Início confiável para máquinas virtuais do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
O Azure oferece o início confiável como uma maneira simples de melhorar a segurança de VMs de geração 2. O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas.
Importante
O início confiável requer a criação de novas máquinas virtuais. Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Benefícios
- Implantar máquinas virtuais de forma segura com carregadores de inicialização verificados, kernels do SO (sistema operacional) e drivers.
- Proteger chaves, certificados e segredos com segurança nas máquinas virtuais.
- Obter informações e confiança da integridade da cadeia de inicialização inteira.
- Garantir que as cargas de trabalho sejam confiáveis e verificáveis.
Limitações
Suporte de tamanho da VM:
- Série B
- Série DCsv2
- DCsv3-series, DCdsv3-series
- Série DV4, série Dsv4, Dsv3, série Dsv2
- Série Dav4, série Dasv4
- Série Ddv4, série Ddsv4
- Série Dv5, série Dsv5
- Série Ddv5, série Ddsv5
- Série Dasv5, série Dadsv5
- Esv3-series, Ev4-series, Esv4-series
- Série Edv4, série Edsv4
- Série Eav4, série Easv4
- Série Ev5, série Esv5
- Série Edv5, série Edsv5
- Série Easv5, série Eadsv5
- Série Fsv2
- Série FX
- Série Lsv2
- Lsv3-series, Lasv3-series
- Série NCasT4_v3
- Série NVadsA10 v5
Suporte a SO:
- Redhat Enterprise Linux 8.3, 8.4, 8.5, 8.6, 9.0, 9.1 LVM
- SUSE Enterprise Linux 15 SP3
- Ubuntu Server 22.04 LTS
- Ubuntu Server 20.04 LTS
- Ubuntu Server 18.04 LTS
- Debian 11
- CentOS 8.3, 8.4
- Oracle Linux 8.3, 8.4, 8.5, 8.6, 9.0 LVM
- CBL-Mariner
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows 11 Pro
- Windows 11 Enterprise
- Windows 11 Enterprise de várias sessões
- Windows 10 Pro
- Windows 10 Enterprise
- Windows 10 Enterprise de várias sessões
Regiões:
- Todas as regiões públicas
- Regiões do Azure Governamental
Preços: nenhum custo adicional para o preço da VM existente.
Não há suporte para os seguintes recursos:
- Azure Site Recovery (em breve)
- Disco Ultra (em breve)
- Imagem gerenciada
- Virtualização Aninhada (maioria dos tamanhos de VM v5 com suporte; outros tamanhos em breve)
Inicialização Segura
Na raiz de início confiável está a Inicialização Segura para a sua VM. Esse modo, que é implementado no firmware da plataforma, protege contra a instalação de rootkits baseados em malware e kits de inicialização. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam ser inicializados. Ela estabelece uma "raiz de confiança" para a pilha de software da VM. Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) devem ser assinados por fornecedores confiáveis. O Windows e algumas distribuições do Linux oferecem suporte à Inicialização Segura. Se a Inicialização Segura não conseguir autenticar que a imagem foi assinada por um fornecedor confiável, a VM não terá permissão para inicializar. Para saber mais, confira Inicialização Segura.
vTPM
O início confiável também apresenta vTPM para VMs do Azure. Esta é uma versão virtualizada de um hardware Trusted Platform Module, em conformidade com a especificação do TPM 2.0. Ele serve como um cofre seguro dedicado para chaves e medições. O início confiável fornece sua VM com sua própria instância do TPM dedicada, em execução em um ambiente seguro fora do alcance de qualquer VM. O vTPM habilita o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).
O início confiável usa o vTPM para executar o atestado remoto pela nuvem. Isso é usado para verificações de integridade da plataforma e para tomar decisões baseadas em confiança. Como uma verificação de integridade, o início confiável pode certificar criptograficamente que sua VM foi inicializada corretamente. Se o processo falhar, possivelmente devido à execução de um componente não autorizado pela VM, o Microsoft Defender para Nuvem emitirá alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança com base em virtualização
A SVB (segurança baseada em virtualização) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações mal-intencionadas. O início confiável permite habilitar o HVCI (integridade de código protegido por hipervisor) e o Windows Defender Credential Guard.
O HVCI é uma mitigação de sistema poderosa que protege os processos do modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado. Ele verifica os drivers e os binários do modo kernel antes de executá-los, impedindo que arquivos não assinados sejam carregados na memória. Isso garante que esse código executável não possa ser modificado depois que tiver permissão para ser carregado. Para obter mais informações sobre SVB e HVCI, consulte SVB (segurança baseada em virtualização) e HVCI (integridade de código protegido por hipervisor).
Com o início e o SVB confiáveis, você pode habilitar o Windows Defender Credential Guard. Esse recurso isola e protege segredos para que somente o software de sistema privilegiado possa acessá-los. Ele ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques do tipo Pass-the-hash (PtH). Para obter mais informações, consulte Credential Guard.
Integração do Microsoft Defender para Nuvem
O início confiável é integrado ao Microsoft Defender para Nuvem a fim de garantir que as VMs sejam configuradas corretamente. O Microsoft Defender para Nuvem avaliará continuamente as VMs compatíveis e emitirá recomendações relevantes.
- Recomendação para habilitar a Inicialização Segura – Essa recomendação se aplica somente a VMs que dão suporte ao início confiável. O Microsoft Defender para Nuvem identificará VMs que podem habilitar a Inicialização Segura, mas que estão com essa opção desabilitada. Ela emitirá uma recomendação de baixa severidade para habilitá-la.
- Recomendação para habilitar o vTPM – se a VM tiver o vTPM habilitado, o Microsoft Defender para Nuvem poderá usá-lo para executar o atestado de convidado e identificar padrões de ameaças avançados. Se o Microsoft Defender para Nuvem identificar VMs que dão suporte ao início confiável e que estão com o vTPM desabilitado, ele emitirá uma recomendação de baixa severidade quanto à habilitação.
- Recomendação para instalar a extensão de atestado de convidado – se a VM tiver a inicialização segura e o vTPM habilitados, mas não tiver a extensão de atestado de convidado instalada, o Microsoft Defender para Nuvem emitirá uma recomendação de baixa severidade para instalar a extensão de atestado de convidado. Essa extensão permite que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização das VMs. A integridade da inicialização é atestada por meio do atestado remoto.
- Avaliação de integridade de atestado ou monitoramento de integridade da inicialização – se a VM tiver inicialização segura e habilitar o vTPM e tiver a extensão de atestado instalada, o Microsoft Defender para Nuvem poderá validar de forma remota se ela foi inicializada de maneira íntegra. Isso é conhecido como monitoramento de integridade da inicialização. O Microsoft Defender para Nuvem emite uma avaliação, indicando o status do atestado remoto.
Se as VMs estiverem configuradas corretamente com o início confiável, o Microsoft Defender para Nuvem poderá detectar e alertar sobre problemas de integridade nelas.
Alerta de falha em um atestado de VM: o Microsoft Defender para Nuvem realizará atestados periodicamente em suas VMs. Isso também ocorre quando a VM é inicializada. Se o atestado de integridade falhar, ele vai disparar um alerta de severidade média. O atestado da VM pode falhar pelos seguintes motivos:
- As informações atestadas, que incluem um log de inicialização, se desviam de uma linha de base confiável. Isso pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode estar comprometido.
- Não foi possível verificar que a cota do atestado era oriunda do vTPM da VM atestada. Isso pode indicar que há um malware presente que estar interceptando o tráfego para o vTPM.
Observação
Esse alerta está disponível para VMs com vTPM habilitado e a extensão de atestado instalada. A Inicialização Segura deve ser habilitada para que o atestado passe. O atestado falhará se a Inicialização Segura estiver desabilitada. Se você precisar desabilitar a Inicialização Segura, poderá suprimir esse alerta para evitar falsos positivos.
Alerta de módulo Kernel do Linux não confiável: para o início confiável com a Inicialização Segura habilitada, é possível que uma VM seja inicializada mesmo quando um driver de kernel falha na validação e o carregamento não é permitido. Se isso acontecer, o Microsoft Defender para Nuvem emitirá um alerta de baixa severidade. Embora não haja nenhuma ameaça imediata, já que o driver não confiável não foi carregado, esses eventos devem ser investigados. Considere o seguinte:
- Qual driver de kernel falhou? Estou familiarizado com esse driver e espero que ele seja carregado?
- Esta é a versão exata do driver que estou esperando? Os binários de driver estão intactos? Se esse for um driver de terceiros, o fornecedor passará os testes de conformidade do sistema operacional para que seja assinado?
Perguntas frequentes
Perguntas frequentes sobre o início confiável.
Por que devo usar o início confiável? Contra o que o início confiável oferece proteção?
O início confiável protege contra kits de inicialização, rootkits e malware de nível de kernel. Esses tipos sofisticados de malware são executados no modo kernel e permanecem escondidos dos usuários. Por exemplo:
- Rootkits de firmware: esses kits substituem o firmware do BIOS da máquina virtual, portanto, o rootkit pode ser iniciado antes do sistema operacional.
- Kits de inicialização: esses kits substituem o carregador de inicialização do sistema operacional, de forma que a máquina virtual o carregue antes do sistema operacional.
- Rootkits de kernel: esses kits substituem uma parte do kernel do sistema operacional para que o rootkit possa ser iniciado automaticamente quando o sistema operacional for carregado.
- Rootkits de driver: esses kits fingem ser um dos drivers confiáveis que o sistema operacional usa para se comunicar com os componentes da máquina virtual.
Quais são as diferenças entre a Inicialização Segura e a inicialização medida?
Na cadeia de inicialização segura, cada etapa no processo de inicialização verifica uma assinatura criptográfica das etapas subsequentes. Por exemplo, o BIOS verificará uma assinatura no carregador, e o carregador verificará as assinaturas em todos os objetos kernel carregados e assim por diante. Se qualquer um dos objetos for comprometido, a assinatura não corresponderá e a VM não será inicializada. Para saber mais, confira Inicialização Segura. A inicialização medida não interrompe o processo de inicialização, ele mede ou computa o hash dos próximos objetos na cadeia e armazena os hashes nos PCRs (registros de configuração de plataforma) no vTPM. Os registros de inicialização medidos são usados para o monitoramento da integridade da inicialização.
O que acontece quando uma falha de integridade é detectada?
O início confiável para as Máquinas Virtuais do Azure é monitorada para ameaças avançadas. Se essas ameaças forem detectadas, um alerta é disparado. Os alertas só estarão disponíveis se os recursos de segurança aprimorada do Defender para Nuvem estiverem habilitados.
O Defender para Nuvem executa atestados periodicamente. Se o atestado falhar, um alerta de severidade médio é disparado. O atestado de início confiável pode falhar pelos seguintes motivos:
O início confiável para as Máquinas Virtuais do Azure é monitorada para ameaças avançadas. Se essas ameaças forem detectadas, um alerta é disparado. Alertas só estão disponíveis na camada Standard do Microsoft Defender para Nuvem. O Microsoft Defender para Nuvem executa periodicamente o atestado. Se o atestado falhar, um alerta de severidade médio é disparado. O atestado de início confiável pode falhar pelos seguintes motivos:
- As informações atestadas, que incluem um log da TCB (base de computação confiável), se desviam de uma linha de base confiável (como quando a Inicialização Segura está habilitada). Isso pode indicar que módulos não confiáveis foram carregados e que o sistema operacional pode estar comprometido.
- Não foi possível verificar que a cota do atestado era oriunda do vTPM da VM atestada. Isso pode indicar que há um malware presente que estar interceptando o tráfego para o TPM.
- A extensão de atestado na VM não está respondendo. Isso pode indicar um ataque de negação de serviço por malware ou um administrador do sistema operacional.
Como o início confiável se compara à VM blindada do Hyper-V?
A VM blindada do Hyper-V atualmente está disponível somente no Hyper-V. A VM blindada do Hyper-V normalmente é implantada em conjunto com a malha protegida. Uma malha protegida consiste em um HGS (serviço guardião de host), um ou mais hosts protegidos e um conjunto de VMs blindadas. As VMs blindadas são destinadas para uso em malhas nas quais os dados e o estado da VM devem ser protegidos de administradores de malha mal-intencionados e software não confiáveis que pode estar em execução nos hosts Hyper-V. Por outro lado, o início confiável pode ser implantada como uma máquina virtual autônoma ou Conjuntos de Dimensionamento de Máquinas Virtuais no Azure sem implantação adicional e gerenciamento de HGS. Todos os recursos de início confiáveis podem ser habilitados com uma simples alteração no código de implantação ou uma caixa de seleção no portal do Azure.
O início confiável suporta a Galeria de Computação do Azure?
O início confiável agora permite que as imagens sejam criadas e compartilhadas por meio da Galeria de Computação do Azure (anteriormente Galeria de Imagens Compartilhadas). Uma origem de imagem pode ser uma VM do Azure existente generalizada ou especializada, um disco gerenciado existente ou um instantâneo, uma VHD ou uma versão de imagem em outra galeria. Para implantar uma VM de Início Confiável de uma versão de imagem da Galeria de Computação do Azure, consulte a VM de início confiável.
O início confiável suporta o Backup do Azure?
O início confiável agora suporta o Backup do Azure. Para obter mais informações, consulte Matriz de suporte para backup de VM do Azure.
O início confiável suporta discos do sistema operacional efêmero?
O início confiável dá suporte a discos do sistema operacional efêmero. Observe que ao usar discos de SO efêmeros para VMs de início confiável, as chaves e segredos gerados ou selados pelo vTPM após a criação da VM não podem ser persistidos para operações como refazer imagem e eventos de plataforma, como a recuperação de serviço. Para obter mais informações, consulte Início Confiável para discos do sistema operacional efêmero (versão prévia).
Como posso encontrar tamanhos de VM que suportam o início confiável?
Confira a lista de tamanhos de VM da Geração 2 que suportam o início confiável.
Os comandos a seguir podem ser usados para verificar se um Tamanho de VM de Geração 2 não suporta o início confiável.
CLI
subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"
az vm list-skus --resource-type virtualMachines --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription
PowerShell
$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities
A resposta é semelhante ao seguinte exemplo. TrustedLaunchDisabled True na saída indica que o tamanho da VM de Geração 2 não suporta o início confiável. Se for um tamanho de VM de Geração 2 e TrustedLaunchDisabled não fizer parte da saída, isso implica que o início confiável é suportado neste tamanho de VM.
Name Value
---- -----
MaxResourceVolumeMB 8192000
OSVhdSizeMB 1047552
vCPUs 64
MemoryPreservingMaintenanceSupported False
HyperVGenerations V1,V2
MemoryGB 1000
MaxDataDiskCount 64
CpuArchitectureType x64
MaxWriteAcceleratorDisksAllowed 8
LowPriorityCapable True
PremiumIO True
VMDeploymentTypes IaaS
vCPUsAvailable 64
ACUs 160
vCPUsPerCore 2
CombinedTempDiskAndCachedIOPS 80000
CombinedTempDiskAndCachedReadBytesPerSecond 838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes 1318554959872
UncachedDiskIOPS 40000
UncachedDiskBytesPerSecond 1048576000
EphemeralOSDiskSupported True
EncryptionAtHostSupported True
CapacityReservationSupported False
TrustedLaunchDisabled True
AcceleratedNetworkingEnabled True
RdmaEnabled False
MaxNetworkInterfaces 8
O que é o Estado convidado da VM (VMGS)?
O estado de convidado da VM (VMGS) é específico da VM de início confiável. É um blob que é gerenciado pelo Azure e contém os bancos de dados de assinatura de inicialização segura da UEFI (Unified Extensible Firmware Interface) e outras informações de segurança. O ciclo de vida do blob VMGS está vinculado ao do disco do sistema operacional.
Próximas etapas
Implantar uma VM de início confiável.