Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ VMs Linux ✔️ VMs Windows ✔️ Conjuntos de escala flexíveis ✔️ Conjuntos de escala uniformes
Azure oferece o Trusted Launch como uma forma fluida de melhorar a segurança das máquinas virtuais (VM) Geração 2. O Início Seguro protege contra técnicas de ataque avançadas e persistentes. O Trusted Launch é composto por várias tecnologias de infraestrutura coordenada que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas.
O Trusted Launch é suportado tanto para arquiteturas x64 como Arm64.
Importante
- Trusted Launch é o estado padrão para VMs Azure Gen2 recém-criadas e conjuntos de escala. Consulte as Perguntas frequentes sobre inicialização confiável se sua nova VM exigir recursos que não são compatíveis com a inicialização confiável.
- Pode atualizar VMs Azure Gen1 existentes para o lançamento confiável do Gen2 para ativar o Secure Boot e o vTPM. Veja Atualizar VMs Gen1 existentes para Gen2-Trusted Launch.
- As VMs existentes podem ter o Trusted Launch ativado após serem criadas. Para mais informações, consulte Ativar Lançamento Confiável em VMs Gen2 existentes.
- Conjuntos de escalas de máquinas virtuais existentes podem ter o Trusted Launch ativado após serem criados. Para obter mais informações, consulte Habilitar inicialização confiável em conjunto de escala existente.
Benefícios
- Implante VMs de forma segura com carregadores de inicialização verificados, kernels do sistema operativo (SO) e drivers.
- Proteja com segurança chaves, certificados e segredos nas VMs.
- Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
- Certifique-se de que as cargas de trabalho são confiáveis e verificáveis.
Tamanhos de máquinas virtuais
| Tipo | Famílias de tamanhos suportados | Famílias de tamanho atualmente não suportadas | Famílias de tamanho não suportadas |
|---|---|---|---|
| Fins gerais | Família B, família D, Dpsv6-série1, Dplsv6-série1 | Série Dpsv5, Série Dpdsv5, Série Dplsv5, Série Dpldsv5 | Família A, Série Dv2, Série Dv3, Família DC-Confidential |
| Otimizado para computação | Família F, família FX | Todos os tamanhos suportados. | |
| Com otimização de memória | E-família, Eb-família, Epsv6-série1 | Família M | EC-Confidential-family |
| Com otimização de armazenamento | Família L | Todos os tamanhos suportados. | |
| GPU | Família NC, Família ND, Família NV | NDasrA100_v4-série, NDm_A100_v4-série | Série NC, série NV, série NP |
| Computação de alto desempenho | HBv2-series2, HBv3-series, HBv4-series, HBv5-series, HC-series3, HX-series | Todos os tamanhos suportados. |
1Tamanhos baseados em Arm64 Cobalt 100 que suportam Trusted Launch.
2A série HBv2 está atualmente suportada para o Trusted Launch, mas está prevista a sua retirada para 31 de maio de 2027. Para novas implementações de HPC Trusted Launch, prefira tamanhos das séries HBv5, HX, HBv4 ou HBv3.
3Os tamanhos da série HC (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) estão agendados para serem descontinuados a partir de 31 de maio de 2027. Após esta data, as VMs restantes da série HC serão desalocadas e deixarão de gerar encargos, e a série HC deixará de ter SLA ou suporte. As vendas de Instâncias Reservadas de 1 e 3 anos terminaram a 2 de abril de 2026. Para novas implementações HPC Trusted Launch, considere a série HBv5 para maior desempenho e melhor relação qualidade-preço, ou a série HX para cargas de trabalho HPC de alta memória. Planeie fazer a transição da série HC muito antes da data de reforma para evitar interrupções.
Nota
- Instalação dos drivers CUDA & GRID nas VMs do Windows com Secure Boot ativado não requer passos adicionais.
- A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras. Para obter mais informações, consulte Instalar drivers de GPU NVIDIA em VMs da série N executando Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs Linux.
- A instalação do driver GRID requer que a Inicialização Segura seja desabilitada para VMs Linux.
- As famílias de tamanho não suportadas não suportam VMs de Geração 2 . Altere o tamanho da VM para famílias de tamanho suportadas equivalentes para habilitar o Trusted Launch.
Sistemas operacionais suportados
| SO | Versão |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux do CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Servidor | 18,04 LTS, 20,04 LTS, 22,04 LTS, 23,04, 23,10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variações deste sistema operacional são suportadas.
Nota
O Trusted Launch em Arm64 é suportado ao utilizar imagens Arm64 Marketplace aplicáveis para distribuições e versões suportadas. Para tamanhos Cobalt 100, implemente o Trusted Launch usando imagens Arm64 disponíveis no Azure Marketplace.
Mais informações
Regiões:
- Todas as regiões públicas
- Todas as regiões do Azure Government
- Todas as regiões da China Azure
Preços: o Lançamento Seguro não aumenta os custos de VM existentes.
Funcionalidades não suportadas
Atualmente, os seguintes recursos de VM não são suportados com o Trusted Launch:
- Managed Image (os clientes são incentivados a usar Azure Compute Gallery).
- Hibernação de VM Linux
Arranque Seguro
Na raiz do Trusted Launch está a Inicialização Segura para sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam inicializar. Ele estabelece uma "raiz de confiança" para a pilha de software em sua VM.
Com a opção de Inicialização Segura ativada, todos os componentes de arranque do sistema operativo (carregador de arranque, kernel, controladores do kernel) requerem a assinatura de editores confiáveis. Tanto o Windows como algumas distribuições Linux suportam o Secure Boot. Se a Inicialização Segura não conseguir autenticar que a imagem está assinada por um editor confiável, a VM não conseguirá arrancar. Para obter mais informações, consulte Arranque Seguro.
vTPM
A Trusted Launch também introduz o Virtual Trusted Platform Module (vTPM) para VMs do Azure. Esta versão virtualizada de um hardware Trusted Platform Module é compatível com as especificações TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medições.
O Trusted Launch fornece à sua VM sua própria instância TPM dedicada que é executada em um ambiente seguro fora do alcance de qualquer VM. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, OS, sistema e drivers).
O Trusted Launch usa o vTPM para executar o atestado remoto através da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para tomar decisões baseadas em confiança. Como uma verificação de integridade, o Trusted Launch pode certificar criptograficamente que sua VM foi inicializada corretamente.
Se o processo falhar, possivelmente porque a sua VM está a executar um componente não autorizado, o Microsoft Defender para a Cloud emite alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança baseada em virtualização
A segurança baseada em virtualização (VBS) usa o hipervisor para criar uma região segura e isolada da memória. O Windows utiliza estas regiões para executar várias soluções de segurança com proteção aumentada contra vulnerabilidades e explorações maliciosas. O Trusted Launch permite-lhe ativar a integridade do código do hipervisor (HVCI) e o Windows Defender Credential Guard.
O HVCI é uma poderosa mitigação do sistema que protege processos em modo kernel do Windows contra a injeção e execução de código malicioso ou não verificado. Ele verifica os drivers e binários do modo kernel antes de serem executados, impedindo que arquivos não assinados sejam carregados na memória. As verificações de segurança garantem que o código executável não seja modificável após ser permitido pelo HVCI a carregar. Para obter mais informações sobre VBS e HVCI, consulte Segurança baseada em virtualização e integridade de código imposta pelo hipervisor.
Com o Trusted Launch e o VBS, pode ativar Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas software de sistema privilegiado possa acessá-los. Ele ajuda a evitar o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte Credential Guard.
Integração com Microsoft Defender para a Cloud
O Trusted Launch está integrado com o Defender para a Cloud para garantir que as suas VMs estão devidamente configuradas. O Defender para a Cloud avalia continuamente VMs compatíveis e emite recomendações relevantes:
Recomendação para habilitar a Inicialização Segura: A recomendação de Inicialização Segura só se aplica a VMs que oferecem suporte ao Trusted Launch. O Defender para a Cloud identifica VMs que têm o arranque seguro desativado. Ele emite uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para ativar o vTPM: Se o vTPM estiver ativado para VM, Defender para a Cloud pode usá-lo para realizar atestação de convidados e identificar padrões avançados de ameaças. Se o Defender para a Cloud identificar VMs que suportam o Trusted Launch com o vTPM desativado, emite uma recomendação de baixa gravidade para o ativar.
Recomendação para instalar a extensão de atestação de convidados: Se a sua VM tiver o Secure Boot e vTPM ativados mas não tiver a extensão Guest Attestation instalada, Defender para a Cloud emite recomendações de baixa gravidade para instalar a extensão Guest Attestation nela. Esta extensão permite ao Defender para a Cloud atestar e monitorizar proativamente a integridade de arranque das suas VMs. A integridade da inicialização é atestada por meio de atestado remoto.
Avaliação de integridade ou monitorização da integridade do arranque: Se a VM tiver o Secure Boot e vTPM ativados e a extensão Attestation instalada, o Defender para a Cloud pode validar remotamente que a VM arrancou de forma saudável. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender para a Cloud emite uma avaliação que indica o estado da atestação remota.
Se as suas VMs estiverem devidamente configuradas com o Trusted Launch, o Defender para a Cloud pode detetar e alertar sobre problemas de saúde da VM.
Alerta para falha de atestação de VM: Defender para a Cloud realiza periodicamente atestação nas suas VMs. O atestado também acontece após a inicialização da VM. Se o atestado falhar, ele dispara um alerta de gravidade média.
Nota
Os alertas de atestação de arranque do cliente VM apresentados no Microsoft Defender para a Cloud são informativos e não estão atualmente apresentados no portal Defender.
O atestado de VM pode falhar pelos seguintes motivos:
As informações atestadas, que incluem um log de inicialização, desviam-se de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis estão carregados e o sistema operacional pode ser comprometido.
Não foi possível verificar se a citação de atestação provém do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar intercetando o tráfego para o vTPM.
Nota
Os alertas estão disponíveis para VMs com vTPM habilitado e a extensão Attestation instalada. A Inicialização Segura deve estar habilitada para que o atestado seja aprovado. O atestado falhará se a Inicialização Segura estiver desabilitada. Se for necessário desativar o Arranque Seguro, pode suprimir este alerta para prevenir a ocorrência de falsos positivos.
Alerta para módulo de kernel Linux não confiável: Para inicialização confiável com a Inicialização Segura habilitada, é possível que uma VM inicialize mesmo que um driver do kernel falhe na validação e seja proibido de carregar. Se ocorrer uma falha na validação do driver do kernel, o Defender para a Cloud emite alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não carregou, esses eventos devem ser investigados. Pergunte a si mesmo:
- Qual módulo do kernel falhou? Estou familiarizado com o driver de kernel que falhou e espero que ele carregue?
- A versão exata do driver é a mesma esperada? Os binários do driver estão intactos? Se o driver com falha for um driver de parceiro, o parceiro cumpriu os testes de conformidade do sistema operativo para obter a assinatura?
(Pré-visualização) Inicialização confiável como padrão
Importante
O padrão de inicialização confiável está atualmente em visualização. Esta Pré-visualização destina-se apenas a fins de teste, avaliação e feedback. Cargas de trabalho de produção não são recomendadas. Ao se registrar para visualizar, você concorda com os termos de uso suplementares. Alguns aspetos desse recurso podem mudar com a disponibilidade geral (GA).
A inicialização confiável como padrão (TLaD) está disponível em visualização para novas máquinas virtuais (VM) Gen2 e conjuntos de dimensionamento de máquinas virtuais (conjuntos de escala).
O TLaD é um meio rápido e zero-touch para melhorar a postura de segurança das novas implementações Gen2 baseadas em Azure VM e Conjuntos de Dimensionamento de Máquinas Virtuais. Com o Trusted Launch definido como padrão, quaisquer novas VMs Gen2 ou grupos de dimensionamento criados através de qualquer ferramenta cliente (como o template ARM, Bicep) são por padrão VMs Trusted Launch com secure boot e vTPM ativados.
A versão pública de pré-visualização permite-lhe validar estas alterações no seu respetivo ambiente para todas as novas VMs Azure Gen2, conjunto de escala, e preparar-se para esta mudança iminente.
Nota
Todas as novas VMs Gen2, grupos de escalamento e implementações que usam qualquer ferramenta cliente (modelo ARM, Bicep, Terraform, etc.) têm por padrão o lançamento confiável ativado após o processo de integração na fase de pré-visualização. Essa alteração NÃO substitui as entradas fornecidas como parte do código de implantação.
Ativar a visualização do TLaD
Registe a funcionalidade de pré-visualização TrustedLaunchByDefaultPreview no espaço de nomes Microsoft.Compute na subscrição da máquina virtual. Para mais informações, consulte Configurar funcionalidades de pré-visualização em Azure subscrição
Para criar uma nova VM Gen2 ou um conjunto de escalas com o padrão de lançamento Confiável, execute o seu script de implementação existente tal qual através do SDK do Azure, Terraform ou outro método que não seja o portal Azure, CLI ou PowerShell. A nova VM ou conjunto de escala criado na assinatura registrada resulta em uma VM de Inicialização Confiável ou Conjunto de Escala de Máquina Virtual.
VM & dimensionar conjuntos de implantações com visualização TLaD
Comportamento existente
Para criar o conjunto de escala & VM de inicialização confiável, você precisa adicionar o seguinte elemento securityProfile na implantação:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
A ausência do elemento securityProfile no código de implantação implanta a VM e o conjunto de dimensionamento sem habilitar o Trusted Launch.
Exemplos
- vm-windows-admincenter – O modelo Azure Resource Manager (ARM) implementa a VM Gen2 sem ativar o lançamento Confiável.
-
vm-simple-windows – O modelo ARM implementa a VM de lançamento confiável (sem predefinição, pois
securityProfileé explicitamente adicionado ao modelo ARM)
Novo comportamento
Usando a versão da API 2021-11-01 ou superior E integração para pré-visualização, a ausência do elemento da implantação permitirá o lançamento confiável por padrão para novas VMs e conjuntos de escalas implantados, se as seguintes condições forem atendidas:
- Source Marketplace imagem do SO suporta o lançamento fidedigno.
- A imagem de SO ACG de origem suporta e é validada para Inicialização Protegida.
- O disco de origem suporta inicialização confiável.
- O tamanho da VM suporta inicialização confiável.
A implantação não assumirá como padrão a inicialização de confiança se uma ou mais das condições listadas não forem atendidas e concluídas com êxito, permitindo assim criar uma nova VM Gen2 ou instância de escala de VM sem inicialização de confiança.
Você pode optar por ignorar explicitamente o padrão para a implantação de máquina virtual e conjunto de escalas, definindo Standard como valor do parâmetro securityType. Para obter mais informações, consulte Posso desabilitar a inicialização confiável para uma nova implantação de VM.
Limitações conhecidas
Não é possível contornar o padrão de lançamento confiável e criar uma VM Gen2 (Lançamento Não Confiável) usando Azure portal após o registo no preview.
Após registar a subscrição de pré-visualização, ao definir o tipo de segurança como Standard no portal Azure, poderá implementar a VM ou o conjunto de dimensionamento Trusted launch. Essa limitação será resolvida antes da disponibilidade geral padrão de inicialização confiável.
Para mitigar esta limitação, pode desregistrar a funcionalidade de pré-visualização removendo a feature flag TrustedLaunchByDefaultPreview no namespace Microsoft.Compute da assinatura dada.
Não é possível redimensionar VM ou VMSS para a família de tamanhos de VM não suportada pela inicialização confiável (como a série M) após a definição padrão para inicialização confiável.
O redimensionamento da VM de Inicialização Confiável para uma família de tamanhos de VM não suportada com Inicialização Confiável não será suportado.
Como mitigação, por favor registe a feature flag UseStandardSecurityType no namespace Microsoft.Compute E reverta a VM do lançamento Confiável para apenas Gen2 (lançamento Não Confiável) definindo securityType = Standard usando as ferramentas do cliente disponíveis (exceto Azure portal).
Feedback da prévia do TLaD
Entre em contato conosco com qualquer feedback, dúvidas ou preocupações sobre essa próxima alteração na pesquisa de feedback de visualização padrão do lançamento confiável.
Desativar visualização do TLaD
Para desativar a pré-visualização do TLaD, desregista a funcionalidade de pré-visualização TrustedLaunchByDefaultPreview no espaço de nomes Microsoft.Compute na subscrição da máquina virtual. Para obter mais informações, consulte Cancelar o registro do recurso de visualização
Conteúdos relacionados
- Implante uma VM de inicialização confiável.