Habilitar o Início confiável em VMs existentes do Azure
Aplica-se a: ✔️ VM Linux ✔️ VM Windows ✔️ VM Geração 2
As Máquinas Virtuais do Azure dão suporte à habilitação do Início confiável em VMs existentes do Azure Geração 2 atualizando para o tipo de segurança do Início confiável.
O Início confiável é uma maneira de habilitar a segurança de computação básica em VMs do Azure Geração 2. O início confiável protege as Máquinas Virtuais contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits, combinando tecnologias de infraestrutura como Inicialização Segura, vTPM e Monitoramento de Integridade de Inicialização na VM.
Importante
- Se estiver habilitada para a VM de Geração 2, a criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE-CMK) deverá ser desabilitada antes da execução da atualização do Início confiável. A criptografia SSE-CMK deve ser reabilitada após a conclusão da atualização do Início confiável.
- O suporte para habilitar o Início confiável em VMs de Geração 1 do Azure existentes está atualmente em versão prévia privada. Você pode obter acesso à versão prévia usando o link de registro https://aka.ms/Gen1ToTLUpgrade.
- Atualmente, não há suporte para habilitar o Início confiável em VMSS (conjuntos de dimensionamento de máquinas virtuais) Uniform e Flex do Azure existentes.
Pré-requisitos
- As VMs da Geração 2 do Azure estão configuradas com:
- Família de tamanho com suporte do Início confiável
- Imagem do sistema operacional com suporte ao Início confiável. Para discos ou imagens do sistema operacional personalizadas, a imagem base deve ser compatível com o Início confiável.
- As VMs da Geração 2 do Azure não estão usando recursos atualmente sem suporte com o Início confiável.
- As VMs da Geração 2 do Azure devem ser interrompidas e desalocadas antes de habilitar o tipo de segurança do Início confiável.
- Se o Backup do Azure estiver habilitado para VMs, deve ser configurado com a Política de Backup Avançado. O tipo de segurança do Início confiável não pode ser habilitado para as VMs de Geração 2 configuradas com a proteção de backup da Política Padrão.
- O backup de VM do Azure existente pode ser migrado da política Standard para a Enhanced usando o recurso de migração de versão prévia privada. Envie a solicitação de integração para a versão prévia usando o link https://aka.ms/formBackupPolicyMigration.
Práticas recomendadas
- Habilite o Início confiável em uma VM de Geração 2 de teste e verifique se alguma alteração é necessária para atender aos pré-requisitos antes de habilitar o Início confiável em VMs de Geração 2 associadas a cargas de trabalho de produção.
- Crie um ponto de restauração para as VMs de Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança de início confiável. Você pode usar o Ponto de Restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.
Habilitar o Início confiável na VM existente
Observação
- Depois de habilitar o Início confiável, atualmente, as máquinas virtuais não podem ser revertidas para o tipo de segurança Standard (configuração de Início Não confiável).
- A vTPM está habilitada por padrão.
- É recomendável habilitar a Inicialização Segura (não habilitada por padrão) se você não estiver usando o kernel ou drivers personalizados não assinados. A Inicialização Segura preserva a integridade da inicialização e habilita a segurança fundamental para a VM.
Esta seção percorre o uso do portal do Azure para habilitar o Início confiável na VM existente da Geração 2 do Azure.
- Faça logon no portal do Azure.
- Validar que a geração de máquinas virtuais é V2 e Parar VM.
- Na página de Visão geral nas Propriedades da VM, selecione Standard no Tipo de segurança. Isso navega até a página de Configuração da VM.
- Selecione a lista suspensa Tipo de segurança na seção de Tipo de segurança da página de Configuração.
- Selecione Início confiável na lista suspensa e marque as caixas de seleção para habilitar a Inicialização Segura e o vTPM. Selecione Salvar depois de fazer as alterações necessárias.
Observação
- As VMs de Geração 2 criadas usando a ACG (Galeria de Computação do Azure), a Imagem Gerenciada e o Disco do sistema operacional, não podem ser atualizadas para o Início confiável usando o Portal. Verifique se a versão do sistema operacional tem suporte para o Início confiável e use o modelo do PowerShell, da CLI ou do ARM para executar a atualização.
- Feche a página de Configuração após a atualização ser concluída com êxito e valide o Tipo de segurança nas propriedades da VM na página deVisão geral.
- Inicie a VM de Início confiável atualizada e verifique se ela foi iniciada com êxito e se você consegue fazer logon na VM usando RDP (para VM Windows) ou SSH (para VM Linux).
Próximas etapas
(Recomendado) As atualizações posteriores permitem que o Monitoramento de integridade de inicialização, monitore a integridade da VM usando Microsoft Defender para Nuvem.
Saiba mais sobre o Início confiável e examine as perguntas frequentes