroki opisane w temacie Włącz zaufane uruchamianie na istniejącej maszynie wirtualnej , aby uaktualnić typ zabezpieczeń maszyn wirtualnych i włączyć zaufane uruchamianie.

Co zrobić, jeśli istnieją maszyny wirtualne generacji 2, które nie spełniają wymagań wstępnych dotyczących zaufanego uruchamiania?

W przypadku maszyny wirtualnej generacji 2, która nie spełnia wymagań wstępnych dotyczących uaktualniania do zaufanego uruchamiania, sprawdź, jak spełnić wymagania wstępne. Jeśli na przykład nie jest obsługiwany rozmiar maszyny wirtualnej, poszukaj równoważnego obsługiwanego rozmiaru zaufanego uruchamiania, który obsługuje zaufane uruchamianie.

Uwaga

Odrzuć zalecenie, jeśli maszyna wirtualna Gen2 jest skonfigurowana z rodzinami rozmiarów maszyn wirtualnych, które nie są obecnie obsługiwane w przypadku zaufanego uruchamiania, takiego jak seria MSv2.

Powiązana zawartość

• Włącz zaufane uruchamianie dla nowych wdrożeń maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Wdrażanie zaufanych maszyn wirtualnych uruchamiania
• Po uaktualnieniu zalecamy włączenie monitorowania integralności rozruchu w celu monitorowania kondycji maszyny wirtualnej przy użyciu Microsoft Defender dla Chmury.
• Dowiedz się więcej na temat zaufanego uruchamiania i zapoznaj się z często zadawanymi pytaniami.