Включение доверенного запуска на существующих виртуальных машинах Azure

Область применения: ✔️ виртуальная машина Linux для виртуальной машины ✔️ ✔️ Windows поколения 2

Azure Виртуальные машины поддерживает включение доверенного запуска на существующих виртуальных машинах поколения 2 Azure путем обновления до типа безопасности доверенного запуска.

Доверенный запуск — это способ включения базовой вычислительной безопасности на виртуальных машинах поколения 2 Azure. Доверенный запуск защищает Виртуальные машины от расширенных и постоянных атак, таких как комплекты загрузочных пакетов и корневых наборов, сочетая технологии инфраструктуры, такие как безопасная загрузка, vTPM и мониторинг целостности загрузки на виртуальной машине.

Внимание

• Поддержка включения доверенного запуска на существующих виртуальных машинах Поколения 1 Azure в настоящее время находится в закрытой предварительной версии. Вы можете получить доступ к предварительной версии с помощью ссылки https://aka.ms/Gen1ToTLUpgradeрегистрации.
• Включение доверенного запуска в существующих масштабируемых наборах виртуальных машин Azure (VMSS) и Flex в настоящее время не поддерживается.

Необходимые компоненты

• Виртуальные машины поколения 2 azure настроены следующим образом:
  • Семейство поддерживаемых размеров доверенного запуска
  • Доверенный запуск поддерживаемого образа ОС. Для пользовательского образа ОС или дисков базовый образ должен иметь возможность доверенного запуска.
• Виртуальные машины поколения 2 Azure в настоящее время не поддерживаются с доверенным запуском.
• Перед включением типа безопасности доверенного запуска необходимо остановить и освободить виртуальные машины поколения 2.
• Если azure Backup включен для виртуальных машин, следует настроить с помощью расширенной политики резервного копирования. Доверенный тип безопасности запуска нельзя включить для виртуальных машин поколения 2, настроенных с защитой резервного копирования стандартной политики .
  • Существующую резервную копию виртуальной машины Azure можно перенести из стандартной в расширенную политику с помощью миграции резервных копий виртуальных машин Azure из стандартной в расширенную политику (предварительная версия).

Рекомендации

• Включите доверенный запуск на тестовой виртуальной машине поколения 2 и убедитесь, что какие-либо изменения необходимы для удовлетворения предварительных требований, прежде чем включить доверенный запуск на виртуальных машинах поколения 2, связанных с рабочими нагрузками рабочей среды.
• Создайте точку восстановления для виртуальных машин Поколения 2 Azure, связанных с рабочими нагрузками, перед включением типа безопасности доверенного запуска. Точку восстановления можно использовать для повторного создания дисков и виртуальной машины поколения 2 с предыдущим хорошо известным состоянием.

Включение доверенного запуска на существующей виртуальной машине

Примечание.

• После включения доверенного запуска виртуальные машины в настоящее время не могут быть откатированы до типа безопасности "Стандартный " (конфигурация запуска без доверия).
• VTPM включен по умолчанию.
• Безопасная загрузка рекомендуется включить (не включена по умолчанию), если вы не используете пользовательское ядро или драйверы без знака. Безопасная загрузка сохраняет целостность загрузки и обеспечивает базовую безопасность для виртуальной машины.

Портал

В этом разделе описано, как использовать портал Azure для включения доверенного запуска на существующей виртуальной машине Azure поколения 2.

1. Войдите на портал Azure.
2. Проверка создания виртуальных машин — версия 2 и остановка виртуальной машины.

3. На странице обзора в свойствах виртуальной машины выберите "Стандартный" в разделе "Тип безопасности". Перейдите на страницу "Конфигурация " для виртуальной машины.

4. Выберите раскрывающийся список "Тип безопасности" на странице "Конфигурация".

5. Выберите доверенный запуск в раскрывающемся списке и выберите проверка-поля, чтобы включить безопасную загрузку и vTPM. Нажмите кнопку "Сохранить" после внесения необходимых изменений.

Примечание.

• Виртуальные машины поколения 2, созданные с помощью коллекции вычислений Azure (ACG), управляемый образ, диск ОС нельзя обновить до доверенного запуска с помощью портала. Убедитесь, что версия ОС поддерживается для доверенного запуска и использования шаблона PowerShell, CLI или ARM для выполнения обновления.

6. Закройте страницу конфигурации после успешного завершения обновления и проверьте тип безопасности в разделе свойств виртуальной машины на странице обзора.

7. Запустите обновленную виртуальную машину доверенного запуска и убедитесь, что она успешно запущена и убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальной машины Windows) или SSH (для виртуальной машины Linux).

CLI

В этом разделе описано, как использовать Azure CLI для включения доверенного запуска на существующей виртуальной машине Поколения 2 Azure.

Обязательно установите последнюю версию Azure CLI и войдите в учетную запись Azure с помощью команды az login.

1. Вход в подписку Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Освобожденная виртуальная машина

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Включите доверенный запуск, установив для TrustedLaunchпараметра --security-type значение .

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Проверьте выходные данные предыдущей команды. securityProfile конфигурация возвращается с выходными данными команды.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Запустите виртуальную машину.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Запустите обновленную виртуальную машину доверенного запуска и убедитесь, что она успешно запущена и убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальной машины Windows) или SSH (для виртуальной машины Linux).

PowerShell

В этом разделе описано, как использовать Azure PowerShell для включения доверенного запуска на существующей виртуальной машине поколения 2 Azure.

Убедитесь, что вы установили последнюю версию Azure PowerShell и вошли в учетную запись Azure с помощью Подключение-AzAccount.

1. Вход в подписку Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Освобожденная виртуальная машина

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Включите доверенный запуск, установив для TrustedLaunchпараметра --security-type значение .

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ПроверьтеsecurityProfile обновленную конфигурацию виртуальной машины.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Запустите виртуальную машину.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Запустите обновленную виртуальную машину доверенного запуска и убедитесь, что она успешно запущена и убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальной машины Windows) или SSH (для виртуальной машины Linux).

Шаблон

В этом разделе описывается использование шаблона ARM для включения доверенного запуска на существующей виртуальной машине поколения 2 Azure.

Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

1. Изучите шаблон.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Измените json-файл параметров с виртуальными машинами, которые будут обновлены с помощью TrustedLaunch типа безопасности.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Определение файла параметров

Свойство	Описание свойства	Пример значения в шаблоне
vmName	Имя виртуальной машины поколения 2 Azure	MyVm
расположение	Расположение виртуальной машины поколения 2 Azure	"westus3"
secureBootEnabled	Включение безопасной загрузки с помощью типа безопасности доверенного запуска	true

3. Отмените обновление всех виртуальных машин Поколения 2 Azure.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Выполните развертывание шаблона ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Убедитесь, что развертывание выполнено успешно. Проверьте тип безопасности и параметры UEFI виртуальной машины с помощью портал Azure. Проверьте раздел "Тип безопасности" на странице "Обзор".

6. Запустите обновленную виртуальную машину доверенного запуска и убедитесь, что она успешно запущена и убедитесь, что вы можете войти на виртуальную машину с помощью RDP (для виртуальной машины Windows) или SSH (для виртуальной машины Linux).

Следующие шаги

(Рекомендуется) После обновления обеспечивает мониторинг целостности загрузки для мониторинга работоспособности виртуальной машины с помощью Microsoft Defender для облака.

Дополнительные сведения о доверенном запуске и просмотре часто задаваемых вопросов