Visão geral do monitoramento da integridade da inicialização

Para ajudar o Trusted Launch a prevenir melhor ataques mal-intencionados de rootkit em máquinas virtuais, o atestado de convidado por meio do ponto de extremidade MAA (Microsoft Azure Attestation) é usado para monitorar a integridade da sequência de inicialização. Este atestado é fundamental para fornecer validade dos estados de uma plataforma. Se suas Máquinas Virtuais Confiáveis do Azure tiverem a Inicialização Segura e o vTPM habilitados e as extensões de atestado instaladas, o Microsoft Defender for Cloud verificará se o status e a integridade de inicialização da sua VM estão configurados corretamente. Para saber mais sobre a integração do MDC, consulte a integração de inicialização confiável com o Microsoft Defender for Cloud.

Importante

A Atualização Automática de Extensão já está disponível para Monitoramento de Integridade de Inicialização - Extensão de Atestado de Convidado. Saiba mais sobre a Atualização automática de extensão.

Pré-requisitos

Uma Subscrição Ativa do Azure + Máquina Virtual de Início Fidedigna

Habilite o monitoramento de integridade

Portal do Azure

1. Inicie sessão no portal do Azure.

2. Selecione o recurso (Máquinas Virtuais).

3. Em Configurações, selecione configuração. No painel tipo de segurança, selecione monitoramento de integridade.

   

4. Guarde as alterações.

Agora, na página de visão geral de máquinas virtuais, o tipo de segurança para monitoramento de integridade deve estar habilitado.

Isso instala a extensão de atestado de convidado, que pode ser consultada por meio de configurações na guia extensões + aplicativos.

Modelo

Você pode implantar a extensão de atestado de convidado para VMs de inicialização confiáveis usando um modelo de início rápido:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Crie uma máquina virtual com Inicialização Confiável que tenha recursos de Inicialização Segura + vTPM por meio da implantação inicial da máquina virtual de inicialização confiável. Para implantar a extensão de atestado de convidado, use (--enable_integrity_monitoring). A configuração de máquinas virtuais é personalizável pelo proprietário da máquina virtual (az vm create).
2. Para VMs existentes, você pode habilitar as configurações de monitoramento de integridade de inicialização atualizando para garantir que a habilitação de monitoramento de integridade esteja ativada (--enable_integrity_monitoring).

Nota

A Extensão de Atestado de Convidado precisa ser configurada explicitamente.

PowerShell

Se a Inicialização Segura e o vTPM estiverem ATIVADOS, a integridade da inicialização estará ATIVADA.

1. Crie uma máquina virtual com Inicialização Confiável que tenha recursos de Inicialização Segura + vTPM por meio da implantação inicial da máquina virtual de inicialização confiável. A configuração de máquinas virtuais é personalizável pelo proprietário da máquina virtual.
2. Para VMs existentes, você pode habilitar as configurações de monitoramento de integridade de inicialização atualizando para garantir que o SecureBoot e o vTPM estejam ativados.

Para obter mais informações sobre como criar ou atualizar uma máquina virtual para incluir o monitoramento da integridade de inicialização por meio da extensão de atestado convidado, consulte Implantar uma VM com inicialização confiável habilitada (PowerShell).

Guia de solução de problemas para instalação de extensão de atestado de convidado

Sintomas

As extensões de Atestado do Microsoft Azure não funcionarão corretamente quando os clientes configurarem um grupo de segurança de rede ou proxy. Um erro semelhante a (Falha no provisionamento Microsoft.Azure.Security.WindowsAttestation.GuestAttestation.)

Soluções

No Azure, os NSG (Grupos de Segurança de Rede) são usados para ajudar a filtrar o tráfego de rede entre os recursos do Azure. Os NSGs contêm regras de segurança que permitem ou negam o tráfego de rede de entrada ou o tráfego de rede de saída de vários tipos de recursos do Azure. Para o ponto de extremidade de atestado do Microsoft Azure, ele deve ser capaz de se comunicar com a extensão de atestado convidado. Sem esse ponto de extremidade, o Trusted Launch não pode acessar o certificado de convidado, o que permite que o Microsoft Defender for Cloud monitore a integridade da sequência de inicialização de suas máquinas virtuais.

Desbloqueando o tráfego de Atestado do Microsoft Azure em Grupos de Segurança de Rede usando tags de serviço.

1. Navegue até a máquina virtual que você deseja permitir o tráfego de saída.
2. Em "Rede" na barra lateral esquerda, selecione a guia Configurações de rede.
3. Em seguida, selecione criar regra de porta e Adicionar regra de porta de saída.
   
4. Para permitir o Atestado do Microsoft Azure, torne o destino uma marca de serviço. Isso permite que o intervalo de endereços IP seja atualizado e defina automaticamente regras de permissão para o Atestado do Microsoft Azure. A marca de serviço de destino é AzureAttestation e action está definida como Allow.

Os firewalls protegem uma rede virtual, que contém várias máquinas virtuais de Inicialização Confiável. Para desbloquear o tráfego de Atestado do Microsoft Azure no Firewall usando a coleção de regras de aplicativo.

1. Navegue até o Firewall do Azure, que tem o tráfego bloqueado do recurso de máquina virtual Inicialização Confiável.
2. Em configurações, selecione Regras (clássicas) para começar a desbloquear o atestado de convidado atrás do Firewall.
3. Selecione uma coleção de regras de rede e adicione uma regra de rede.
4. O usuário pode configurar seu nome, prioridade, tipo de origem, portas de destino com base em suas necessidades. O nome da marca de serviço é o seguinte: AzureAttestation e a ação precisa ser definida como allow.

Para desbloquear o tráfego de Atestado do Microsoft Azure no Firewall usando a coleção de regras de aplicativo.

1. Navegue até o Firewall do Azure, que tem o tráfego bloqueado do recurso de máquina virtual Inicialização Confiável. A coleção de regras deve conter pelo menos uma regra, navegue até FQDNs de destino (nomes de domínio totalmente qualificados).
2. Selecione Coleção de regras de aplicativo e adicione uma regra de aplicativo.
3. Selecione um nome, uma prioridade numérica para suas regras de aplicativo. A ação para coleta de regras é definida como ALLOW. Para saber mais sobre o processamento e os valores da aplicação, leia aqui.
4. Nome, fonte, protocolo, são todos configuráveis pelo usuário. Tipo de origem para um único endereço IP, selecione Grupo IP para permitir vários endereços IP através do firewall.

Provedores Compartilhados Regionais

O Atestado do Azure fornece um provedor compartilhado regional em cada região disponível. Os clientes podem optar por usar o provedor compartilhado regional para atestado ou criar seus próprios provedores com políticas personalizadas. Os provedores compartilhados podem ser acessados por qualquer usuário do Azure AD e a política associada a ele não pode ser alterada.

Nota

Os usuários podem configurar seu tipo de origem, serviço, intervalos de portas de destino, protocolo, prioridade e nome.

Próximos passos

Saiba mais sobre a inicialização confiável e a implantação de uma máquina virtual confiável.