Wdrażanie maszyny wirtualnej z włączonym zaufanym uruchamianiem
Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania.
Zaufane uruchamianie to sposób na zwiększenie bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków, łącząc technologie infrastruktury, takie jak wirtualny moduł Trusted Platform Module (vTPM) i bezpieczny rozruch.
Wymagania wstępne
Zalecamy dodanie subskrypcji do Microsoft Defender dla Chmury, jeśli jeszcze jej nie ma. Defender dla Chmury ma warstwę Bezpłatna, która oferuje przydatne szczegółowe informacje dotyczące różnych zasobów platformy Azure i zasobów hybrydowych. W przypadku braku Defender dla Chmury użytkownicy zaufanej maszyny wirtualnej uruchamiania nie mogą monitorować integralności rozruchu maszyny wirtualnej.
Przypisz inicjatywy zasad platformy Azure do subskrypcji. Te inicjatywy zasad muszą być przypisane tylko raz na subskrypcję. Zasady ułatwiają wdrażanie i inspekcję zaufanych maszyn wirtualnych uruchamiania podczas automatycznego instalowania wszystkich wymaganych rozszerzeń na wszystkich obsługiwanych maszynach wirtualnych.
- Skonfiguruj wbudowaną inicjatywę zasad zaufanego uruchamiania maszyn wirtualnych.
- Skonfiguruj wymagania wstępne, aby włączyć zaświadczenie gościa na zaufanych maszynach wirtualnych z włączoną obsługą uruchamiania.
- Skonfiguruj maszyny, aby automatycznie instalować agentów usługi Azure Monitor i Azure Security na maszynach wirtualnych.
Zezwalaj na tag
AzureAttestation
usługi w regułach ruchu wychodzącego sieciowej grupy zabezpieczeń, aby zezwolić na ruch na potrzeby zaświadczania platformy Azure. Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej.Upewnij się, że zasady zapory zezwalają na dostęp do usługi
*.attest.azure.net
.
Uwaga
Jeśli używasz obrazu systemu Linux i przewidujesz, że maszyna wirtualna może mieć sterowniki jądra niepodpisane lub niepodpisane przez dostawcę dystrybucji systemu Linux, warto rozważyć wyłączenie bezpiecznego rozruchu. W witrynie Azure Portal na stronie Tworzenie maszyny wirtualnej dla parametru Security type
z wybraną pozycją Zaufane uruchamianie maszyn wirtualnych wybierz pozycję Konfiguruj funkcje zabezpieczeń i wyczyść pole wyboru Włącz bezpieczny rozruch . W interfejsie wiersza polecenia platformy Azure, programie PowerShell lub zestawie SDK ustaw parametr bezpiecznego rozruchu na false
wartość .
Wdrażanie zaufanej maszyny wirtualnej uruchamiania
Utwórz maszynę wirtualną z włączonym zaufanym uruchamianiem. Wybierz jedną z następujących opcji.
Zaloguj się w witrynie Azure Portal.
Wyszukaj pozycję Maszyny wirtualne.
W obszarze Usługi wybierz pozycję Maszyny wirtualne.
Na stronie Maszyny wirtualne wybierz pozycję Dodaj, a następnie wybierz pozycję Maszyna wirtualna.
W obszarze Szczegóły projektu upewnij się, że wybrano poprawną subskrypcję.
W obszarze Grupa zasobów wybierz pozycję Utwórz nową. Wprowadź nazwę grupy zasobów lub wybierz istniejącą grupę zasobów z listy rozwijanej.
W obszarze Szczegóły wystąpienia wprowadź nazwę maszyny wirtualnej i wybierz region obsługujący zaufane uruchamianie.
W obszarze Typ zabezpieczeń wybierz pozycję Zaufane uruchamianie maszyn wirtualnych. Po wyświetleniu opcji Bezpieczny rozruch, vTPM i Monitorowanie integralności wybierz odpowiednie opcje wdrożenia. Aby uzyskać więcej informacji, zobacz Zaufane funkcje zabezpieczeń z obsługą uruchamiania.
W obszarze Obraz wybierz obraz z zalecanych obrazów 2. generacji zgodnych z zaufanym uruchomieniem. Aby uzyskać listę, zobacz Zaufane uruchamianie.
Napiwek
Jeśli na liście rozwijanej nie widzisz żądanej wersji obrazu Gen2, wybierz pozycję Zobacz wszystkie obrazy. Następnie zmień filtr Typ zabezpieczeń na Zaufane uruchamianie.
Wybierz rozmiar maszyny wirtualnej, który obsługuje zaufane uruchamianie. Aby uzyskać więcej informacji, zobacz listę obsługiwanych rozmiarów.
Wypełnij informacje o koncie administratora, a następnie pozycję Reguły portów wejściowych.
W dolnej części strony wybierz pozycję Przejrzyj i utwórz.
Na stronie Tworzenie maszyny wirtualnej możesz zobaczyć informacje o maszynie wirtualnej, którą chcesz wdrożyć. Po zakończeniu walidacji wybierz pozycję Utwórz.
Wdrożenie maszyny wirtualnej trwa kilka minut.
Wdrażanie zaufanej maszyny wirtualnej uruchamiania na podstawie obrazu galerii obliczeń platformy Azure
Zaufane maszyny wirtualne uruchamiania platformy Azure obsługują tworzenie i udostępnianie obrazów niestandardowych przy użyciu galerii obliczeń platformy Azure. Istnieją dwa typy obrazów, które można utworzyć na podstawie typów zabezpieczeń obrazu:
- Zalecane: Obrazy obsługiwane przez zaufane uruchamianie maszyn wirtualnych (
TrustedLaunchSupported
) to obrazy, na których źródło nie ma informacji o stanie gościa maszyny wirtualnej i może służyć do tworzenia maszyn wirtualnych generacji 2 lub zaufanych maszyn wirtualnych uruchamiania. - Zaufane obrazy maszyn wirtualnych uruchamiania (
TrustedLaunch
) to obrazy , w których źródło zwykle zawiera informacje o stanie gościa maszyny wirtualnej i mogą służyć do tworzenia tylko zaufanych maszyn wirtualnych uruchamiania.
Zaufane uruchamianie obrazów obsługiwanych przez maszynę wirtualną
W przypadku następujących źródeł obrazów typ zabezpieczeń definicji obrazu powinien mieć wartość TrustedLaunchsupported
:
- Dysk VHD dysku systemu operacyjnego Gen2
- Obraz zarządzany gen2
- Wersja obrazu galerii Gen2
Nie można uwzględnić informacji o stanie gościa maszyny wirtualnej w źródle obrazu.
Możesz użyć wynikowej wersji obrazu, aby utworzyć maszyny wirtualne usługi Azure Gen2 lub zaufane maszyny wirtualne uruchamiania.
Te obrazy można udostępniać za pomocą galerii obliczeń platformy Azure — bezpośredniej galerii udostępnionej i galerii zasobów obliczeniowych platformy Azure — galeria społeczności.
Uwaga
Dysk VHD systemu operacyjnego, obraz zarządzany lub wersja obrazu galerii powinna zostać utworzona na podstawie obrazu gen2 zgodnego z zaufanymi maszynami wirtualnymi uruchamiania.
- Zaloguj się w witrynie Azure Portal.
- Wyszukaj i wybierz pozycję Wersje obrazów maszyny wirtualnej na pasku wyszukiwania.
- Na stronie Wersje obrazów maszyny wirtualnej wybierz pozycję Utwórz.
- Na stronie Tworzenie wersji obrazu maszyny wirtualnej na karcie Podstawy:
- Wybierz subskrypcję platformy Azure.
- Wybierz istniejącą grupę zasobów lub utwórz nową grupę zasobów.
- Wybierz region świadczenia usługi Azure.
- Wprowadź numer wersji obrazu.
- W polu Źródło wybierz pozycję Obiekty blob usługi Storage (VHD) lub obraz zarządzany albo inną wersję obrazu maszyny wirtualnej.
- W przypadku wybrania opcji Obiekty blob usługi Storage (VHD) wprowadź dysk VHD dysku systemu operacyjnego (bez stanu gościa maszyny wirtualnej). Upewnij się, że używasz wirtualnego dysku twardego gen2.
- W przypadku wybrania opcji Obraz zarządzany wybierz istniejący obraz zarządzany maszyny wirtualnej gen2.
- W przypadku wybrania opcji Wersja obrazu maszyny wirtualnej wybierz istniejącą wersję obrazu galerii maszyny wirtualnej Gen2.
- W obszarze Docelowa galeria obliczeniowa platformy Azure wybierz lub utwórz galerię, aby udostępnić obraz.
- W obszarze Stan systemu operacyjnego wybierz opcję Uogólnione lub Wyspecjalizowane w zależności od przypadku użycia. Jeśli używasz obrazu zarządzanego jako źródła, zawsze wybierz pozycję Uogólnione. Jeśli używasz obiektu blob magazynu (VHD) i chcesz wybrać opcję Uogólnione, przed kontynuowaniem wykonaj kroki, aby uogólnić wirtualny dysk twardy z systemem Linux lub uogólnić dysk VHD systemu Windows. Jeśli używasz istniejącej wersji obrazu maszyny wirtualnej, wybierz pozycję Uogólnione lub Wyspecjalizowane na podstawie tego, co jest używane w definicji obrazu źródłowej maszyny wirtualnej.
- W obszarze Docelowa definicja obrazu maszyny wirtualnej wybierz pozycję Utwórz nową.
- W okienku Tworzenie definicji obrazu maszyny wirtualnej wprowadź nazwę definicji. Upewnij się, że typ zabezpieczeń jest ustawiony na Wartość Zaufana obsługiwana przez usługę . Wprowadź informacje o wydawcy, ofercie i jednostce SKU. Następnie wybierz opcję OK.
- Na karcie Replikacja wprowadź liczbę replik i regiony docelowe replikacji obrazów, jeśli to konieczne.
- Na karcie Szyfrowanie wprowadź informacje dotyczące szyfrowania SSE, jeśli to konieczne.
- Wybierz pozycję Przejrzyj i utwórz.
- Po pomyślnym zweryfikowaniu konfiguracji wybierz pozycję Utwórz , aby zakończyć tworzenie obrazu.
- Po utworzeniu wersji obrazu wybierz pozycję Utwórz maszynę wirtualną.
- Na stronie Tworzenie maszyny wirtualnej w obszarze Grupa zasobów wybierz pozycję Utwórz nową. Wprowadź nazwę grupy zasobów lub wybierz istniejącą grupę zasobów z listy rozwijanej.
- W obszarze Szczegóły wystąpienia wprowadź nazwę maszyny wirtualnej i wybierz region obsługujący zaufane uruchamianie.
- W obszarze Typ zabezpieczeń wybierz pozycję Zaufane uruchamianie maszyn wirtualnych. Pola wyboru Bezpieczny rozruch i vTPM są domyślnie włączone.
- Wypełnij informacje o koncie administratora, a następnie pozycję Reguły portów wejściowych.
- Na stronie walidacji przejrzyj szczegóły maszyny wirtualnej.
- Po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz , aby zakończyć tworzenie maszyny wirtualnej.
Zaufane uruchamianie obrazów maszyn wirtualnych
Dla następujących źródeł obrazów należy ustawić TrustedLaunch
typ zabezpieczeń definicji obrazu:
- Przechwytywanie zaufanej maszyny wirtualnej uruchamiania
- Zarządzany dysk systemu operacyjnego
- Migawka dysku zarządzanego systemu operacyjnego
Możesz użyć wynikowej wersji obrazu, aby utworzyć tylko zaufane maszyny wirtualne uruchamiania platformy Azure.
- Zaloguj się w witrynie Azure Portal.
- Aby utworzyć obraz galerii obliczeniowej platformy Azure na podstawie maszyny wirtualnej, otwórz istniejącą zaufaną maszynę wirtualną uruchamiania i wybierz pozycję Przechwyć.
- Na stronie Tworzenie obrazu zezwól na udostępnianie obrazu galerii jako wersji obrazu maszyny wirtualnej. Tworzenie obrazów zarządzanych nie jest obsługiwane dla zaufanych maszyn wirtualnych uruchamiania.
- Utwórz nową docelową galerię usługi Azure Compute lub wybierz istniejącą galerię.
- Wybierz stan systemu operacyjnego jako Uogólniony lub Wyspecjalizowany. Jeśli chcesz utworzyć uogólniony obraz, przed wybraniem tej opcji upewnij się, że uogólniasz maszynę wirtualną, aby usunąć informacje specyficzne dla maszyny. Jeśli szyfrowanie oparte na funkcji BitLocker jest włączone na zaufanej maszynie wirtualnej z systemem Windows z systemem Windows, może nie być w stanie uogólnić tego samego.
- Utwórz nową definicję obrazu, podając nazwę, wydawcę, ofertę i jednostkę SKU. Typ zabezpieczeń definicji obrazu powinien być już ustawiony na Zaufane uruchamianie.
- Podaj numer wersji obrazu.
- W razie potrzeby zmodyfikuj opcje replikacji.
- W dolnej części strony Tworzenie obrazu wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.
- Po utworzeniu wersji obrazu przejdź bezpośrednio do wersji obrazu. Alternatywnie możesz przejść do wymaganej wersji obrazu za pomocą definicji obrazu.
- Na stronie Wersja obrazu maszyny wirtualnej wybierz pozycję + Utwórz maszynę wirtualną, aby przejść do strony Tworzenie maszyny wirtualnej.
- Na stronie Tworzenie maszyny wirtualnej w obszarze Grupa zasobów wybierz pozycję Utwórz nową. Wprowadź nazwę grupy zasobów lub wybierz istniejącą grupę zasobów z listy rozwijanej.
- W obszarze Szczegóły wystąpienia wprowadź nazwę maszyny wirtualnej i wybierz region obsługujący zaufane uruchamianie.
- Obraz i typ zabezpieczeń są już wypełniane na podstawie wybranej wersji obrazu. Pola wyboru Bezpieczny rozruch i vTPM są domyślnie włączone.
- Wypełnij informacje o koncie administratora, a następnie pozycję Reguły portów wejściowych.
- W dolnej części strony wybierz pozycję Przejrzyj i utwórz.
- Na stronie walidacji przejrzyj szczegóły maszyny wirtualnej.
- Po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz , aby zakończyć tworzenie maszyny wirtualnej.
Jeśli chcesz użyć dysku zarządzanego lub migawki dysku zarządzanego jako źródła wersji obrazu (zamiast zaufanej maszyny wirtualnej uruchamiania), wykonaj następujące kroki.
- Zaloguj się w witrynie Azure Portal.
- Wyszukaj pozycję Wersje obrazów maszyny wirtualnej i wybierz pozycję Utwórz.
- Podaj numer wersji subskrypcji, grupy zasobów, regionu i obrazu.
- Wybierz źródło jako Dyski i/lub Migawki.
- Wybierz dysk systemu operacyjnego jako dysk zarządzany lub migawkę dysku zarządzanego z listy rozwijanej.
- Wybierz docelową galerię obliczeniową platformy Azure, aby utworzyć i udostępnić obraz. Jeśli galeria nie istnieje, utwórz nową galerię.
- Wybierz stan systemu operacyjnego jako Uogólniony lub Wyspecjalizowany. Jeśli chcesz utworzyć uogólniony obraz, upewnij się, że uogólniasz dysk lub migawkę, aby usunąć informacje specyficzne dla maszyny.
- W polu Docelowa definicja obrazu maszyny wirtualnej wybierz pozycję Utwórz nową. W wyświetlonym oknie wybierz nazwę definicji obrazu i upewnij się, że typ zabezpieczeń jest ustawiony na Zaufane uruchamianie. Podaj informacje o wydawcy, ofercie i jednostce SKU, a następnie wybierz przycisk OK.
- Karta Replikacja może służyć do ustawiania liczby replik i regionów docelowych na potrzeby replikacji obrazów, jeśli jest to wymagane.
- Karta Szyfrowanie może również służyć do dostarczania informacji związanych z szyfrowaniem SSE, jeśli jest to wymagane.
- Wybierz pozycję Utwórz na karcie Przeglądanie i tworzenie , aby utworzyć obraz.
- Po pomyślnym utworzeniu wersji obrazu wybierz pozycję + Utwórz maszynę wirtualną , aby przejść do strony Tworzenie maszyny wirtualnej.
- Wykonaj kroki od 12 do 18, jak wspomniano wcześniej, aby utworzyć zaufaną maszynę wirtualną uruchamiania przy użyciu tej wersji obrazu.
Zasady wbudowane zaufanego uruchamiania
Aby ułatwić użytkownikom wdrażanie zaufanego uruchamiania, zasady platformy Azure są dostępne, aby ułatwić właścicielom zasobów przyjęcie zaufanego uruchamiania. Głównym celem jest ułatwienie konwersji maszyn wirtualnych generacji 1 i 2, które są w stanie zaufanego uruchamiania.
Maszyna wirtualna powinna mieć włączone pojedyncze zasady zaufanego uruchamiania sprawdza, czy maszyna wirtualna jest obecnie włączona z konfiguracjami zabezpieczeń Zaufane uruchamianie. Dyski i system operacyjny obsługiwany dla zaufanych zasad uruchamiania sprawdzają, czy wcześniej utworzone maszyny wirtualne mają rozmiar systemu operacyjnego i maszyny wirtualnej generacji 2 w celu wdrożenia zaufanej maszyny wirtualnej uruchamiania.
Te dwie zasady łączą się w celu inicjatywy zasad Zaufane uruchamianie. Ta inicjatywa umożliwia grupowanie kilku powiązanych definicji zasad w celu uproszczenia przypisań i zasobów zarządzania w celu uwzględnienia konfiguracji zaufanego uruchamiania.
Aby dowiedzieć się więcej i rozpocząć wdrażanie, zobacz Zasady wbudowane zaufanego uruchamiania.
Weryfikowanie lub aktualizowanie ustawień
W przypadku maszyn wirtualnych utworzonych z włączonym zaufanym uruchamianiem możesz wyświetlić konfigurację zaufanego uruchamiania, przechodząc do strony Przegląd maszyny wirtualnej w witrynie Azure Portal. Na karcie Właściwości jest wyświetlany stan funkcji zaufanego uruchamiania.
Aby zmienić konfigurację zaufanego uruchamiania, w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Konfiguracja. W sekcji Typ zabezpieczeń można włączyć lub wyłączyć monitorowanie bezpiecznego rozruchu, vTPM i integralności. Po zakończeniu wybierz pozycję Zapisz w górnej części strony.
Jeśli maszyna wirtualna jest uruchomiona, zostanie wyświetlony komunikat o ponownym uruchomieniu maszyny wirtualnej. Wybierz pozycję Tak , a następnie poczekaj na ponowne uruchomienie maszyny wirtualnej, aby zmiany zaczęły obowiązywać.
Powiązana zawartość
Dowiedz się więcej o maszynach wirtualnych monitorujących zaufane uruchamianie i integralność rozruchu.