Habilitar o Início confiável em VMs existentes do Azure

Aplica-se a: ✔️ VM Linux ✔️ VM Windows ✔️ VM Geração 2

As Máquinas Virtuais do Azure dão suporte à habilitação do Início confiável em VMs existentes do Azure Geração 2 atualizando para o tipo de segurança do Início confiável.

O Início confiável é uma maneira de habilitar a segurança de computação básica em VMs do Azure Geração 2. O início confiável protege as Máquinas Virtuais contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits, combinando tecnologias de infraestrutura como Inicialização Segura, vTPM e Monitoramento de Integridade de Inicialização na VM.

Importante

• Se estiver habilitada para a VM de Geração 2, a criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE-CMK) deverá ser desabilitada antes da execução da atualização do Início confiável. A criptografia SSE-CMK deve ser reabilitada após a conclusão da atualização do Início confiável.
• O suporte para habilitar o Início confiável em VMs de Geração 1 do Azure existentes está atualmente em versão prévia privada. Você pode obter acesso à versão prévia usando o link de registro https://aka.ms/Gen1ToTLUpgrade.
• Atualmente, não há suporte para habilitar o Início confiável em VMSS (conjuntos de dimensionamento de máquinas virtuais) Uniform e Flex do Azure existentes.

Pré-requisitos

• As VMs da Geração 2 do Azure estão configuradas com:
  • Família de tamanho com suporte do Início confiável
  • Imagem do sistema operacional com suporte ao Início confiável. Para discos ou imagens do sistema operacional personalizadas, a imagem base deve ser compatível com o Início confiável.
• As VMs da Geração 2 do Azure não estão usando recursos atualmente sem suporte com o Início confiável.
• As VMs da Geração 2 do Azure devem ser interrompidas e desalocadas antes de habilitar o tipo de segurança do Início confiável.
• Se o Backup do Azure estiver habilitado para VMs, deve ser configurado com a Política de Backup Avançado. O tipo de segurança do Início confiável não pode ser habilitado para as VMs de Geração 2 configuradas com a proteção de backup da Política Padrão.
  • O backup de VM do Azure existente pode ser migrado da política Standard para a Enhanced usando o recurso de migração de versão prévia privada. Envie a solicitação de integração para a versão prévia usando o link https://aka.ms/formBackupPolicyMigration.

Práticas recomendadas

• Habilite o Início confiável em uma VM de Geração 2 de teste e verifique se alguma alteração é necessária para atender aos pré-requisitos antes de habilitar o Início confiável em VMs de Geração 2 associadas a cargas de trabalho de produção.
• Crie um ponto de restauração para as VMs de Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança de início confiável. Você pode usar o Ponto de Restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.

Habilitar o Início confiável na VM existente

Observação

• Depois de habilitar o Início confiável, atualmente, as máquinas virtuais não podem ser revertidas para o tipo de segurança Standard (configuração de Início Não confiável).
• A vTPM está habilitada por padrão.
• É recomendável habilitar a Inicialização Segura (não habilitada por padrão) se você não estiver usando o kernel ou drivers personalizados não assinados. A Inicialização Segura preserva a integridade da inicialização e habilita a segurança fundamental para a VM.

Portal

Esta seção percorre o uso do portal do Azure para habilitar o Início confiável na VM existente da Geração 2 do Azure.

1. Faça logon no portal do Azure.
2. Validar que a geração de máquinas virtuais é V2 e Parar VM.

3. Na página de Visão geral nas Propriedades da VM, selecione Standard no Tipo de segurança. Isso navega até a página de Configuração da VM.

4. Selecione a lista suspensa Tipo de segurança na seção de Tipo de segurança da página de Configuração.

5. Selecione Início confiável na lista suspensa e marque as caixas de seleção para habilitar a Inicialização Segura e o vTPM. Selecione Salvar depois de fazer as alterações necessárias.

Observação

• As VMs de Geração 2 criadas usando a ACG (Galeria de Computação do Azure), a Imagem Gerenciada e o Disco do sistema operacional, não podem ser atualizadas para o Início confiável usando o Portal. Verifique se a versão do sistema operacional tem suporte para o Início confiável e use o modelo do PowerShell, da CLI ou do ARM para executar a atualização.

6. Feche a página de Configuração após a atualização ser concluída com êxito e valide o Tipo de segurança nas propriedades da VM na página deVisão geral.

7. Inicie a VM de Início confiável atualizada e verifique se ela foi iniciada com êxito e se você consegue fazer logon na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

CLI

Esta seção percorre o uso da CLI do Azure para habilitar o Início confiável na VM existente da Geração 2 do Azure.

Verifique se você instalou a versão mais recente da CLI do Azure e entrou em uma conta do Azure usando az login.

1. Fazer logon na Assinatura do Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Desalocar VM

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Habilite o Início confiável definindo --security-type como TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Validar a saída do comando anterior. A configuração securityProfile é retornada com a saída do comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Inicie a VM.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Inicie a VM de Início confiável atualizada e verifique se ela foi iniciada com êxito e se você consegue fazer logon na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

PowerShell

Esta seção percorre o uso do Azure PowerShell para habilitar o Início confiável na VM existente da Geração 2 do Azure.

Verifique se você instalou a versão mais recente do Azure PowerShell e entrou em uma conta do Azure com Connect-AzAccount.

1. Fazer logon na Assinatura do Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Desalocar VM

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Habilite o Início confiável definindo --security-type como TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ValidarsecurityProfile na configuração de VM atualizada.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Inicie a VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Inicie a VM de Início confiável atualizada e verifique se ela foi iniciada com êxito e se você consegue fazer logon na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

Modelo

Esta seção percorre o uso de um modelo do ARM para habilitar o Início confiável na VM existente da Geração 2 do Azure.

Um modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo usa a sintaxe declarativa. Descreva a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.

1. Examine o modelo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Edite o arquivo json de parâmetros com as máquinas virtuais a serem atualizadas com o tipo de segurança TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definição do arquivo de parâmetro

Propriedade	Descrição da Propriedade	Exemplo de valor do modelo
vmName	Nome da VM do Azure Geração 2	"myVm"
local	Local da VM do Azure Geração 2	"westus3"
secureBootEnabled	Habilitar inicialização segura com o tipo de segurança Início confiável	true

3. Desaloque todas as VMs da Geração 2 do Azure a serem atualizadas.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Execute a implantação do modelo do ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Verifique se a implantação foi bem-sucedida. Verifique o tipo de segurança e as configurações de UEFI da VM usando portal do Azure. Verifique a seção Tipo de segurança na página Visão geral.

6. Inicie a VM de Início confiável atualizada e verifique se ela foi iniciada com êxito e se você consegue fazer logon na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

Próximas etapas

(Recomendado) As atualizações posteriores permitem que o Monitoramento de integridade de inicialização, monitore a integridade da VM usando Microsoft Defender para Nuvem.

Saiba mais sobre o Início confiável e examine as perguntas frequentes