Compartilhar via


Visão geral do monitoramento da integridade da inicialização

Para ajudar o Início Confiável do Azure a evitar melhor os ataques maliciosos de rootkits em VMs (máquinas virtuais), o atestado de convidado através de um ponto de extremidade do Atestado do Azure é usado para monitorar a integridade da sequência de inicialização. Este atestado é fundamental para fornecer a validade dos estados de uma plataforma.

Sua VM de Início Confiável precisa que a Inicialização Segura e o vTPM (Trusted Platform Module virtual) sejam habilitados para que as extensões de atestado possam ser instaladas. O Microsoft Defender para Nuvem oferece relatórios baseados no status de verificação de atestado de convidado e que a integridade de inicialização da VM está configurada corretamente. Para saber mais sobre a integração do Microsoft Defender para Nuvem, consulte Integração do Início Confiável com o Microsoft Defender para Nuvem.

Importante

A Atualização Automática de Extensão agora está disponível para a extensão de Monitoramento de Integridade de Inicialização – Atestado de Convidado. Para obter mais informações, consulte Atualização automática de extensão.

Pré-requisitos

Você precisará de uma assinatura ativa do Azure e de uma VM de Início Confiável.

Habilitar o monitoramento de integridade

Para habilitar o monitoramento de integridade, siga as etapas nesta seção.

  1. Entre no Portal do Azure.

  2. Selecione o recurso (Máquinas Virtuais).

  3. Em Configurações, escolha Configuração. No painel de Tipo de segurança, selecione Monitoramento da integridade.

    Captura de tela que mostra o monitoramento de integridade selecionado.

  4. Salve as alterações.

Na página Visão geral da VM, o tipo de segurança para monitoramento de integridade deve aparecer comoHabilitado.

Essa ação instala a extensão de Atestado de Convidado, que você poderá consultar por meio das configurações na guia Extensões + Aplicativos.

Guia de solução de problemas para instalação da extensão de Atestado de Convidado

Esta seção aborda erros e soluções de atestado.

Sintomas

A extensão de Atestado do Azure não funcionará corretamente ao configurar um NSG (grupo de segurança de rede) ou um proxy. Aparece um erro semelhante a "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation falha no provisionamento".

Captura de tela que mostra um erro resultante de uma extensão de Atestado de Convidado com falha.

Soluções

No Azure, os NSGs são usados para ajudar a filtrar o tráfego de rede entre os recursos do Azure. O NSGs contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou o tráfego de rede de saída de vários tipos de recursos do Azure. O ponto de extremidade do Atestado do Azure, deverá se comunicar com a extensão de Atestado de Convidado. Sem esse ponto de extremidade, o Início Confiável não pode acessar o atestado de convidado, o que permite que o Microsoft Defender para Nuvem monitore a integridade da sequência de inicialização de suas VMs.

Para desbloquear o tráfego do Atestado do Azure em NSGs usando marca de serviço:

  1. Acesse a VM a ser permitido o tráfego de saída.

  2. No painel mais à esquerda, em Rede, selecione Configurações de rede.

  3. Em seguida, selecione Criar regra de porta>Regra de porta de saída.

    Captura de tela que mostra a adição da regra de porta de saída.

  4. Para permitir o Atestado do Azure, você torna o destino uma marca de serviço. Essa configuração permite que o intervalo de endereços IP atualize e defina automaticamente regras que permitem o Atestado do Azure. Defina a Marca de serviço de destino como AzureAttestation e defina Ação como Permitir.

    Captura de tela que mostra como tornar o destino uma marca de serviço.

Os firewalls protegem uma rede virtual, que contém várias VMs de Início Confiável. Para desbloquear o tráfego do Atestado do Azure em um firewall usando uma coleção de regras de aplicativo:

  1. Acesse a instância do Firewall do Azure que tem o tráfego bloqueado do recurso de VM de Início Confiável.

  2. Em Configurações, selecione Regras (clássicas) para começar a desbloquear o atestado de convidado por trás do firewall.

  3. Na Coleção de regras de rede, selecione Adicionar coleção de regras de rede.

    Captura de tela que mostra a adição de uma regra de aplicativo.

  4. Configure o nome, a prioridade, o tipo de origem e as portas de destino com base em suas necessidades. Defina o Nome da marca de serviço como AzureAttestation e defina Ação como Permitir.

Para desbloquear o tráfego do Atestado do Azure em um firewall usando uma coleção de regras de aplicativo:

  1. Acesse a instância do Firewall do Azure que tem o tráfego bloqueado do recurso de VM de Início Confiável.

    Captura de tela que mostra a adição de tráfego para a rota da regra do aplicativo.

    A coleção de regras deve conter pelo menos uma regra que atenda a FQDNs (nomes de domínio totalmente qualificados).

  2. Selecione a coleção de regras de aplicativo e adicione uma regra de aplicativo.

  3. Selecione um nome e uma prioridade numérica para suas regras de aplicativo. Defina a Ação para a coleção de regras como Permitir.

    Captura de tela que mostra a adição da rota da regra do aplicativo.

  4. Configure o nome, a origem e o protocolo. O tipo de origem é para um único endereço IP. Selecione o grupo de IP para permitir vários endereços IP por meio do firewall.

Provedores compartilhados regionais

O Atestado do Azure fornece um provedor compartilhado regional em cada região disponível. É possível optar por usar o provedor compartilhado regional para o atestado ou criar provedores próprios com políticas personalizadas. Qualquer usuário do Microsoft Entra pode acessar provedores compartilhados. A política associada a ela não pode ser alterada.

Observação

É possível configurar o tipo de origem, serviço, intervalos de porta de destino, protocolo, prioridade e nome.

Saiba mais sobre o Início Confiável e implantação de uma VM de Início Confiável.