Zaufane uruchamianie maszyn wirtualnych platformy Azure

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

Platforma Azure oferuje zaufane uruchamianie jako bezproblemowy sposób poprawy bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku, skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami.

Ważne

• Zaufane uruchamianie jest wybierane jako domyślny stan nowo utworzonych maszyn wirtualnych platformy Azure. Jeśli nowa maszyna wirtualna wymaga funkcji, które nie są obsługiwane przez zaufane uruchamianie, zobacz Zaufane uruchamianie — często zadawane pytania
• Istniejące maszyny wirtualne generacji 2 platformy Azure mogą mieć włączone zaufane uruchamianie po utworzeniu. Aby uzyskać więcej informacji, zobacz Włączanie zaufanego uruchamiania na istniejących maszynach wirtualnych
• Nie można włączyć zaufanego uruchamiania w istniejącym zestawie skalowania maszyn wirtualnych (VMSS), który został początkowo utworzony bez niego. Zaufane uruchamianie wymaga utworzenia nowego zestawu skalowania maszyn wirtualnych.

Świadczenia

• Bezpieczne wdrażanie maszyn wirtualnych za pomocą zweryfikowanych modułów ładujących rozruchu, jąder systemu operacyjnego i sterowników.
• Bezpieczna ochrona kluczy, certyfikatów i wpisów tajnych na maszynach wirtualnych.
• Uzyskaj szczegółowe informacje i pewność integralności całego łańcucha rozruchu.
• Upewnij się, że obciążenia są zaufane i weryfikowalne.

Rozmiary maszyn wirtualnych

Typ	Obsługiwane rodziny rozmiarów	Obecnie nieobsługiwane rodziny rozmiarów	Nieobsługiwane rodziny rozmiarów
Ogólnego przeznaczenia	Seria B, seria DCsv2, seria DCsv3, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dlsv5-series, Seria Dldsv5	Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series	Seria Av2, seria Dv2, seria Dv3
Optymalizacja pod kątem obliczeń	Seria FX, seria Fsv2	Obsługiwane są wszystkie rozmiary.
Optymalizacja pod kątem pamięci	Seria Dsv2, seria Esv3, Seria Ev4, Seria Esv4, Seria Edv4, Seria Edv4, Seria Edsv4, Seria Eav4, Easv4-series, Seria Easv5, Eadsv5-series, Ebsv5-series,Ebdsv5-series,Edv5-series, seria Edsv5-series, seria Edsv5	Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory Series, Mv2-series	Seria Ev3
Optymalizacja pod kątem magazynu	Seria Lsv2, seria Lsv3, Seria Lasv3	Obsługiwane są wszystkie rozmiary.
Procesor GPU	Seria NCv2, seria NCv3, seria NCasT4_v3, seria NVv3, seria NVv4, seria NDv2, seria NC_A100_v4, seria NVadsA10 v5	seria NDasrA100_v4, seria NDm_A100_v4	Seria NC, seria NV, seria NP
Obliczenia o wysokiej wydajności	Seria HB, seria HBv2, seria HBv3, seria HBv4, seria HC, seria HX	Obsługiwane są wszystkie rozmiary.

Uwaga

• Instalacja sterowników CUDA i GRID na maszynach wirtualnych z systemem Windows z włączoną obsługą bezpiecznego rozruchu nie wymaga żadnych dodatkowych kroków.
• Instalacja sterownika CUDA na maszynach wirtualnych z systemem Ubuntu z włączoną obsługą bezpiecznego rozruchu wymaga dodatkowych kroków opisanych w temacie Instalowanie sterowników procesora GPU NVIDIA na maszynach wirtualnych serii N z systemem Linux. Bezpieczny rozruch powinien być wyłączony do instalowania sterowników CUDA na innych maszynach wirtualnych z systemem Linux.
• Instalacja sterownika GRID wymaga wyłączenia bezpiecznego rozruchu dla maszyn wirtualnych z systemem Linux.
• Nieobsługiwane rodziny rozmiarów nie obsługują maszyn wirtualnych generacji 2 . Zmień rozmiar maszyny wirtualnej na równoważne Rodziny obsługiwanych rozmiarów , aby włączyć zaufane uruchamianie.

Obsługiwane systemy operacyjne

System operacyjny	Wersja
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Windows Server (Wersja platformy Azure)	2022

* Obsługiwane są odmiany tego systemu operacyjnego.

Dodatkowe informacje

Regiony:

• Wszystkie regiony publiczne
• Wszystkie regiony platformy Azure Government
• Wszystkie regiony platformy Azure (Chiny)

Cennik: Zaufane uruchamianie nie zwiększa istniejących kosztów cen maszyn wirtualnych.

Nieobsługiwane funkcje

Uwaga

Następujące funkcje maszyny wirtualnej nie są obecnie obsługiwane w przypadku zaufanego uruchamiania.

• Azure Site Recovery
• Obraz zarządzany (klienci są zachęcani do korzystania z galerii obliczeń platformy Azure)
• Wirtualizacja zagnieżdżona (większość obsługiwanych rodzin rozmiarów maszyn wirtualnych w wersji 5)

Bezpieczny rozruch

W katalogu głównym zaufanego uruchamiania jest bezpieczny rozruch maszyny wirtualnej. Bezpieczny rozruch, który jest implementowany w oprogramowaniu układowym platformy, chroni przed instalacją pakietów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych. Bezpieczny rozruch działa, aby upewnić się, że mogą być uruchamiane tylko podpisane systemy operacyjne i sterowniki. Ustanawia on "główny element zaufania" dla stosu oprogramowania na maszynie wirtualnej. Po włączeniu bezpiecznego rozruchu wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) wymagają podpisywania zaufanych wydawców. Zarówno system Windows, jak i wybierz dystrybucje systemu Linux obsługują bezpieczny rozruch. Jeśli bezpieczny rozruch nie może uwierzytelnić się, że obraz jest podpisany przez zaufanego wydawcę, rozruch maszyny wirtualnej nie powiedzie się. Aby uzyskać więcej informacji, zobacz Bezpieczny rozruch.

VTPM

Zaufane uruchamianie wprowadza również maszyny wirtualne vTPM dla maszyn wirtualnych platformy Azure. VTPM to zwirtualizowana wersja sprzętowego modułu zaufanej platformy zgodna ze specyfikacją TPM2.0. Służy jako dedykowany bezpieczny magazyn kluczy i pomiarów. Zaufane uruchamianie zapewnia maszynie wirtualnej własne dedykowane wystąpienie modułu TPM działające w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej. Maszyna wirtualna vTPM umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).

Zaufane uruchamianie używa maszyny wirtualnej vTPM do przeprowadzania zdalnego zaświadczania za pośrednictwem chmury. Zaświadczania umożliwiają sprawdzanie kondycji platformy i podejmowanie decyzji opartych na zaufaniu. W ramach kontroli kondycji zaufane uruchamianie może kryptograficznie certyfikować, że maszyna wirtualna została uruchomiona poprawnie. Jeśli proces zakończy się niepowodzeniem, prawdopodobnie dlatego, że maszyna wirtualna uruchamia nieautoryzowany składnik, Microsoft Defender dla Chmury problemy z alertami integralności. Alerty zawierają szczegółowe informacje o tym, które składniki nie przeszły testów integralności.

Zabezpieczenia oparte na wirtualizacji

Zabezpieczenia oparte na wirtualizacji (VBS) używają funkcji hypervisor do tworzenia bezpiecznego i izolowanego regionu pamięci. System Windows używa tych regionów do uruchamiania różnych rozwiązań zabezpieczeń ze zwiększoną ochroną przed lukami w zabezpieczeniach i złośliwymi programami wykorzystującymi luki w zabezpieczeniach. Zaufane uruchamianie umożliwia włączenie integralności kodu funkcji Hypervisor (HVCI) i funkcji Windows Defender Credential Guard.

HVCI to zaawansowane środki zaradcze systemu, które chronią procesy trybu jądra systemu Windows przed wstrzyknięciem i wykonaniem złośliwego lub niezweryfikowanego kodu. Sprawdza sterowniki trybu jądra i pliki binarne przed ich uruchomieniem, uniemożliwiając ładowanie niepodpisanych plików do pamięci. Sprawdza, czy nie można zmodyfikować kodu wykonywalnego po jego załadowaniu. Aby uzyskać więcej informacji na temat vbS i HVCI, zobacz Wirtualizacja Based Security (VBS) i Hypervisor Enforced Code Integrity (HVCI).

W przypadku zaufanego uruchamiania i języka VBS można włączyć funkcję Windows Defender Credential Guard. Funkcja Credential Guard izoluje i chroni wpisy tajne, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskiwać do nich dostęp. Pomaga zapobiegać nieautoryzowanemu dostępowi do wpisów tajnych i ataków kradzieży poświadczeń, takich jak ataki Typu Pass-the-Hash (PtH). Aby uzyskać więcej informacji, zobacz Credential Guard.

integracja Microsoft Defender dla Chmury

Zaufane uruchamianie jest zintegrowane z Microsoft Defender dla Chmury, aby upewnić się, że maszyny wirtualne są prawidłowo skonfigurowane. Microsoft Defender dla Chmury stale ocenia zgodne maszyny wirtualne i wystawia odpowiednie zalecenia.

• Zalecenie dotyczące włączania bezpiecznego rozruchu — zalecenie dotyczące bezpiecznego rozruchu dotyczy tylko maszyn wirtualnych obsługujących zaufane uruchamianie. Microsoft Defender dla Chmury identyfikuje maszyny wirtualne, które mogą włączyć bezpieczny rozruch, ale mają wyłączone. Wydaje zalecenie o niskiej ważności, aby je włączyć.
• Zalecenie dotyczące włączania maszyny wirtualnej vTPM — jeśli maszyna wirtualna ma włączoną funkcję vTPM, Microsoft Defender dla Chmury może używać jej do zaświadczania gościa i identyfikowania zaawansowanych wzorców zagrożeń. Jeśli Microsoft Defender dla Chmury identyfikuje maszyny wirtualne, które obsługują zaufane uruchamianie i mają wyłączone maszyny wirtualne vTPM, wystawia zalecenie o niskiej ważności, aby je włączyć.
• Zalecenie dotyczące instalowania rozszerzenia zaświadczania gościa — jeśli maszyna wirtualna ma włączony bezpieczny rozruch i protokół vTPM, ale nie ma zainstalowanego rozszerzenia zaświadczania gościa, Microsoft Defender dla Chmury problemy z zaleceniami o niskiej ważności, aby zainstalować na nim rozszerzenie zaświadczania gościa. To rozszerzenie umożliwia Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu maszyn wirtualnych. Integralność rozruchu jest zaświadczana za pośrednictwem zdalnego zaświadczania.
• Ocena kondycji zaświadczania lub monitorowanie integralności rozruchu — jeśli maszyna wirtualna ma zainstalowane rozszerzenie bezpiecznego rozruchu i vTPM oraz zaświadczania, Microsoft Defender dla Chmury może zdalnie sprawdzić, czy maszyna wirtualna została uruchomiony w dobrej kondycji. Jest to nazywane monitorowaniem integralności rozruchu. Microsoft Defender dla Chmury wystawia ocenę wskazującą stan zdalnego zaświadczania.

Jeśli maszyny wirtualne są prawidłowo skonfigurowane przy użyciu zaufanego uruchamiania, Microsoft Defender dla Chmury może wykrywać i powiadamiać o problemach z kondycją maszyny wirtualnej.

• Alert dotyczący niepowodzenia zaświadczania maszyn wirtualnych: Microsoft Defender dla Chmury okresowo wykonuje zaświadczanie na maszynach wirtualnych. Zaświadczenie odbywa się również po uruchomieniu maszyny wirtualnej. Jeśli zaświadczenie zakończy się niepowodzeniem, wyzwala alert o średniej ważności. Zaświadczenie maszyny wirtualnej może zakończyć się niepowodzeniem z następujących powodów:

  • Attestowane informacje, które zawierają dziennik rozruchu, są odejmowane z zaufanego punktu odniesienia. Każde odchylenie może wskazywać, że załadowano niezaufane moduły, a system operacyjny może zostać naruszony.
  • Nie można zweryfikować cudzysłowu zaświadczania pochodzącego z maszyny wirtualnej testowanej maszyny wirtualnej vTPM. Niezweryfikowane źródło może wskazywać, że złośliwe oprogramowanie jest obecne i może przechwytywać ruch do maszyny wirtualnej vTPM.

  Uwaga

  Alerty są dostępne dla maszyn wirtualnych z włączoną funkcją vTPM i zainstalowanym rozszerzeniem zaświadczania. Bezpieczny rozruch musi być włączony, aby można było przekazać zaświadczenie. Zaświadczenie kończy się niepowodzeniem, jeśli bezpieczny rozruch jest wyłączony. Jeśli musisz wyłączyć bezpieczny rozruch, możesz pominąć ten alert, aby uniknąć wyników fałszywie dodatnich.

• Alert dotyczący niezaufanego modułu jądra systemu Linux: w przypadku zaufanego uruchamiania z włączonym bezpiecznym rozruchem można uruchomić maszynę wirtualną, nawet jeśli sterownik jądra zakończy się niepowodzeniem i nie będzie można załadować. W takim przypadku Microsoft Defender dla Chmury problemy z alertami o niskiej ważności. Chociaż nie ma bezpośredniego zagrożenia, ponieważ niezaufany sterownik nie został załadowany, należy zbadać te zdarzenia.

  • Który sterownik jądra zakończył się niepowodzeniem? Czy znam ten sterownik i spodziewam się, że zostanie załadowany?
  • Czy jest to dokładna wersja sterownika, jakiego oczekuję? Czy pliki binarne sterownika są nienaruszone? Jeśli jest to sterownik innej firmy, czy dostawca przeszedł testy zgodności systemu operacyjnego, aby go podpisać?

Następne kroki

Wdróż zaufaną maszynę wirtualną uruchamiania.