Zaufane uruchamianie maszyn wirtualnych platformy Azure

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows — elastyczne zestawy ✔️ ✔️ skalowania

Platforma Azure oferuje zaufane uruchamianie jako bezproblemowy sposób poprawy bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku, skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami.

Ważne

Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Korzyści

  • Bezpiecznie wdrażaj maszyny wirtualne za pomocą zweryfikowanych modułów ładujących rozruch, jądra systemu operacyjnego i sterowników.
  • Bezpieczna ochrona kluczy, certyfikatów i wpisów tajnych na maszynach wirtualnych.
  • Uzyskaj szczegółowe informacje i pewność integralności całego łańcucha rozruchu.
  • Upewnij się, że obciążenia są zaufane i weryfikowalne.

Rozmiary maszyn wirtualnych

Typ Obsługiwane rozmiary maszyn wirtualnych Rozmiary nie są jeszcze obsługiwane.
Ogólnego przeznaczenia Seria B, seria DCsv2, seria DCsv3, seria DCdsv3, Seria Dv4, Seria Dsv4, Seria Dsv3, Seria Dsv2, Seria Dav4, Seria Dasv4, Seria Ddv4, Seria Ddv4, Seria Ddsv4, Seria Dv5, Seria Dsv5, Seria Ddv5, Seria Ddv5, Seria Ddv5, Seria Dasv5, Seria Dasv5, Seria Tasv5, Seria Dlsv5, Seria Dldsv5, Seria Dldsv5 Seria Dpsv5, seria Dpdsv5, seria Dplsv5, seria Dpldsv5
Optymalizacja pod kątem obliczeń Seria FX, seria Fsv2 Obsługiwane są wszystkie rozmiary.
Optymalizacja pod kątem pamięci Seria Dsv2, seria Esv3, seria Ev4, seria Esv4, seria Edv4, seria Edv4, seria Edsv4, seria Eav4, seria Easv4, seria Edv5, seria Edv5, seria Edsv5 Seria Easv5, Seria Eadsv5, Seria Ebsv5, Seria Ebdsv5, Seria Epsv5, Seria Epdsv5, Seria M, Seria Msv2 i Mdsv2 Średnia seria pamięci, Seria Mv2, Seria Mv2
Optymalizacja pod kątem magazynu Seria Ls, seria Lsv2, seria Lsv3, seria Lasv3 Obsługiwane są wszystkie rozmiary.
GPU * Seria NVv3, seria NVv4, seria NDv2, seria NC_A100_v4, seria NCasT4_v3, seria NCadsA10 v4, seria NVadsA10 v5 Seria NCv2, seria NCv3, seria NDasrA100_v4, seria NDm_A100_v4, seria ND
Obliczenia o wysokiej wydajności Seria HB, seria HBv2, seria HC Seria HBv3, seria HBv4, seria HX

Uwaga

  • Instalacja sterowników CUDA & GRID na maszynach wirtualnych z systemem Windows z włączoną obsługą bezpiecznego rozruchu nie wymaga żadnych dodatkowych kroków.
  • Zainstaluj sterownik CUDA na maszynach wirtualnych z systemem Ubuntu z włączoną obsługą bezpiecznego rozruchu , wykonując następujące kroki.
  • Instalacja sterownika GRID wymaga wyłączenia bezpiecznego rozruchu dla maszyn wirtualnych z systemem Linux.

Obsługiwane systemy operacyjne

System operacyjny Wersja
Azure Linux 1.0, 2.0
CentOS 8.3, 8.4
Debian 11
Oracle Linux 8.3, 8.4, 8.5, 8.6, 9.0 LVM
RedHat Enterprise Linux 8.3, 8.4, 8.5, 8.6, 9.0, 9.1 LVM
SUSE Enterprise Linux 15SP3, 15SP4
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Windows Server (Wersja platformy Azure) 2022

* Obsługiwane są odmiany tego systemu operacyjnego.

Dodatkowe informacje

Regiony:

  • Wszystkie regiony publiczne
  • Wszystkie regiony Azure Government

Cennik: brak dodatkowych kosztów dla istniejących cen maszyn wirtualnych.

Nieobsługiwane funkcje

  • Azure Site Recovery
  • Azure Automanage
  • Dysk w warstwie Ultra, SSD w wersji 2 w warstwie Premium
  • Obraz zarządzany
  • Wirtualizacja zagnieżdżona (większość obsługiwanych rozmiarów maszyn wirtualnych w wersji 5)

Bezpieczny rozruch

W katalogu głównym zaufanego uruchamiania jest bezpieczny rozruch maszyny wirtualnej. Ten tryb, który jest implementowany w oprogramowaniu układowym platformy, chroni przed instalacją opartych na złośliwym oprogramowaniu rootkitów i zestawów rozruchowych. Bezpieczny rozruch działa, aby zapewnić możliwość rozruchu tylko podpisanych systemów operacyjnych i sterowników. Ustanawia "główny element zaufania" dla stosu oprogramowania na maszynie wirtualnej. Po włączeniu bezpiecznego rozruchu wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruch, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Zarówno system Windows, jak i wybrane dystrybucje systemu Linux obsługują bezpieczny rozruch. Jeśli nie można uwierzytelnić bezpiecznego rozruchu, że obraz został podpisany przez zaufanego wydawcę, maszyna wirtualna nie będzie mogła uruchomić. Więcej informacji zawiera temat Bezpieczny rozruch.

vTPM

Zaufane uruchamianie wprowadza również maszyny wirtualne platformy Azure do maszyn wirtualnych platformy Azure. Jest to zwirtualizowana wersja sprzętowego modułu Trusted Platform Module, zgodna ze specyfikacją TPM2.0. Służy jako dedykowany bezpieczny magazyn kluczy i pomiarów. Zaufane uruchamianie zapewnia maszynie wirtualnej własne dedykowane wystąpienie modułu TPM działające w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej. Maszyna wirtualna vTPM umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).

Zaufane uruchamianie używa maszyny wirtualnej vTPM do przeprowadzania zdalnego zaświadczania przez chmurę. Służy to do sprawdzania kondycji platformy i podejmowania decyzji opartych na zaufaniu. W ramach kontroli kondycji zaufane uruchamianie może kryptograficznie certyfikować, że maszyna wirtualna została prawidłowo uruchomiona. Jeśli proces zakończy się niepowodzeniem, prawdopodobnie dlatego, że maszyna wirtualna jest uruchomiona nieautoryzowanym składnikiem, Microsoft Defender for Cloud będzie wystawiać alerty integralności. Alerty zawierają szczegółowe informacje o tym, które składniki nie przeszły kontroli integralności.

Zabezpieczenia oparte na wirtualizacji

Zabezpieczenia oparte na wirtualizacji (VBS) używają funkcji hypervisor do tworzenia bezpiecznego i izolowanego regionu pamięci. System Windows używa tych regionów do uruchamiania różnych rozwiązań zabezpieczeń o zwiększonej ochronie przed lukami w zabezpieczeniach i złośliwymi programami wykorzystującymi luki w zabezpieczeniach. Zaufane uruchamianie umożliwia włączenie funkcji Hypervisor Code Integrity (HVCI) i Windows Defender Credential Guard.

HVCI to zaawansowane środki zaradcze systemu, które chronią procesy trybu jądra systemu Windows przed wstrzyknięciem i wykonaniem złośliwego lub niezweryfikowanego kodu. Sprawdza sterowniki trybu jądra i pliki binarne przed ich uruchomieniem, uniemożliwiając ładowanie niepodpisanych plików do pamięci. Gwarantuje to, że nie można zmodyfikować takiego kodu wykonywalnego po jego załadowaniu. Aby uzyskać więcej informacji na temat skryptów VBS i HVCI, zobacz Wirtualizacja Based Security (VBS) i Hypervisor Enforced Code Integrity (HVCI).

Dzięki zaufanej funkcji uruchamiania i vbS można włączyć Windows Defender Credential Guard. Ta funkcja izoluje i chroni wpisy tajne, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp. Pomaga zapobiegać nieautoryzowanemu dostępowi do wpisów tajnych i ataków kradzieży poświadczeń, takich jak ataki Typu Pass-the-Hash (PtH). Aby uzyskać więcej informacji, zobacz Credential Guard.

integracja z usługą Microsoft Defender for Cloud

Zaufane uruchamianie jest zintegrowane z Microsoft Defender for Cloud, aby upewnić się, że maszyny wirtualne są prawidłowo skonfigurowane. Microsoft Defender dla chmury będzie stale oceniać zgodne maszyny wirtualne i wydawać odpowiednie zalecenia.

  • Zalecenie dotyczące włączenia bezpiecznego rozruchu — to zalecenie dotyczy tylko maszyn wirtualnych obsługujących zaufane uruchamianie. Microsoft Defender for Cloud zidentyfikuje maszyny wirtualne, które mogą włączyć bezpieczny rozruch, ale mają wyłączone. Spowoduje to wydanie zalecenia o niskiej ważności, aby je włączyć.
  • Zalecenie dotyczące włączenia maszyny wirtualnej vTPM — jeśli maszyna wirtualna ma włączoną funkcję vTPM, Microsoft Defender for Cloud może używać jej do zaświadczania gościa i identyfikowania zaawansowanych wzorców zagrożeń. Jeśli Microsoft Defender dla chmury zidentyfikuje maszyny wirtualne, które obsługują zaufane uruchamianie i mają wyłączone maszyny wirtualne vTPM, wyda zalecenie o niskiej ważności, aby je włączyć.
  • Zalecenie dotyczące instalowania rozszerzenia zaświadczania gościa — jeśli maszyna wirtualna ma włączony bezpieczny rozruch i protokół vTPM, ale nie ma zainstalowanego rozszerzenia zaświadczania gościa, Microsoft Defender dla chmury wyda zalecenie o niskiej ważności w celu zainstalowania na nim rozszerzenia zaświadczania gościa. To rozszerzenie umożliwia Microsoft Defender dla chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu maszyn wirtualnych. Integralność rozruchu jest zaświadczona za pośrednictwem zdalnego zaświadczania.
  • Ocena kondycji zaświadczania lub monitorowanie integralności rozruchu — jeśli maszyna wirtualna ma zainstalowany bezpieczny rozruch i rozszerzenie zaświadczania i zaświadczania, Microsoft Defender dla chmury może zdalnie sprawdzić, czy maszyna wirtualna została uruchomiony w dobrej kondycji. Jest to nazywane monitorowaniem integralności rozruchu. Microsoft Defender w przypadku problemów z chmurą ocena wskazująca stan zdalnego zaświadczania.

Jeśli maszyny wirtualne są prawidłowo skonfigurowane przy użyciu zaufanego uruchamiania, Microsoft Defender for Cloud może wykrywać i powiadamiać o problemach z kondycją maszyny wirtualnej.

  • Alert dotyczący niepowodzenia zaświadczania maszyn wirtualnych: Microsoft Defender dla chmury będzie okresowo wykonywać zaświadczanie na maszynach wirtualnych. Dzieje się tak również po uruchomieniu maszyny wirtualnej. Jeśli zaświadczenie nie powiedzie się, spowoduje to wyzwolenie alertu o średniej ważności. Zaświadczenie maszyny wirtualnej może zakończyć się niepowodzeniem z następujących powodów:

    • Atestowane informacje, które obejmują dziennik rozruchu, odbiega od zaufanego punktu odniesienia. Może to oznaczać, że niezaufane moduły zostały załadowane, a system operacyjny może zostać naruszony.
    • Nie można zweryfikować cudzysłowu zaświadczania pochodzącego z maszyny wirtualnej testowanej maszyny wirtualnej vTPM. Może to wskazywać, że złośliwe oprogramowanie jest obecne i może przechwytywać ruch do maszyny wirtualnej vTPM.

    Uwaga

    Ten alert jest dostępny dla maszyn wirtualnych z włączoną funkcją vTPM i zainstalowanym rozszerzeniem zaświadczania. Bezpieczny rozruch musi być włączony, aby można było przekazać zaświadczenie. Zaświadczenie zakończy się niepowodzeniem, jeśli bezpieczny rozruch jest wyłączony. Jeśli musisz wyłączyć bezpieczny rozruch, możesz pominąć ten alert, aby uniknąć wyników fałszywie dodatnich.

  • Alert dotyczący niezaufanego modułu jądra systemu Linux: W przypadku zaufanego uruchamiania z włączonym bezpiecznym rozruchem można uruchomić maszynę wirtualną, nawet jeśli sterownik jądra zakończy się niepowodzeniem weryfikacji i nie można go załadować. W takim przypadku Microsoft Defender dla chmury wyda alert o niskiej ważności. Chociaż nie ma bezpośredniego zagrożenia, ponieważ niezaufany sterownik nie został załadowany, należy zbadać te zdarzenia. Rozważ następujące źródła:

    • Który sterownik jądra zakończył się niepowodzeniem? Czy znam ten sterownik i spodziewam się, że zostanie załadowany?
    • Czy jest to dokładna wersja sterownika, jakiego oczekuję? Czy pliki binarne sterowników są nienaruszone? Jeśli jest to sterownik innej firmy, czy dostawca przeszedł testy zgodności systemu operacyjnego, aby go podpisać?

Często zadawane pytania

Często zadawane pytania dotyczące zaufanego uruchamiania.

Dlaczego należy używać zaufanego uruchamiania? Co chroni zaufana ochrona przed uruchomieniem?

Zaufane zabezpieczenia przed zestawami rozruchowymi, rootkitami i złośliwym oprogramowaniem na poziomie jądra. Te zaawansowane typy złośliwego oprogramowania działają w trybie jądra i pozostają ukryte przed użytkownikami. Na przykład:

  • Zestawy rootkit oprogramowania układowego: te zestawy zastępują oprogramowanie układowe systemu BIOS maszyny wirtualnej, dzięki czemu zestaw rootkit może rozpocząć się przed systemem operacyjnym.
  • Zestawy rozruchowe: te zestawy zastępują bootloader systemu operacyjnego, tak aby maszyna wirtualna ładowała zestaw rozruchowy przed systemem operacyjnym.
  • Zestawy rootkit jądra: te zestawy zastępują część jądra systemu operacyjnego, aby zestaw rootkit mógł uruchomić się automatycznie po załadowaniu systemu operacyjnego.
  • Zestawy rootkit sterowników: te zestawy udawać, że są jednym z zaufanych sterowników używanych przez system operacyjny do komunikowania się ze składnikami maszyny wirtualnej.

Jakie są różnice między bezpiecznym rozruchem a mierzonym rozruchem?

W bezpiecznym łańcuchu rozruchu każdy krok w procesie rozruchu sprawdza podpis kryptograficzny kolejnych kroków. Na przykład system BIOS sprawdzi podpis modułu ładującego, a moduł ładujący sprawdzi podpisy we wszystkich ładowanych obiektach jądra itd. Jeśli którykolwiek z obiektów zostanie naruszony, podpis nie będzie zgodny, a maszyna wirtualna nie zostanie uruchomiona. Więcej informacji zawiera temat Bezpieczny rozruch. Mierzony rozruch nie zatrzymuje procesu rozruchu, mierzy lub oblicza skrót następnych obiektów w łańcuchu i przechowuje skróty w rejestrach konfiguracji platformy (PCR) w module vTPM. Mierzone rekordy rozruchu są używane do monitorowania integralności rozruchu.

Co się stanie po wykryciu błędu integralności?

Zaufane uruchamianie maszyn wirtualnych platformy Azure jest monitorowane pod kątem zaawansowanych zagrożeń. Jeśli takie zagrożenia zostaną wykryte, zostanie wyzwolony alert. Alerty są dostępne tylko wtedy, gdy są włączone ulepszone funkcje zabezpieczeń usługi Defender for Cloud .

Usługa Defender for Cloud okresowo przeprowadza zaświadczenie. Jeśli zaświadczenie zakończy się niepowodzeniem, zostanie wyzwolony alert o średniej ważności. Zaufane zaświadczenie uruchamiania może zakończyć się niepowodzeniem z następujących powodów:

Zaufane uruchamianie maszyn wirtualnych platformy Azure jest monitorowane pod kątem zaawansowanych zagrożeń. Jeśli takie zagrożenia zostaną wykryte, zostanie wyzwolony alert. Alerty są dostępne tylko w warstwie Standardowa Microsoft Defender dla chmury. Microsoft Defender dla chmury okresowo przeprowadza zaświadczenie. Jeśli zaświadczenie zakończy się niepowodzeniem, zostanie wyzwolony alert o średniej ważności. Zaufane zaświadczenie uruchamiania może zakończyć się niepowodzeniem z następujących powodów:

  • Poświadczone informacje, w tym dziennik zaufanej bazy obliczeniowej (TCB), są odejmowane z zaufanego punktu odniesienia (na przykład po włączeniu bezpiecznego rozruchu). Może to oznaczać, że niezaufane moduły zostały załadowane, a system operacyjny może zostać naruszony.
  • Nie można zweryfikować cudzysłowu zaświadczania pochodzącego z maszyny wirtualnej testowanej maszyny wirtualnej vTPM. Może to wskazywać, że złośliwe oprogramowanie jest obecne i może przechwytywać ruch do modułu TPM.
  • Rozszerzenie zaświadczania na maszynie wirtualnej nie odpowiada. Może to oznaczać atak typu "odmowa usługi" przez złośliwe oprogramowanie lub administratora systemu operacyjnego.

W jaki sposób zaufane uruchamianie jest porównywane z maszyną wirtualną z osłoną funkcji Hyper-V?

Maszyna wirtualna z osłoną funkcji Hyper-V jest obecnie dostępna tylko w funkcji Hyper-V. Maszyna wirtualna z osłoną funkcji Hyper-V jest zwykle wdrażana w połączeniu z chronioną siecią szkieletową. Chroniona sieć szkieletowa składa się z usługi Ochrona hosta (HGS), co najmniej jednego hosta chronionego oraz zestawu chronionych maszyn wirtualnych. Maszyny wirtualne z osłoną funkcji Hyper-V są przeznaczone do użytku w sieciach szkieletowych, w których dane i stan maszyny wirtualnej muszą być chronione zarówno przed administratorami sieci szkieletowej, jak i niezaufanym oprogramowaniem, które może być uruchomione na hostach funkcji Hyper-V. Z drugiej strony zaufane uruchamianie można wdrożyć jako autonomiczną maszynę wirtualną lub Virtual Machine Scale Sets na platformie Azure bez dodatkowego wdrożenia usługi HGS i zarządzania nią. Wszystkie zaufane funkcje uruchamiania można włączyć za pomocą prostej zmiany kodu wdrożenia lub pola wyboru na Azure Portal.

Zaufane uruchamianie umożliwia teraz tworzenie i udostępnianie obrazów za pośrednictwem usługi Azure Compute Gallery (wcześniej Shared Image Gallery). Źródłem obrazu może być istniejąca maszyna wirtualna platformy Azure, która jest uogólniona lub wyspecjalizowana, istniejący dysk zarządzany lub migawka, wirtualny dysk twardy lub wersję obrazu z innej galerii. Aby wdrożyć zaufaną maszynę wirtualną uruchamiania z wersji obrazu usługi Azure Compute Gallery, zobacz zaufane uruchamianie maszyny wirtualnej.

Czy zaufana obsługa uruchamiania Azure Backup?

Zaufane uruchamianie obsługuje teraz Azure Backup. Aby uzyskać więcej informacji, zobacz Macierz obsługi kopii zapasowych maszyn wirtualnych platformy Azure.

Czy zaufane uruchamianie obsługuje efemeryczny dysk systemu operacyjnego?

Zaufane uruchamianie obsługuje efemeryczny dysk systemu operacyjnego. Należy pamiętać, że podczas korzystania z dysków efemerycznych dla zaufanych maszyn wirtualnych uruchamiania, klucze i wpisy tajne generowane lub zapieczętowane przez maszynę wirtualną po utworzeniu maszyny wirtualnej mogą nie być utrwalane w operacjach, takich jak ponowne tworzenie maszyny wirtualnej i zdarzenia platformy, takie jak naprawa usługi. Aby uzyskać więcej informacji, zobacz Zaufane uruchamianie dla efemerycznych dysków systemu operacyjnego (wersja zapoznawcza).

Jak mogę znaleźć rozmiary maszyn wirtualnych, które obsługują zaufane uruchamianie?

Zobacz listę rozmiarów maszyn wirtualnych 2. generacji obsługujących zaufane uruchamianie.

Poniższe polecenia mogą służyć do sprawdzania, czy rozmiar maszyny wirtualnej generacji 2 nie obsługuje zaufanego uruchamiania.

Interfejs wiersza polecenia

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

PowerShell

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

Odpowiedź jest podobna do poniższej. TrustedLaunchDisabled True w danych wyjściowych wskazuje, że rozmiar maszyny wirtualnej generacji 2 nie obsługuje zaufanego uruchamiania. Jeśli jest to rozmiar maszyny wirtualnej generacji 2 i TrustedLaunchDisabled nie jest częścią danych wyjściowych, oznacza to, że zaufane uruchamianie jest obsługiwane dla tego rozmiaru maszyny wirtualnej.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

Co to jest stan gościa maszyny wirtualnej (VMGS)?

Stan gościa maszyny wirtualnej (VMGS) jest specyficzny dla zaufanej maszyny wirtualnej uruchamiania. Jest to obiekt blob, który jest zarządzany przez platformę Azure i zawiera ujednolicone rozszerzalne bazy danych sygnatur rozruchowych (UEFI) bezpiecznego podpisu rozruchowego i inne informacje o zabezpieczeniach. Cykl życia obiektu blob usługi VMGS jest powiązany z cyklem życia dysku systemu operacyjnego.

Następne kroki

Wdróż zaufaną maszynę wirtualną uruchamiania.