Início confiável para máquinas virtuais do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
O Azure oferece o início confiável como uma maneira simples de melhorar a segurança de VMs de geração 2. O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas.
Importante
- O Início Confiável é selecionado como o estado padrão para VMs do Azure recém-criadas. Se a nova VM exigir recursos que não são compatíveis com a inicialização confiável, consulte as perguntas frequentes sobre o início confiável
- As VMs existentes Azure Geração 2 podem ter a inicialização confiável habilitada após a criação. Para obter mais informações, confira Habilitar Início Confiável nas VMs existentes
- Você não pode habilitar a inicialização confiável em um VMSS (conjunto de dimensionamento de máquinas virtuais) existente que foi criado inicialmente sem ele. A inicialização confiável requer a criação de um novo VMSS.
Benefícios
- Implantar máquinas virtuais de forma segura com carregadores de inicialização verificados, kernels do SO (sistema operacional) e drivers.
- Proteger chaves, certificados e segredos com segurança nas máquinas virtuais.
- Obter informações e confiança da integridade da cadeia de inicialização inteira.
- Garantir que as cargas de trabalho sejam confiáveis e verificáveis.
Tamanhos de Máquinas Virtuais
Observação
- A instalação dos drivers CUDA e GRID em VMs do Windows habilitadas para Inicialização Segura não exige etapas adicionais.
- A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras documentadas em Instalar drivers para a GPU da NVIDIA em VMs da série N executando o Linux. A inicialização segura deve ser desabilitada para instalar drivers CUDA em outras VMs do Linux.
- A instalação do driver GRID exige que a inicialização segura seja desabilitada para VMs do Linux.
- Famílias de tamanho sem suporte não são compatíveis com VMs de segunda geração. Altere o Tamanho da VM para famílias de tamanho com suporte equivalentes para habilitar o Início Confiável.
Sistemas operacionais com suporte
Sistema operacional | Versão |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
Windows Server | 2016, 2019, 2022 * |
Windows Server (Azure Edition) | 2022 |
* Há suporte para variações desse sistema operacional.
Informações adicionais
Regiões:
- Todas as regiões públicas
- Regiões do Azure Governamental
- Todas as regiões do Azure China
Preços: A inicialização confiável não aumenta os custos de preços de VM existentes.
Recursos sem suporte
Observação
No momento, não há suporte para os seguintes recursos da Máquina Virtual com o Início Confiável.
- Azure Site Recovery
- Imagem Gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure)
- Virtualização Aninhada (a maioria das famílias de tamanho de VM v5 com suporte)
Inicialização Segura
Na raiz de início confiável está a Inicialização Segura para a sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam ser inicializados. Ela estabelece uma "raiz de confiança" para a pilha de software da VM. Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) exigem assinatura de editores confiáveis. O Windows e algumas distribuições do Linux oferecem suporte à Inicialização Segura. Se a Inicialização Segura falhar ao autenticar que a imagem é assinada por um editor confiável, a VM não é inicializada. Para saber mais, confira Inicialização Segura.
vTPM
O início confiável também apresenta vTPM para VMs do Azure. O vTPM é uma versão virtualizada de um TPM (Trusted Platform Module), em conformidade com a especificação TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medidas. O início confiável fornece sua VM com sua própria instância do TPM dedicada, em execução em um ambiente seguro fora do alcance de qualquer VM. O vTPM habilita o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).
A inicialização confiável usa o vTPM para executar o atestado remoto por meio da nuvem. Os atestados permitem verificações de integridade da plataforma e tomam decisões baseadas em confiança. Como uma verificação de integridade, o início confiável pode certificar criptograficamente que sua VM foi inicializada corretamente. Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender para Nuvem emite alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança com base em virtualização
A SVB (segurança baseada em virtualização) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações mal-intencionadas. O início confiável permite habilitar o HVCI (integridade de código protegido por hipervisor) e o Windows Defender Credential Guard.
O HVCI é uma mitigação de sistema poderosa que protege os processos do modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado. Ele verifica os drivers e os binários do modo kernel antes de executá-los, impedindo que arquivos não assinados sejam carregados na memória. Verifica se o código executável não pode ser modificado depois que ele tem permissão para carregar. Para obter mais informações sobre SVB e HVCI, consulte SVB (segurança baseada em virtualização) e HVCI (integridade de código protegido por hipervisor).
Com o início e o SVB confiáveis, você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas o software do sistema privilegiado possa acessá-los. Ele ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques do tipo Pass-the-hash (PtH). Para obter mais informações, consulte Credential Guard.
Integração do Microsoft Defender para Nuvem
O início confiável é integrado ao Microsoft Defender para Nuvem a fim de garantir que as VMs sejam configuradas corretamente. O Microsoft Defender para Nuvem avalia continuamente VMs compatíveis e emite recomendações relevantes.
- A recomendação para habilitar a Inicialização Segura – Recomendação de Inicialização Segura aplica-se apenas a VMs que dão suporte à inicialização confiável. O Microsoft Defender para Nuvem identifica VMs que podem habilitar a Inicialização Segura, mas que a desabilitam. Ele emite uma recomendação de baixa gravidade para habilitá-la.
- Recomendação para habilitar o vTPM – se a VM tiver o vTPM habilitado, o Microsoft Defender para Nuvem poderá usá-lo para executar o atestado de convidado e identificar padrões de ameaças avançados. Se o Microsoft Defender para Nuvem identificar VMs que dão suporte à inicialização confiável e tiverem o vTPM desabilitado, ele emitirá uma recomendação de baixa severidade para habilitá-lo.
- Recomendação para instalar a extensão de atestado de convidado – se a VM tiver inicialização segura e o vTPM habilitado, mas não tiver a extensão de atestado de convidado instalada, o Microsoft Defender para Nuvem emitirá recomendações de baixa gravidade para instalar a extensão de atestado de convidado nela. Essa extensão permite que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização das VMs. A integridade da inicialização é atestada por meio do atestado remoto.
- Avaliação de integridade de atestado ou monitoramento de integridade da inicialização – se a VM tiver inicialização segura e habilitar o vTPM e tiver a extensão de atestado instalada, o Microsoft Defender para Nuvem poderá validar de forma remota se ela foi inicializada de maneira íntegra. Isso é conhecido como monitoramento de integridade da inicialização. O Microsoft Defender para Nuvem emite uma avaliação, indicando o status do atestado remoto.
Se as VMs estiverem configuradas corretamente com o início confiável, o Microsoft Defender para Nuvem poderá detectar e alertar sobre problemas de integridade nelas.
Alerta para falha de atestado de VM: o Microsoft Defender para Nuvem executa periodicamente o atestado em suas VMs. O atestado também ocorre após a inicialização da VM. Se o atestado falhar, ele disparará um alerta de gravidade média. O atestado da VM pode falhar pelos seguintes motivos:
- As informações atestadas, que incluem um log de inicialização, se desviam de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.
- A cotação de atestado não pôde ser verificada para se originar do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar interceptando o tráfego para o vTPM.
Observação
Os alertas estão disponíveis para VMs com o vTPM habilitado e a extensão atestado instalada. A Inicialização Segura deve ser habilitada para que o atestado passe. O atestado falhará se a Inicialização Segura estiver desabilitada. Se você precisar desabilitar a Inicialização Segura, poderá suprimir esse alerta para evitar falsos positivos.
Alerta para o módulo kernel do Linux não confiável: para o início confiável com a Inicialização Segura habilitada, é possível que uma VM seja inicializada mesmo se um driver de kernel falhar na validação e o carregamento não for permitido. Se isso acontecer, o Microsoft Defender para Nuvem emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados.
- Qual driver de kernel falhou? Estou familiarizado com esse driver e espero que ele seja carregado?
- Esta é a versão exata do driver que estou esperando? Os binários de driver estão intactos? Se esse for um driver de terceiros, o fornecedor passou nos testes de conformidade do sistema operacional para assinou?
Próximas etapas
Implantar uma VM de início confiável.