Включение доверенного запуска на существующих виртуальных машинах Azure
Область применения: ✔️ виртуальная машина Linux для виртуальной машины ✔️ ✔️ Windows поколения 2
Azure Виртуальные машины поддерживает включение доверенного запуска на существующих виртуальных машинах поколения 2 Azure путем обновления до типа безопасности доверенного запуска.
Доверенный запуск — это способ включения базовой вычислительной безопасности на виртуальных машинах поколения 2 Azure. Доверенный запуск защищает Виртуальные машины от расширенных и постоянных атак, таких как комплекты загрузочных пакетов и корневых наборов, сочетая технологии инфраструктуры, такие как безопасная загрузка, vTPM и мониторинг целостности загрузки на виртуальной машине.
Внимание
- Поддержка включения доверенного запуска на существующих виртуальных машинах Поколения 1 Azure в настоящее время находится в закрытой предварительной версии. Вы можете получить доступ к предварительной версии с помощью ссылки https://aka.ms/Gen1ToTLUpgradeрегистрации.
- Включение доверенного запуска в существующих масштабируемых наборах виртуальных машин Azure (VMSS) и Flex в настоящее время не поддерживается.
Необходимые компоненты
- Виртуальные машины поколения 2 azure настроены следующим образом:
- Семейство поддерживаемых размеров доверенного запуска
- Доверенный запуск поддерживаемого образа ОС. Для пользовательского образа ОС или дисков базовый образ должен иметь возможность доверенного запуска.
- Виртуальные машины поколения 2 Azure в настоящее время не поддерживаются с доверенным запуском.
- Перед включением типа безопасности доверенного запуска необходимо остановить и освободить виртуальные машины поколения 2.
- Если azure Backup включен для виртуальных машин, следует настроить с помощью расширенной политики резервного копирования. Доверенный тип безопасности запуска нельзя включить для виртуальных машин поколения 2, настроенных с защитой резервного копирования стандартной политики .
- Существующую резервную копию виртуальной машины Azure можно перенести из стандартной в расширенную политику с помощью миграции резервных копий виртуальных машин Azure из стандартной в расширенную политику (предварительная версия).
Рекомендации
- Включите доверенный запуск на тестовой виртуальной машине поколения 2 и убедитесь, что какие-либо изменения необходимы для удовлетворения предварительных требований, прежде чем включить доверенный запуск на виртуальных машинах поколения 2, связанных с рабочими нагрузками рабочей среды.
- Создайте точку восстановления для виртуальных машин Поколения 2 Azure, связанных с рабочими нагрузками, перед включением типа безопасности доверенного запуска. Точку восстановления можно использовать для повторного создания дисков и виртуальной машины поколения 2 с предыдущим хорошо известным состоянием.
Включение доверенного запуска на существующей виртуальной машине
Примечание.
- После включения доверенного запуска виртуальные машины в настоящее время не могут быть откатированы до типа безопасности "Стандартный " (конфигурация запуска без доверия).
- VTPM включен по умолчанию.
- Безопасная загрузка рекомендуется включить (не включена по умолчанию), если вы не используете пользовательское ядро или драйверы без знака. Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальной машины.
В этом разделе описано, как использовать портал Azure для включения доверенного запуска на существующей виртуальной машине Azure поколения 2.
- Войдите на портал Azure.
- Проверка создания виртуальных машин — версия 2 и остановка виртуальной машины.
- На странице обзора в свойствах виртуальной машины выберите "Стандартный" в разделе "Тип безопасности". Перейдите на страницу "Конфигурация " для виртуальной машины.
- Выберите раскрывающийся список "Тип безопасности" на странице "Конфигурация".
- Выберите доверенный запуск в раскрывающемся списке и выберите проверка-поля, чтобы включить безопасную загрузку и vTPM. Нажмите кнопку "Сохранить" после внесения необходимых изменений.
Примечание.
- Виртуальные машины поколения 2, созданные с помощью коллекции вычислений Azure (ACG), управляемый образ, диск ОС нельзя обновить до доверенного запуска с помощью портала. Убедитесь, что версия ОС поддерживается для доверенного запуска и использования шаблона PowerShell, CLI или ARM для выполнения обновления.
- Закройте страницу конфигурации после успешного завершения обновления и проверьте тип безопасности в разделе свойств виртуальной машины на странице обзора.
- Запустите обновленную виртуальную машину доверенного запуска и убедитесь, что она успешно запущена и убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальной машины Windows) или SSH (для виртуальной машины Linux).
Следующие шаги
(Рекомендуется) После обновления обеспечивает мониторинг целостности загрузки для мониторинга работоспособности виртуальной машины с помощью Microsoft Defender для облака.
Дополнительные сведения о доверенном запуске и просмотре часто задаваемых вопросов