Início confiável para máquinas virtuais do Azure

  • Artigo

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

O Azure oferece o início confiável como uma maneira simples de melhorar a segurança de VMs de geração 2. O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas.

Importante

  • O Início Confiável é selecionado como o estado padrão para VMs do Azure recém-criadas. Se a nova VM exigir recursos que não são compatíveis com a inicialização confiável, consulte as perguntas frequentes sobre o início confiável
  • As VMs existentes Azure Geração 2 podem ter a inicialização confiável habilitada após a criação. Para obter mais informações, confira Habilitar Início Confiável nas VMs existentes
  • Você não pode habilitar a inicialização confiável em um VMSS (conjunto de dimensionamento de máquinas virtuais) existente que foi criado inicialmente sem ele. A inicialização confiável requer a criação de um novo VMSS.

Benefícios

  • Implantar máquinas virtuais de forma segura com carregadores de inicialização verificados, kernels do SO (sistema operacional) e drivers.
  • Proteger chaves, certificados e segredos com segurança nas máquinas virtuais.
  • Obter informações e confiança da integridade da cadeia de inicialização inteira.
  • Garantir que as cargas de trabalho sejam confiáveis e verificáveis.

Tamanhos de Máquinas Virtuais

Tipo Famílias de tamanho com suporte Famílias de tamanho sem suporte no momento Famílias de tamanho sem suporte
Uso Geral B-series, DCsv2-series, DCsv3-series, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dldsv5-series Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series Av2-series, Dv2-series, Dv3-series
Computação otimizada FX-series, Fsv2-series Todos os tamanhos com suporte.
Memória otimizada Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series ,Edv5-series, Edsv5-series Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series Ev3-series
Armazenamento otimizado Lsv2-series, Lsv3-series, Lasv3-series Todos os tamanhos com suporte.
GPU NCv2-series, NCv3-series, NCasT4_v3-series, NVv3-series, NVv4-series, NDv2-series, NC_A100_v4-series, NVadsA10 v5-series NDasrA100_v4-series, NDm_A100_v4-series NC-series, NV-series, NP-series
Computação de Alto Desempenho HB-series, HBv2-series, HBv3-series, HBv4-series, HC-series, HX-series Todos os tamanhos com suporte.

Observação

  • A instalação dos drivers CUDA e GRID em VMs do Windows habilitadas para Inicialização Segura não exige etapas adicionais.
  • A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras documentadas em Instalar drivers para a GPU da NVIDIA em VMs da série N executando o Linux. A inicialização segura deve ser desabilitada para instalar drivers CUDA em outras VMs do Linux.
  • A instalação do driver GRID exige que a inicialização segura seja desabilitada para VMs do Linux.
  • Famílias de tamanho sem suporte não são compatíveis com VMs de segunda geração. Altere o Tamanho da VM para famílias de tamanho com suporte equivalentes para habilitar o Início Confiável.

Sistemas operacionais com suporte

Sistema operacional Versão
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Windows Server (Azure Edition) 2022

* Há suporte para variações desse sistema operacional.

Informações adicionais

Regiões:

  • Todas as regiões públicas
  • Regiões do Azure Governamental
  • Todas as regiões do Azure China

Preços: A inicialização confiável não aumenta os custos de preços de VM existentes.

Recursos sem suporte

Observação

No momento, não há suporte para os seguintes recursos da Máquina Virtual com o Início Confiável.

Inicialização Segura

Na raiz de início confiável está a Inicialização Segura para a sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam ser inicializados. Ela estabelece uma "raiz de confiança" para a pilha de software da VM. Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) exigem assinatura de editores confiáveis. O Windows e algumas distribuições do Linux oferecem suporte à Inicialização Segura. Se a Inicialização Segura falhar ao autenticar que a imagem é assinada por um editor confiável, a VM não é inicializada. Para saber mais, confira Inicialização Segura.

vTPM

O início confiável também apresenta vTPM para VMs do Azure. O vTPM é uma versão virtualizada de um TPM (Trusted Platform Module), em conformidade com a especificação TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medidas. O início confiável fornece sua VM com sua própria instância do TPM dedicada, em execução em um ambiente seguro fora do alcance de qualquer VM. O vTPM habilita o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).

A inicialização confiável usa o vTPM para executar o atestado remoto por meio da nuvem. Os atestados permitem verificações de integridade da plataforma e tomam decisões baseadas em confiança. Como uma verificação de integridade, o início confiável pode certificar criptograficamente que sua VM foi inicializada corretamente. Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender para Nuvem emite alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.

Segurança com base em virtualização

A SVB (segurança baseada em virtualização) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações mal-intencionadas. O início confiável permite habilitar o HVCI (integridade de código protegido por hipervisor) e o Windows Defender Credential Guard.

O HVCI é uma mitigação de sistema poderosa que protege os processos do modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado. Ele verifica os drivers e os binários do modo kernel antes de executá-los, impedindo que arquivos não assinados sejam carregados na memória. Verifica se o código executável não pode ser modificado depois que ele tem permissão para carregar. Para obter mais informações sobre SVB e HVCI, consulte SVB (segurança baseada em virtualização) e HVCI (integridade de código protegido por hipervisor).

Com o início e o SVB confiáveis, você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas o software do sistema privilegiado possa acessá-los. Ele ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques do tipo Pass-the-hash (PtH). Para obter mais informações, consulte Credential Guard.

Integração do Microsoft Defender para Nuvem

O início confiável é integrado ao Microsoft Defender para Nuvem a fim de garantir que as VMs sejam configuradas corretamente. O Microsoft Defender para Nuvem avalia continuamente VMs compatíveis e emite recomendações relevantes.

  • A recomendação para habilitar a Inicialização Segura – Recomendação de Inicialização Segura aplica-se apenas a VMs que dão suporte à inicialização confiável. O Microsoft Defender para Nuvem identifica VMs que podem habilitar a Inicialização Segura, mas que a desabilitam. Ele emite uma recomendação de baixa gravidade para habilitá-la.
  • Recomendação para habilitar o vTPM – se a VM tiver o vTPM habilitado, o Microsoft Defender para Nuvem poderá usá-lo para executar o atestado de convidado e identificar padrões de ameaças avançados. Se o Microsoft Defender para Nuvem identificar VMs que dão suporte à inicialização confiável e tiverem o vTPM desabilitado, ele emitirá uma recomendação de baixa severidade para habilitá-lo.
  • Recomendação para instalar a extensão de atestado de convidado – se a VM tiver inicialização segura e o vTPM habilitado, mas não tiver a extensão de atestado de convidado instalada, o Microsoft Defender para Nuvem emitirá recomendações de baixa gravidade para instalar a extensão de atestado de convidado nela. Essa extensão permite que o Microsoft Defender para Nuvem ateste e monitore proativamente a integridade da inicialização das VMs. A integridade da inicialização é atestada por meio do atestado remoto.
  • Avaliação de integridade de atestado ou monitoramento de integridade da inicialização – se a VM tiver inicialização segura e habilitar o vTPM e tiver a extensão de atestado instalada, o Microsoft Defender para Nuvem poderá validar de forma remota se ela foi inicializada de maneira íntegra. Isso é conhecido como monitoramento de integridade da inicialização. O Microsoft Defender para Nuvem emite uma avaliação, indicando o status do atestado remoto.

Se as VMs estiverem configuradas corretamente com o início confiável, o Microsoft Defender para Nuvem poderá detectar e alertar sobre problemas de integridade nelas.

  • Alerta para falha de atestado de VM: o Microsoft Defender para Nuvem executa periodicamente o atestado em suas VMs. O atestado também ocorre após a inicialização da VM. Se o atestado falhar, ele disparará um alerta de gravidade média. O atestado da VM pode falhar pelos seguintes motivos:

    • As informações atestadas, que incluem um log de inicialização, se desviam de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.
    • A cotação de atestado não pôde ser verificada para se originar do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar interceptando o tráfego para o vTPM.

    Observação

    Os alertas estão disponíveis para VMs com o vTPM habilitado e a extensão atestado instalada. A Inicialização Segura deve ser habilitada para que o atestado passe. O atestado falhará se a Inicialização Segura estiver desabilitada. Se você precisar desabilitar a Inicialização Segura, poderá suprimir esse alerta para evitar falsos positivos.

  • Alerta para o módulo kernel do Linux não confiável: para o início confiável com a Inicialização Segura habilitada, é possível que uma VM seja inicializada mesmo se um driver de kernel falhar na validação e o carregamento não for permitido. Se isso acontecer, o Microsoft Defender para Nuvem emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados.

    • Qual driver de kernel falhou? Estou familiarizado com esse driver e espero que ele seja carregado?
    • Esta é a versão exata do driver que estou esperando? Os binários de driver estão intactos? Se esse for um driver de terceiros, o fornecedor passou nos testes de conformidade do sistema operacional para assinou?

Próximas etapas

Implantar uma VM de início confiável.