Inicialização confiável para máquinas virtuais do Azure

Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes

O Azure oferece o Lançamento Confiável como uma maneira perfeita de melhorar a segurança das máquinas virtuais (VMs) da 2ª geração. O Lançamento Fidedigno protege contra técnicas de ataque avançadas e persistentes. O Trusted Launch é composto por várias tecnologias de infraestrutura coordenada que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas.

Importante

• A Inicialização Confiável é selecionada como o estado padrão para VMs do Azure recém-criadas. Se a sua nova VM exigir recursos que não são suportados pelo Trusted Launch, consulte as Perguntas frequentes sobre o Trusted Launch.
• As máquinas virtuais (VMs) existentes podem ter a Inicialização Confiável habilitada após serem criadas. Para obter mais informações, consulte Habilitar inicialização confiável em VMs existentes.
• Os conjuntos de dimensionamento de máquina virtual (VMSS) existentes podem ter a Inicialização Confiável habilitada após a criação. Para obter mais informações, consulte Habilitar inicialização confiável em conjuntos de escala existentes.

Benefícios

• Implante VMs com segurança com carregadores de inicialização verificados, kernels do sistema operacional (SO) e drivers.
• Proteja com segurança chaves, certificados e segredos nas VMs.
• Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
• Certifique-se de que as cargas de trabalho são confiáveis e verificáveis.

Tamanhos de máquinas virtuais

Type	Famílias de tamanhos suportados	Famílias de tamanho atualmente não suportadas	Famílias de tamanho não suportadas
Fins gerais	Série B, série DCsv2, série DCsv3, série DCdsv3, série Dv4, série Dsv4, série Dsv3, série Dsv2, série Dav4, série Dasv4, série Ddv4, série Ddsv4, série Dv5, série Dsv5, série Ddv5, série Ddsv5, série Dasv5, série Dadsv5, série Dlsv5, Série Dldsv5	Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series	Série Av2, série Dv2, série Dv3
Com otimização de computação	Série FX, série Fsv2	Todos os tamanhos suportados.
Com otimização de memória	Série Dsv2, Série Esv3, Série Ev4, Série Esv4, Série Edv4, Série Edsv4, Série Eav4, Série Easv4, Série Easv5, Série Eadsv5, Série Ebsv5, Série Ebdsv5, Série Edv5, Série Edsv5	Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series	Série Ev3
Com otimização de armazenamento	Lsv2-series, Lsv3-series, Lasv3-series	Todos os tamanhos suportados.
GPU	Série NCv2, série NCv3, série NCasT4_v3, série NVv3, série NVv4, série NDv2, série NC_A100_v4, série NVadsA10 série v5	NDasrA100_v4-série, NDm_A100_v4-série	Série NC, série NV, série NP
Computação de alto desempenho	Série HB, série HBv2, série HBv3, série HBv4, série HC, série HX	Todos os tamanhos suportados.

Nota

• A instalação dos drivers CUDA & GRID em VMs do Windows habilitadas para Inicialização Segura não requer nenhuma etapa extra.
• A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras. Para obter mais informações, consulte Instalar drivers de GPU NVIDIA em VMs da série N executando Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs Linux.
• A instalação do driver GRID requer que a Inicialização Segura seja desabilitada para VMs Linux.
• As famílias de tamanho não suportadas não suportam VMs de Geração 2 . Altere o tamanho da VM para famílias de tamanho suportadas equivalentes para habilitar o Trusted Launch.

Sistemas operacionais suportados

SO	Versão
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8,3, 8,4, 8,5, 8,6, 8,7, 8,8 MVE, 9,0, 9,1 LVM
Red Hat Enterprise Linux	8,4, 8,5, 8,6, 8,7, 8,8, 9,0, 9,1 MVE, 9,2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18,04 LTS, 20,04 LTS, 22,04 LTS, 23,04, 23,10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Windows Server (Azure Edition)	2022

* Variações deste sistema operacional são suportadas.

Mais informações

Regiões:

• Todas as regiões públicas
• Todas as regiões do Azure Government
• Todas as regiões do Azure China

Preços: o Lançamento Confiável não aumenta os custos de preços de VM existentes.

Funcionalidades não suportadas

Atualmente, os seguintes recursos de VM não são suportados com o Trusted Launch:

• Azure Site Recovery (disponível em geral para Windows).
• Imagem Gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure).
• Virtualização aninhada (famílias de tamanho de VM v5 suportadas).
• Hibernação de VM Linux

Arranque Seguro

Na raiz do Trusted Launch está a Inicialização Segura para sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam inicializar. Ele estabelece uma "raiz de confiança" para a pilha de software em sua VM.

Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) exigem assinatura de editores confiáveis. Tanto o Windows quanto as distribuições Linux selecionadas suportam a Inicialização Segura. Se a Inicialização Segura não conseguir autenticar que a imagem está assinada por um editor confiável, a VM falhará na inicialização. Para obter mais informações, consulte Arranque Seguro.

vTPM

O Trusted Launch também apresenta o Trusted Platform Module (vTPM) virtual para VMs do Azure. Esta versão virtualizada de um hardware Trusted Platform Module é compatível com as especificações TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medições.

O Trusted Launch fornece à sua VM sua própria instância TPM dedicada que é executada em um ambiente seguro fora do alcance de qualquer VM. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, OS, sistema e drivers).

O Trusted Launch usa o vTPM para executar o atestado remoto através da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para tomar decisões baseadas em confiança. Como uma verificação de integridade, o Trusted Launch pode certificar criptograficamente que sua VM foi inicializada corretamente.

Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender for Cloud emitirá alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.

Segurança baseada em virtualização

A segurança baseada em virtualização (VBS) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações maliciosas. A Inicialização Confiável permite habilitar a integridade do código do hipervisor (HVCI) e o Windows Defender Credential Guard.

O HVCI é uma poderosa mitigação do sistema que protege os processos do modo kernel do Windows contra injeção e execução de código malicioso ou não verificado. Ele verifica os drivers e binários do modo kernel antes de serem executados, impedindo que arquivos não assinados sejam carregados na memória. As verificações garantem que o código executável não possa ser modificado depois de ser permitido carregar. Para obter mais informações sobre VBS e HVCI, consulte Segurança baseada em virtualização e integridade de código imposta pelo hipervisor.

Com o Trusted Launch e o VBS, você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas software de sistema privilegiado possa acessá-los. Ele ajuda a evitar o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte Credential Guard.

Integração com o Microsoft Defender for Cloud

O Trusted Launch é integrado ao Defender for Cloud para garantir que suas VMs estejam configuradas corretamente. O Defender for Cloud avalia continuamente VMs compatíveis e emite recomendações relevantes:

• Recomendação para habilitar a Inicialização Segura: A recomendação de Inicialização Segura só se aplica a VMs que oferecem suporte ao Trusted Launch. O Defender for Cloud identifica VMs que podem habilitar a Inicialização Segura, mas tê-la desabilitada. Ele emite uma recomendação de baixa gravidade para habilitá-lo.

• Recomendação para habilitar o vTPM: se sua VM tiver o vTPM habilitado, o Defender for Cloud poderá usá-lo para executar o atestado de convidado e identificar padrões avançados de ameaça. Se o Defender for Cloud identificar VMs que suportam a Inicialização Confiável e têm o vTPM desativado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.

• Recomendação para instalar a extensão de atestado de convidado: se sua VM tiver a Inicialização Segura e o vTPM habilitados, mas não tiver a extensão de Atestado de Convidado instalada, o Defender for Cloud emitirá recomendações de baixa gravidade para instalar a extensão de Atestado de Convidado nela. Essa extensão permite que o Defender for Cloud ateste e monitore proativamente a integridade de inicialização de suas VMs. A integridade da inicialização é atestada por meio de atestado remoto.

• Avaliação da integridade do atestado ou monitoramento da integridade da inicialização: se sua VM tiver a Inicialização Segura e o vTPM habilitados e a extensão de Atestado instalada, o Defender for Cloud poderá validar remotamente que sua VM inicializou de forma íntegra. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender for Cloud emite uma avaliação que indica o status do atestado remoto.

  Se suas VMs estiverem configuradas corretamente com o Trusted Launch, o Defender for Cloud poderá detetar e alertá-lo sobre problemas de integridade da VM.

• Alerta para falha de atestado de VM: o Defender for Cloud executa periodicamente o atestado em suas VMs. O atestado também acontece após a inicialização da VM. Se o atestado falhar, ele dispara um alerta de gravidade média. O atestado de VM pode falhar pelos seguintes motivos:

  • As informações atestadas, que incluem um log de inicialização, desviam-se de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.

  • Não foi possível verificar se a citação do atestado provém do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar intercetando o tráfego para o vTPM.

    Nota

    Os alertas estão disponíveis para VMs com vTPM habilitado e a extensão Attestation instalada. A Inicialização Segura deve estar habilitada para que o atestado seja aprovado. O atestado falhará se a Inicialização Segura estiver desabilitada. Se tiver de desativar o Arranque Seguro, pode suprimir este alerta para evitar falsos positivos.

• Alerta para módulo de kernel Linux não confiável: Para inicialização confiável com a Inicialização Segura habilitada, é possível que uma VM inicialize mesmo que um driver do kernel falhe na validação e seja proibido de carregar. Se esse cenário acontecer, o Defender for Cloud emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados. Pergunte a si mesmo:

  • Qual driver do kernel falhou? Estou familiarizado com este driver e espero que ele carregue?
  • Esta é a versão exata do driver que estou esperando? Os binários do driver estão intactos? Se este for um driver de terceiros, o fornecedor passou nos testes de conformidade do sistema operacional para assiná-lo?

Conteúdos relacionados

Implante uma VM de inicialização confiável.