Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes
O Azure oferece o Lançamento Confiável como uma maneira perfeita de melhorar a segurança das máquinas virtuais (VM) da 2ª geração. O Lançamento Fidedigno protege contra técnicas de ataque avançadas e persistentes. O Trusted Launch é composto por várias tecnologias de infraestrutura coordenada que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas.
Importante
- Inicialização Confiável é o estado padrão para VMs recém-criadas do Azure Gen2 e conjunto de escalas. Consulte as Perguntas frequentes sobre inicialização confiável se sua nova VM exigir recursos que não são compatíveis com a inicialização confiável.
- A VM existente pode ter a Inicialização Confiável habilitada após ser criada. Para obter mais informações, consulte Habilitar inicialização confiável em VMs existentes.
- O conjunto de dimensionamento de máquina virtual existente pode ter a Inicialização Confiável habilitada após ser criada. Para obter mais informações, consulte Habilitar inicialização confiável em conjunto de escala existente.
Benefícios
- Implante VMs com segurança com carregadores de inicialização verificados, kernels do sistema operacional (SO) e drivers.
- Proteja com segurança chaves, certificados e segredos nas VMs.
- Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
- Certifique-se de que as cargas de trabalho são confiáveis e verificáveis.
Tamanhos de máquinas virtuais
| Tipo | Famílias de tamanhos suportados | Famílias de tamanho atualmente não suportadas | Famílias de tamanho não suportadas |
|---|---|---|---|
| Fins gerais | Família B, Família D | Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series | Família A, série Dv2, série Dv3, família DC-Confidential |
| Com otimização de computação | Família F, família FX | Todos os tamanhos suportados. | |
| Com otimização de memória | E-family, Família Eb | Família M | EC-Confidencial-família |
| Com otimização de armazenamento | Família L | Todos os tamanhos suportados. | |
| GPU | Família NC, Família ND, Família NV | NDasrA100_v4-série, NDm_A100_v4-série | Série NC, série NV, série NP |
| Computação de alto desempenho | Série HBv2, série HBv3, série HBv4, série HC, série HX | Todos os tamanhos suportados. |
Nota
- A instalação dos drivers CUDA & GRID em VMs do Windows habilitadas para Inicialização Segura não requer nenhuma etapa extra.
- A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras. Para obter mais informações, consulte Instalar drivers de GPU NVIDIA em VMs da série N executando Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs Linux.
- A instalação do driver GRID requer que a Inicialização Segura seja desabilitada para VMs Linux.
- As famílias de tamanho não suportadas não suportam VMs de Geração 2 . Altere o tamanho da VM para famílias de tamanho suportadas equivalentes para habilitar o Trusted Launch.
Sistemas operacionais suportados
| SO | Versão |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8,3, 8,4, 8,5, 8,6, 8,7, 8,8 MVE, 9,0, 9,1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux do CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Servidor | 18,04 LTS, 20,04 LTS, 22,04 LTS, 23,04, 23,10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Servidor Windows | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variações deste sistema operacional são suportadas.
Mais informações
Regiões:
- Todas as regiões públicas
- Todas as regiões do Azure Government
- Todas as regiões do Azure China
Preços: o Lançamento Confiável não aumenta os custos de preços de VM existentes.
Funcionalidades não suportadas
Atualmente, os seguintes recursos de VM não são suportados com o Trusted Launch:
- Imagem Gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure).
- Hibernação de VM Linux
Arranque Seguro
Na raiz do Trusted Launch está a Inicialização Segura para sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam inicializar. Ele estabelece uma "raiz de confiança" para a pilha de software em sua VM.
Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) exigem assinatura de editores confiáveis. Tanto o Windows quanto as distribuições Linux selecionadas suportam a Inicialização Segura. Se a Inicialização Segura não conseguir autenticar que a imagem está assinada por um editor confiável, a VM não conseguirá arrancar. Para obter mais informações, consulte Arranque Seguro.
vTPM
O Trusted Launch também apresenta o Trusted Platform Module (vTPM) virtual para VMs do Azure. Esta versão virtualizada de um hardware Trusted Platform Module é compatível com as especificações TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medições.
O Trusted Launch fornece à sua VM sua própria instância TPM dedicada que é executada em um ambiente seguro fora do alcance de qualquer VM. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, OS, sistema e drivers).
O Trusted Launch usa o vTPM para executar o atestado remoto através da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para tomar decisões baseadas em confiança. Como uma verificação de integridade, o Trusted Launch pode certificar criptograficamente que sua VM foi inicializada corretamente.
Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender for Cloud emitirá alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança baseada em virtualização
A segurança baseada em virtualização (VBS) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações maliciosas. A Inicialização Confiável permite habilitar a integridade do código do hipervisor (HVCI) e o Windows Defender Credential Guard.
O HVCI é uma poderosa mitigação do sistema que protege os processos do modo kernel do Windows contra injeção e execução de código malicioso ou não verificado. Ele verifica os drivers e binários do modo kernel antes de serem executados, impedindo que arquivos não assinados sejam carregados na memória. As verificações de segurança garantem que o código executável não seja modificável após ser permitido pelo HVCI a carregar. Para obter mais informações sobre VBS e HVCI, consulte Segurança baseada em virtualização e integridade de código imposta pelo hipervisor.
Com o Trusted Launch e o VBS, você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas software de sistema privilegiado possa acessá-los. Ele ajuda a evitar o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte Credential Guard.
Integração com o Microsoft Defender for Cloud
O Trusted Launch é integrado ao Defender for Cloud para garantir que suas VMs estejam configuradas corretamente. O Defender for Cloud avalia continuamente VMs compatíveis e emite recomendações relevantes:
Recomendação para habilitar a Inicialização Segura: A recomendação de Inicialização Segura só se aplica a VMs que oferecem suporte ao Trusted Launch. O Defender for Cloud identifica VMs que têm a inicialização segura desabilitada. Ele emite uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para habilitar o vTPM: Se o vTPM estiver habilitado para VM, o Defender for Cloud poderá usá-lo para executar o atestado de convidado e identificar padrões avançados de ameaça. Se o Defender for Cloud identificar VMs que suportam o Trusted Launch com vTPM desativado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para instalar a extensão de atestado de convidado: se sua VM tiver a Inicialização Segura e o vTPM habilitados, mas não tiver a extensão de Atestado de Convidado instalada, o Defender for Cloud emitirá recomendações de baixa gravidade para instalar a extensão de Atestado de Convidado nela. Essa extensão permite que o Defender for Cloud ateste e monitore proativamente a integridade de inicialização de suas VMs. A integridade da inicialização é atestada por meio de atestado remoto.
Avaliação da integridade do atestado ou monitoramento da integridade da inicialização: se sua VM tiver a Inicialização Segura e o vTPM habilitados e a extensão de Atestado instalada, o Defender for Cloud poderá validar remotamente que sua VM inicializou de forma íntegra. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender for Cloud emite uma avaliação que indica o status do atestado remoto.
Se suas VMs estiverem configuradas corretamente com o Trusted Launch, o Defender for Cloud poderá detetar e alertá-lo sobre problemas de integridade da VM.
Alerta para falha de atestado de VM: o Defender for Cloud executa periodicamente o atestado em suas VMs. O atestado também acontece após a inicialização da VM. Se o atestado falhar, ele dispara um alerta de gravidade média. O atestado de VM pode falhar pelos seguintes motivos:
As informações atestadas, que incluem um log de inicialização, desviam-se de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis estão carregados e o sistema operacional pode ser comprometido.
Não foi possível verificar se a citação do atestado provém do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar intercetando o tráfego para o vTPM.
Nota
Os alertas estão disponíveis para VMs com vTPM habilitado e a extensão Attestation instalada. A Inicialização Segura deve estar habilitada para que o atestado seja aprovado. O atestado falhará se a Inicialização Segura estiver desabilitada. Se tiver de desativar o Arranque Seguro, pode suprimir este alerta para evitar falsos positivos.
Alerta para módulo de kernel Linux não confiável: Para inicialização confiável com a Inicialização Segura habilitada, é possível que uma VM inicialize mesmo que um driver do kernel falhe na validação e seja proibido de carregar. Se ocorrer uma falha na validação do driver do kernel, o Defender for Cloud emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não carregou, esses eventos devem ser investigados. Pergunte a si mesmo:
- Qual driver do kernel falhou? Estou familiarizado com o driver de kernel que falhou e espero que ele carregue?
- A versão exata do driver é a mesma esperada? Os binários do driver estão intactos? Se o driver com falha for um driver de parceiro, o parceiro cumpriu os testes de conformidade do sistema operativo para obter a assinatura?
(Pré-visualização) Inicialização confiável como padrão
Importante
O padrão de inicialização confiável está atualmente em visualização. Esta Pré-visualização destina-se apenas a fins de teste, avaliação e feedback. Cargas de trabalho de produção não são recomendadas. Ao se registrar para visualizar, você concorda com os termos de uso suplementares. Alguns aspetos desse recurso podem mudar com a disponibilidade geral (GA).
A inicialização confiável como padrão (TLaD) está disponível em visualização para novas máquinas virtuais (VM) Gen2 e conjuntos de dimensionamento de máquinas virtuais (conjuntos de escala).
O TLaD é um meio rápido e sem toque de melhorar a postura de segurança das novas implantações de VM do Azure e Conjuntos de Dimensionamento de Máquina Virtual baseados em Gen2. Com o Trusted Launch como padrão, qualquer nova VM Gen2 ou conjuntos de dimensionamento criados por meio de qualquer ferramenta de cliente (como modelo ARM, Bicep) assume como padrão VMs de Inicialização Confiável com inicialização segura e vTPM habilitado.
A versão de visualização pública permite que você valide essas alterações em seu respetivo ambiente para todas as novas VMs do Azure Gen2, dimensione o conjunto e prepare-se para essa próxima alteração.
Nota
Todas as novas VMs Gen2 e conjuntos de escalonamento, implantadas usando qualquer ferramenta cliente (modelo ARM, Bicep, Terraform, etc.), por padrão ativam o Trusted launch logo após a configuração para visualização. Essa alteração NÃO substitui as entradas fornecidas como parte do código de implantação.
Ativar a visualização do TLaD
Registre o recurso TrustedLaunchByDefaultPreview de visualização em Microsoft.Compute namespace na assinatura da máquina virtual. Para obter mais informações, consulte Configurar recursos de visualização na assinatura do Azure
Para criar uma nova VM Gen2 ou um conjunto de dimensionamento com o padrão de inicialização confiável, execute o seu script de implementação existente tal como está, utilizando o SDK do Azure, o Terraform, ou outro método que não seja o portal do Azure, CLI ou PowerShell. A nova VM ou conjunto de escala criado na assinatura registrada resulta em uma VM de Inicialização Confiável ou Conjunto de Escala de Máquina Virtual.
VM & dimensionar conjuntos de implantações com visualização TLaD
Comportamento existente
Para criar o conjunto de escala & VM de inicialização confiável, você precisa adicionar o seguinte elemento securityProfile na implantação:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
A ausência do elemento securityProfile no código de implantação implanta a VM e o conjunto de dimensionamento sem habilitar o Trusted Launch.
Exemplos
- vm-windows-admincenter – O modelo do Azure Resource Manager (ARM) implanta a VM Gen2 sem habilitar a inicialização confiável.
-
vm-simple-windows – O modelo ARM implanta VM de arranque confiável (sem padrão porque
securityProfileé explicitamente adicionado ao modelo ARM)
Novo comportamento
Usando a versão da API 2021-11-01 ou superior E integração para pré-visualização, a ausência do elemento da implantação permitirá o lançamento confiável por padrão para novas VMs e conjuntos de escalas implantados, se as seguintes condições forem atendidas:
- Source Marketplace imagem do SO suporta o lançamento fidedigno.
- A imagem de SO ACG de origem suporta e é validada para Inicialização Protegida.
- O disco de origem suporta inicialização confiável.
- O tamanho da VM suporta inicialização confiável.
A implantação não assumirá como padrão a inicialização de confiança se uma ou mais das condições listadas não forem atendidas e concluídas com êxito, permitindo assim criar uma nova VM Gen2 ou instância de escala de VM sem inicialização de confiança.
Você pode optar por ignorar explicitamente o padrão para a implantação de máquina virtual e conjunto de escalas, definindo Standard como valor do parâmetro securityType. Para obter mais informações, consulte Posso desabilitar a inicialização confiável para uma nova implantação de VM.
Limitações conhecidas
Não é possível ignorar o padrão de lançamento confiável e criar a VM Gen2 (lançamento não confiável) usando o portal do Azure depois de se registar na pré-visualização.
Depois de registar a subscrição para visualização, definir no portal do Azure o tipo de segurança Standard implantará a VM ou o conjunto de escalonamento Trusted launch. Essa limitação será resolvida antes da disponibilidade geral padrão de inicialização confiável.
Para atenuar essa limitação, você pode cancelar o registro do recurso de visualização removendo o sinalizador TrustedLaunchByDefaultPreview de recurso em Microsoft.Compute namespace em determinada assinatura.
Não é possível redimensionar VM ou VMSS para a família de tamanhos de VM não suportada pela inicialização confiável (como a série M) após a definição padrão para inicialização confiável.
O redimensionamento da VM de Inicialização Confiável para uma família de tamanhos de VM não suportada com Inicialização Confiável não será suportado.
Como atenuação, registe a funcionalidade UseStandardSecurityType no namespace Microsoft.Compute E faça o downgrade da VM de Trusted launch para apenas Gen2 (Non-Trusted launch) configurando securityType = Standard utilizando as ferramentas de cliente disponíveis (exceto o portal do Azure).
Feedback da prévia do TLaD
Entre em contato conosco com qualquer feedback, dúvidas ou preocupações sobre essa próxima alteração na pesquisa de feedback de visualização padrão do lançamento confiável.
Desativar visualização do TLaD
Para desativar a pré-visualização do TLaD, cancele o registo da funcionalidade TrustedLaunchByDefaultPreview de pré-visualização no namespace na subscrição da máquina virtual. Para obter mais informações, consulte Cancelar o registro do recurso de visualização
Conteúdos relacionados
Implante uma VM de inicialização confiável.