Implantar uma VM com o início confiável habilitado

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

O início confiável é uma maneira de melhorar a segurança das VMs da geração 2. O início confiável protege contra técnicas de ataque avançadas e persistentes por meio da combinação de tecnologias de infraestrutura, como o vTPM e a inicialização segura.

Pré-requisitos

  • Se ainda não estiver integrada, você precisa integrar sua assinatura ao Microsoft Defender para Nuvem. O Microsoft Defender para Nuvem tem uma camada gratuita, que oferece insights muito úteis para vários recursos híbridos e do Azure. O início confiável utiliza o Defender para Nuvem a fim de oferecer várias recomendações em relação à integridade da VM.

  • Atribua iniciativas de políticas do Azure à sua assinatura. Essas iniciativas de política precisam ser atribuídas apenas uma vez por assinatura. Isso instalará automaticamente todas as extensões necessárias em todas as VMs com suporte.

    • Configure os pré-requisitos para ativar o Atestado de Convidado em VMs habilitadas para Início Confiável.

    • Configurar computadores para instalar automaticamente os Azure Monitor e os agentes de segurança do Azure em máquinas virtuais.

  • Permita a marca de serviço AzureAttestation nas regras de saída do NSG para permitir o tráfego no Atestado do Microsoft Azure. Consulte Marcas de serviço de rede virtual.

  • Verifique se as políticas de firewall permitem acesso a *.attest.azure.net.

Observação

Se você estiver usando uma imagem do Linux e prever que a VM pode ter drivers de kernel não assinados ou não assinados pelo fornecedor de distribuição do Linux, convém considerar desativar a inicialização segura. No Portal do Azure, na página "Criar uma máquina virtual" para o parâmetro "Tipo de segurança" com "Máquinas Virtuais de Inicialização Confiável" selecionado, clique em "Configurar recursos de segurança" e desmarque a caixa de seleção "Habilitar inicialização segura". Na CLI, no PowerShell ou no SDK, defina o parâmetro de inicialização segura como false.

Implantar uma VM de início confiável

Crie uma máquina virtual com o início confiável habilitado. Escolha uma opção abaixo:

  1. Entre no Portal do Azure.
  2. Procure máquinas virtuais.
  3. Em Serviços, selecione Máquinas virtuais.
  4. Na página Máquinas virtuais, selecione Adicionar e, em seguida, Máquina virtual.
  5. Em Detalhes do projeto, verifique se a assinatura correta está selecionada.
  6. Em Grupo de recursos, selecione Criar novo e digite um nome para o grupo de recursos ou selecione um grupo de recursos existente no menu suspenso.
  7. Em Detalhes da instância, digite um nome para o nome da máquina virtual e escolha uma região que ofereça suporte ao início confiável.
  8. Para oTipo de segurança, selecione máquinas virtuais de Início Confiável. Isso fará com que mais três opções sejam exibidas : Inicialização segura, vTPM e Monitoramento de Integridade . Selecione as opções apropriadas para a sua implantação. Para saber mais sobre Recursos de Segurança Habilitados para Inicialização Confiável. Screenshot showing the options for Trusted Launch.
  9. Em Imagem, selecione uma imagem das imagens recomendadas do Gen 2 compatíveis com a Início Confiável. Para uma lista, confira início confiável.

    Dica

    Se você não vir a versão Gen 2 da imagem que deseja na lista suspensa, selecione Ver todas as imagens e, em seguida, altere o filtro Tipo de segurança para Início Confiável.

  10. Selecione um tamanho de VM que ofereça suporte ao início confiável. Veja a lista de tamanhos compatíveis.
  11. Preencha as informações de conta do administrador e as regras de porta de entrada.
  12. Na parte inferior da página, selecione Examinar + criar.
  13. Na página Criar uma máquina virtual, você pode ver os detalhes sobre a VM que você está prestes a implantar. Quando a validação for aprovada, selecione Criar.

Sceenshot of the validation page, showing the trusted launch options are included.

Levará alguns minutos para que sua VM seja implantada.

As máquinas virtuais de início confiável do Azure dão suporte à criação e ao compartilhamento de imagens personalizadas usando a Galeria de Computação do Azure. Há dois tipos de imagens que você pode criar, com base nos tipos de segurança da imagem:

Imagens com suporte na VM de início confiável

Para as seguintes origens de imagem, o tipo de segurança na definição da imagem deve ser definido como TrustedLaunchsupported:

  • VHD do disco do sistema operacional Gen2
  • Imagem gerenciada Gen2
  • Versão da imagem da galeria Gen2

Nenhuma informação de Estado de Convidado da VM deve ser incluída na origem da imagem.

A versão da imagem resultante pode ser usada para criar VMs do Azure Gen2 ou VMs de início confiável.

Essas imagens podem ser compartilhadas usando a Galeria de Computação do Azure – Galeria compartilhada direta e a Galeria de Computação do Azure – Galeria da comunidade

Observação

O VHD do disco do sistema operacional, a imagem gerenciada ou a versão da imagem da galeria deve ser criada a partir de uma imagem Gen2 compatível com as VMs de início confiável.

  1. Entre no portal do Azure.
  2. Na barra de pesquisa, pesquise e selecione Versões de imagem de VM
  3. Na página de versões de imagem da VM, selecione Criar.
  4. Na página Criar versão da imagem da VM, na guia Noções básicas:
    1. Selecione a Assinatura do Azure.
    2. Selecione um grupo de recursos existente ou crie um grupo de recursos.
    3. Selecione uma região do Azure.
    4. Insira um número de versão da imagem.
    5. Em Origem, selecione Blobs de armazenamento (VHD), Imagem gerenciada ou outra Versão da imagem da VM
    6. Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado convidado da VM). Certifique-se de usar um VHD Gen 2.
    7. Se você selecionou a Imagem Gerenciada, selecione uma imagem gerenciada existente de uma VM Gen 2.
    8. Se você selecionou Versão da imagem da VM, selecione uma Versão da imagem da galeria existente de uma VM Gen2.
    9. Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
    10. Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do caso de uso. Se você estiver usando uma imagem gerenciada como a origem, sempre selecione Generalizado. Se você estiver usando um VHD (blob de armazenamento) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD do Linux ou generalizar um VHD do Windows antes de continuar. Se você estiver usando uma versão da imagem da VM existente, selecione Generalizada ou Especializada com base no que é usado na definição da imagem da VM de origem.
    11. Para a definição de imagem de VM de destino, selecione Criar novo.
    12. No painel Criar uma definição de imagem de VM, insira um nome para a definição. Verifique se o tipo de segurança está definido para Início confiável com suporte. Forneça as informações de editor, oferta e SKU. Em seguida, selecione OK.
  5. A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação da imagem, se necessário.
  6. Na guia Criptografia, insira informações relacionadas à criptografia SSE, se necessário.
  7. Selecione Examinar + criar.
  8. Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
  9. Depois que a versão da imagem for criada, selecione Criar VM.
  10. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo e digite um nome para o grupo de recursos ou selecione um grupo de recursos existente no menu suspenso.
  11. Em Detalhes da instância, digite um nome para o nome da máquina virtual e escolha uma região que ofereça suporte ao início confiável.
  12. Selecione Máquinas virtuais de início confiável como o tipo de segurança. As caixas de seleção Inicialização Segura e vTPM estão habilitadas por padrão.
  13. Preencha as informações de conta do administrador e as regras de porta de entrada.
  14. Na página de validação, examine os detalhes da VM.
  15. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Imagens da VM de início confiável

Para as seguintes origens de imagem, o tipo de segurança na definição da imagem deve ser definido como TrustedLaunch:

  • Captura da VM de início confiável
  • Discos gerenciados do sistema operacional
  • Instantâneo de disco do sistema operacional gerenciado

A versão da imagem resultante só pode ser usada para criar VMs de início confiável do Azure.

  1. Entre no Portal do Azure.
  2. Para criar uma Imagem da Galeria de Computação do Azure a partir de uma VM, abra uma VM de inicialização confiável existente e selecione Capturar.
  3. Na página Criar uma Imagem a seguir, permita que a imagem seja compartilhada na galeria como uma versão de imagem de VM. Não há suporte para a criação de Imagens Gerenciadas para VMs de Início Confiável.
  4. Crie uma galeria de computação do Azure de destino ou selecione uma galeria existente.
  5. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar a VM para remover informações específicas do computador antes de selecionar essa opção. Se a criptografia baseada em Bitlocker estiver habilitada em sua VM Windows com Início confiável, talvez você não consiga generalizá-la.
  6. Crie uma nova definição de imagem fornecendo um nome, um editor, uma oferta e detalhes de SKU. O Tipo de segurança da definição de imagem já está definido como Início confiável.
  7. Forneça um número de versão para a imagem.
  8. Modifique as opções de replicação, se necessário.
  9. Na parte inferior da página Criar uma Imagem, selecione Examinar + Criar e, quando a validação for exibida conforme passado, selecione Criar.
  10. Depois que a versão da imagem for criada, vá diretamente para a versão da imagem. Como alternativa, você pode navegar até a versão da imagem necessária por meio da definição de imagem.
  11. Na página de versão da imagem da VM, selecione + Criar VM para pousar na página Criar uma máquina virtual.
  12. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo e digite um nome para o grupo de recursos ou selecione um grupo de recursos existente no menu suspenso.
  13. Em Detalhes da instância, digite um nome para o nome da máquina virtual e escolha uma região que ofereça suporte ao início confiável.
  14. A imagem e o tipo de segurança já estão preenchidos com base na versão da imagem selecionada. As caixas de seleção Inicialização Segura e vTPM estão habilitadas por padrão.
  15. Preencha as informações de conta do administrador e as regras de porta de entrada.
  16. Na parte inferior da página, selecione Examinar + criar.
  17. Na página de validação, examine os detalhes da VM.
  18. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Caso deseje usar um disco gerenciado ou um instantâneo de disco gerenciado como uma origem da versão da imagem (em vez de uma VM de início confiável), use as etapas a seguir

  1. Entre no portal
  2. Pesquise por Versões da Imagem de VM e selecione Criar
  3. Forneça a assinatura, o grupo de recursos, a região e o número da versão da imagem
  4. Selecione a origem como Discos e/ou Instantâneos
  5. Selecione o disco do sistema operacional como um disco gerenciado ou um instantâneo de disco gerenciado na lista suspensa
  6. Selecione uma Galeria de Computação do Azure de Destino para criar e compartilhar a imagem. Se nenhuma galeria existir, crie uma.
  7. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar o disco ou o instantâneo para remover informações específicas do computador.
  8. Para a Definição da Imagem da VM de Destino, selecione Criar. Na janela que é aberta, selecione um nome de definição de imagem e verifique se o Tipo de segurança está definido como Início confiável. Forneça as informações de editor, oferta e SKU e selecione OK.
  9. A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação da imagem, se necessário.
  10. A guia Criptografia também pode ser usada para fornecer informações relacionadas à criptografia SSE, se necessário.
  11. Selecione Criar na guia Examinar + criar para criar a imagem
  12. Quando a versão da imagem for criada com êxito, selecione + Criar VM para pousar na página Criar uma máquina virtual.
  13. Siga as etapas de 12 a 18, conforme mencionado anteriormente, para criar uma VM de início confiável usando esta versão de imagem

Verificar ou atualizar suas configurações

Para VMs criadas com início confiável habilitada, é possível exibir a configuração de início confiável acessando a página de Visão geral referente à VM no portal do Azure. A guia Propriedades mostrará o status dos recursos de Início Confiável:

Screenshot of the Trusted Launch properties of the VM.

Para alterar a configuração de início confiável, no menu à esquerda, na seção Configurações, selecione Configuração. É possível habilitar ou desabilitar a inicialização segura e o vTPM e Monitoramento de Integridade da seção Tipo de segurança. Quando terminar, selecione Salvar na parte superior da página.

Screenshot showing check boxes to change the Trusted Launch settings.

Se a VM estiver em execução, você receberá uma mensagem informando que a VM será reiniciada. Selecione Sim e aguarde a VM ser reiniciada para que as alterações entrem em vigor.

Próximas etapas

Saiba mais sobre as VMs de início confiável e Monitoramento de integridade da inicialização.