Доверенный запуск для виртуальных машин Azure

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Azure предлагает надежный запуск в качестве простого способа повышения безопасности виртуальных машин поколения 2 (виртуальных машин). Доверенный запуск защищает от расширенных и постоянных атак. Доверенный запуск состоит из нескольких согласованных технологий инфраструктуры, которые можно включить независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз.

Внимание

• Доверенный запуск выбран в качестве состояния по умолчанию для только что созданных виртуальных машин Azure. Если для новой виртуальной машины требуются функции, которые не поддерживаются доверенным запуском, см . часто задаваемые вопросы о доверенном запуске.
• Существующие виртуальные машины (виртуальные машины) могут включать доверенный запуск после создания. Дополнительные сведения см. в разделе "Включение доверенного запуска" на существующих виртуальных машинах.
• Существующие масштабируемые наборы виртуальных машин (VMSS) могут включать доверенный запуск после создания. Дополнительные сведения см. в разделе "Включение доверенного запуска" в существующих масштабируемых наборах.

Льготы

• Безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами операционной системы (ОС) и драйверами.
• Безопасная защита ключей, сертификатов и секретов на виртуальных машинах.
• Получите аналитические сведения и уверенность в целостности всей цепочки загрузки.
• Убедитесь, что рабочие нагрузки являются доверенными и проверяемыми.

Размеры виртуальных машин

Тип	Поддерживаемые семейства размеров	В настоящее время не поддерживается семейства размеров	Не поддерживается семейства размеров
Универсальные	Серии B, DCsv2 серии, DCsv3-series, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Серия Dldsv5	Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series	Av2-series, Dv2-series, Dv3-series
Оптимизированные для вычислений	Серия FX, Fsv2-series	Все поддерживаемые размеры.
Оптимизированные для памяти	Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series, Edv5-series, Edsv5-series	Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series	Серия Ev3
Оптимизированные для хранилища	Lsv2-series, Lsv3-series, Lasv3-series	Все поддерживаемые размеры.
GPU	NCv2-series, NCv3-series, NCasT4_v3-series, NVv3-series, NVv4-series, NDv2-series, NC_A100_v4-series, NVadsA10 v5-series	серия NDasrA100_v4 NDm_A100_v4	Серии NC, серии NV, NP-серии
Высокопроизводительные вычисления	HB-series, HBv2-series, HBv3-series, HBv4-series, HC-series, HX-series	Все поддерживаемые размеры.

Примечание.

• Установка драйверов CUDA и GRID на виртуальных машинах Windows с поддержкой безопасной загрузки не требует дополнительных действий.
• Установка драйвера CUDA на виртуальных машинах Ubuntu с поддержкой безопасной загрузки требует дополнительных действий. Дополнительные сведения см. в статье Установка драйверов GPU NVIDIA на виртуальных машинах серии N под управлением Linux. Безопасная загрузка должна быть отключена для установки драйверов CUDA на других виртуальных машинах Linux.
• Для установки драйвера GRID требуется отключить безопасную загрузку для виртуальных машин Linux.
• Не поддерживаемые семейства размеров не поддерживают виртуальные машины поколения 2 . Измените размер виртуальной машины на эквивалентные поддерживаемые семейства размеров для включения доверенного запуска.

Поддерживаемые операционные системы

ОС	Версия
AlmaLinux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Сервер Ubuntu	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Window Server (Выпуск Azure)	2022

* Поддерживаются варианты этой ОС.

Дополнительные сведения

Регионы

• Все общедоступные регионы
• Все Azure для государственных организаций регионы
• Все регионы Azure Для Китая

Цены: доверенный запуск не увеличивает существующие затраты на виртуальную машину.

Неподдерживаемые функции

В настоящее время следующие функции виртуальной машины не поддерживаются с доверенным запуском:

• Azure Site Recovery (общедоступная версия для Windows).
• Управляемый образ (клиентам рекомендуется использовать коллекцию вычислений Azure).
• Вложенная виртуализация (поддерживаемые семейства размеров виртуальных машин версии 5).
• Гибернация виртуальной машины Linux

Безопасная загрузка

В корне доверенного запуска используется безопасная загрузка для виртуальной машины. Безопасная загрузка, реализованная в встроенном ПО платформы, защищает от установки вредоносных программ rootkits и загрузочных комплектов. Безопасная загрузка обеспечивает возможность загрузки только подписанных операционных систем и драйверов. При этом задается "корневое доверие" для стека программного обеспечения на виртуальной машине.

При включенной безопасной загрузке все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) требуют подписывания доверенных издателей. Безопасная загрузка поддерживается как Windows, так и некоторыми дистрибутивами Linux. Если безопасная загрузка не проходит проверку подлинности, что образ подписан доверенным издателем, виртуальная машина не загрузится. Дополнительные сведения см. в статье Безопасная загрузка.

vTPM

Доверенный запуск также представляет виртуальный доверенный платформенный модуль (vTPM) для виртуальных машин Azure. Эта виртуализированная версия аппаратного доверенного платформенного модуля соответствует спецификации TPM2.0. Он служит выделенным безопасным хранилищем для ключей и измерений.

Доверенный запуск предоставляет виртуальной машине собственный выделенный экземпляр доверенного платформенного модуля, который выполняется в защищенной среде за пределами доступа к любой виртуальной машине. vTPM активирует аттестацию, измеряя всю цепочку загрузки виртуальной машины (UEFI, ОС, система и драйверы).

Доверенный запуск использует vTPM для выполнения удаленной аттестации через облако. Аттестации обеспечивают проверку работоспособности платформы и используются для принятия решений на основе доверия. В качестве проверки работоспособности доверенный запуск может криптографически сертифицировать правильность загрузки виртуальной машины.

Если процесс завершается ошибкой, возможно, так как виртуальная машина выполняет несанкционированный компонент, Microsoft Defender для облака выдает оповещения о целостности. В оповещениях содержатся сведения о компонентах, которые не прошли проверку целостности.

Безопасность на основе виртуализации

Безопасность на основе виртуализации (VBS) использует гипервизор для создания безопасной и изолированной области памяти. ОС Windows использует эти области для реализации разных решений безопасности с повышенной защитой от уязвимостей и вредоносных эксплойтов. Доверенный запуск позволяет включить целостность кода гипервизора (HVCI) и Credential Guard в Защитнике Windows.

HVCI — это мощное средство обеспечения безопасности системы, защищающее процессы режима ядра Windows от внедрения и выполнения вредоносного или непроверенного кода. Оно проверяет драйверы и двоичные файлы режима ядра перед запуском и не допускает загрузки неподписанных файлов в память. Проверяет, что исполняемый код нельзя изменить после его загрузки. Дополнительные сведения о VBS и HVCI см. в статье о безопасности на основе виртуализации и целостности кода с применением гипервизора.

С помощью доверенного запуска и VBS можно включить Credential Guard в Защитнике Windows. Credential Guard изолирует и защищает секреты, чтобы к ним могли обращаться только привилегированные системные программы. Это помогает предотвратить несанкционированный доступ к секретам и атакам кражи учетных данных, таким как атаки Pass-the-Hash. Дополнительные сведения см. в статье Credential Guard.

Интеграция с Microsoft Defender для облака

Доверенный запуск интегрирован с Defender для облака, чтобы убедиться, что виртуальные машины настроены правильно. Defender для облака постоянно оценивает совместимые виртуальные машины и выдает соответствующие рекомендации:

• Рекомендация по включению безопасной загрузки. Рекомендация по безопасной загрузке применяется только для виртуальных машин, поддерживающих доверенный запуск. Defender для облака определяет виртуальные машины, которые могут включить безопасную загрузку, но отключить ее. Она выдает рекомендацию с низкой степенью серьезности, чтобы включить ее.

• Рекомендация по включению vTPM. Если виртуальная машина включена, Defender для облака ее можно использовать для выполнения аттестации гостей и определения расширенных шаблонов угроз. Если Defender для облака идентифицирует виртуальные машины, поддерживающие доверенный запуск и отключенные vTPM, она выдает рекомендацию с низкой степенью серьезности, чтобы включить ее.

• Рекомендация по установке расширения аттестации гостей. Если у виртуальной машины включена безопасная загрузка и vTPM, но у нее нет установленного расширения аттестации гостей, Defender для облака проблемы с рекомендациями по низкой серьезности для установки расширения аттестации гостей. Это расширение позволяет Defender для облака заранее тестировать и отслеживать целостность загрузки виртуальных машин. Целостность загрузки будет подтверждаться с помощью удаленной аттестации.

• Оценка работоспособности аттестации или мониторинг целостности загрузки. Если у виртуальной машины включена безопасная загрузка и vTPM, а также установлен модуль аттестации, Defender для облака может удаленно проверить работоспособность загрузки виртуальной машины. Эта практика называется мониторингом целостности загрузки. Defender для облака выдает оценку, указывающую состояние удаленной аттестации.

  Если виртуальные машины настроены правильно с помощью доверенного запуска, Defender для облака может обнаруживать и предупреждать о проблемах работоспособности виртуальных машин.

• Оповещение о сбое аттестации виртуальных машин: Defender для облака периодически выполняет аттестацию на виртуальных машинах. Аттестация также происходит после загрузки виртуальной машины. Если аттестация завершается ошибкой, она активирует оповещение средней серьезности. Сбой аттестации ВМ может произойти по причинам, описанным ниже.

  • Аттестованная информация, включая журнал загрузки, отклоняется от доверенных базовых показателей. Любое отклонение может указывать на то, что ненадежные модули загружены, и ОС может быть скомпрометирована.

  • Кавычка аттестации не может быть проверена, чтобы она была получена из VTPM проверенной виртуальной машины. Неверифицированный источник может указать, что вредоносные программы присутствуют и могут перехватывать трафик в VTPM.

    Примечание.

    Оповещения доступны для виртуальных машин с включенным vTPM и установленным расширением аттестации. Для прохождения аттестации необходимо включить безопасную загрузку. Аттестация завершается ошибкой, если безопасная загрузка отключена. Если необходимо отключить безопасную загрузку, следует отключить это оповещение, чтобы избежать ложных срабатываний.

• Оповещение о недоверенном модуле ядра Linux: для доверенного запуска с поддержкой безопасной загрузки виртуальная машина может загружаться, даже если драйвер ядра завершает проверку и запрещено загружать. В этом случае Defender для облака выдает оповещения с низкой степенью серьезности. Хотя нет непосредственной угрозы, так как ненадежный драйвер не был загружен, эти события должны быть расследованы. Спросите себя:

  • Какой драйвер ядра не удалось выполнить? Я знаком с этим драйвером, и я ожидаю, что он будет загружен?
  • Это точная версия драйвера, который я ожидаю? Не повреждены ли двоичные файлы драйвера? Если это сторонний драйвер, поставщик прошел тесты соответствия ОС, чтобы получить его подпись?

Связанный контент

Разверните виртуальную машину доверенного запуска.