Visão geral do monitoramento da integridade da inicialização

Para ajudar o Início Confiável a evitar melhor os ataques maliciosos de rootkits em máquinas virtuais, o atestado de convidado através do ponto de extremidade do Atestado do Microsoft Azure (MAA) é usado para monitorar a integridade da sequência de inicialização. Este atestado é fundamental para fornecer a validade dos estados de uma plataforma. Se suas Máquinas Virtuais Confiáveis do Azure tiverem a Inicialização Segura e o vTPM habilitados e as extensões de atestado instaladas, o Microsoft Defender para Nuvem verificará se o status e a integridade da inicialização da sua VM estão configurados corretamente. Para saber mais sobre a integração do MDC, consulte a integração do início confiável com o Microsoft Defender para Nuvem.

Importante

A Atualização Automática de Extensão agora está disponível para a extensão Monitoramento de Integridade de Inicialização - Atestado de Convidado. Saiba mais sobre a Atualização automática de extensão.

Pré-requisitos

Uma Assinatura Ativa do Azure + Máquina Virtual de Início Confiável

Habilitar o monitoramento de integridade

Azure portal

1. Entre no Portal do Azure.

2. Selecione o recurso (Máquinas Virtuais).

3. Em Configurações, selecione configuração. No painel de tipo de segurança, selecione monitoramento da integridade.

   

4. Salve as alterações.

Agora, na página de visão geral de máquinas virtuais, o tipo de segurança para o monitoramento da integridade deve indicar habilitado.

Isso instala a extensão de atestado de convidado, que pode ser encaminhada por meio das configurações na guia extensões + aplicativos.

Modelo

Você pode implantar a extensão do atestado de convidado para VMs de início confiável usando um modelo de início rápido:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Crie uma máquina virtual com o Início Confiável que tenha recursos Inicialização Segura + vTPM através da implantação inicial da máquina virtual de Início Confiável. Para implantar o uso da extensão de atestado convidado (--enable_integrity_monitoring). A configuração de máquinas virtuais é personalizável pelo proprietário da máquina virtual (az vm create).
2. Para VMs existentes, você pode habilitar as configurações de monitoramento de integridade de inicialização ao atualizar para garantir que o monitoramento de integridade esteja ativado (--enable_integrity_monitoring).

Observação

É necessário configurar a extensão de atestado de convidado de maneira explícita.

PowerShell

Se a Inicialização Segura e o vTPM estiverem LIGADOS, a integridade da inicialização estará LIGADA.

1. Crie uma máquina virtual com o Início Confiável que tenha recursos Inicialização Segura + vTPM através da implantação inicial da máquina virtual de Início Confiável. A configuração de máquinas virtuais é personalizável pelo proprietário da máquina virtual.
2. Para as VMs existentes, você pode habilitar as configurações de monitoramento de integridade do inicialização atualizando para garantir que o SecureBoot e o vTPM estejam ativados.

Para obter mais informações sobre a criação ou atualização de uma máquina virtual para incluir o monitoramento da integridade da inicialização através da extensão de atestado de convidado, consulte Implantar uma VM com início confiável habilitada (PowerShell).

Guia de solução de problemas para instalação da extensão Atestado de convidado

Sintomas

As extensões de Atestado do Microsoft Azure não funcionam corretamente quando os clientes configuram um grupo de segurança de rede ou proxy. Um erro semelhante a (falha no provisionamento de Microsoft.Azure.Security.WindowsAttestation.GuestAttestationtion).

Soluções

No Azure, os Grupos de Segurança de Rede (NSG) são usados para ajudar a filtrar o tráfego de rede entre os recursos do Azure. O NSGs contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou o tráfego de rede de saída de vários tipos de recursos do Azure. Para o ponto de extremidade do Atestado do Microsoft Azure, ele deve ser capaz de se comunicar com a extensão de atestado de convidado. Sem esse ponto de extremidade, o Início Confiável não pode acessar o atestado de convidado, o que permite que o Microsoft Defender para Nuvem monitore a integridade da sequência de inicialização de suas máquinas virtuais.

Para desbloquear o tráfego usando um NSG com marcas de serviço, defina as regras de permissão para o Atestado do Microsoft Azure.

1. Navegue até a máquina virtual que deseja permitir o tráfego de saída.
2. Em "Rede" na barra lateral esquerda, selecione a guia configurações de rede.
3. Em seguida, selecione criar regra de porta e Adicionar regra de porta de saída.
   
4. Para permitir o Atestado do Microsoft Azure, faça do destino uma marca de serviço . Isso permite que o intervalo de endereços IP seja atualizado e definido automaticamente como regras de permissão para o Atestado do Microsoft Azure. A marca de serviço de destino é AzureAttestation e a ação está definida como Permitir.

Observação

Os usuários podem configurar seu tipo de origem, serviço, intervalos de porta de destino, protocolo, prioridade e nome.

Essa marca de serviço é um ponto de extremidade global que desbloqueia o tráfego do Atestado do Microsoft Azure em qualquer região.

Próximas etapas

Saiba mais sobre o início confiável e implantação de uma máquina virtual confiável .