Betrodd start för virtuella Azure-datorer

Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

Azure erbjuder Trusted Launch som ett sömlöst sätt att förbättra säkerheten för virtuella datorer i generation 2 . Trusted Launch skyddar mot avancerade och beständiga attacktekniker. Trusted Launch består av flera samordnade infrastrukturtekniker som kan aktiveras oberoende av varandra. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot.

Viktigt!

• Betrodd start har valts som standardtillstånd för nyligen skapade virtuella Azure-datorer. Om den nya virtuella datorn kräver funktioner som inte stöds av betrodd start läser du vanliga frågor och svar om betrodd start.
• Befintliga virtuella datorer (VM) kan ha betrodd start aktiverat när de har skapats. Mer information finns i Aktivera betrodd start på befintliga virtuella datorer.
• Befintliga VMSS-skalningsuppsättningar (VmSS) kan ha betrodd start aktiverat när de har skapats. Mer information finns i Aktivera betrodd start på befintliga skalningsuppsättningar.

Förmåner

• Distribuera virtuella datorer på ett säkert sätt med verifierade startinläsare, operativsystemkärnor och drivrutiner.
• Skydda nycklar, certifikat och hemligheter på de virtuella datorerna på ett säkert sätt.
• Få insikter och förtroende för hela startkedjans integritet.
• Kontrollera att arbetsbelastningar är betrodda och verifierbara.

Storlekar på virtuella datorer

Typ	Storleksfamiljer som stöds	För närvarande stöds inte storleksfamiljer	Storleksfamiljer som inte stöds
Generell användning	B-serien, DCsv2-serien, DCsv3-serien, DCdsv3-serien, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dldsv5-serien	Dpsv5-serien, Dpdsv5-serien, Dplsv5-serien, Dpldsv5-serien	Av2-serien, Dv2-serien, Dv3-serien
Beräkningsoptimerad	FX-serien, Fsv2-serien	Alla storlekar stöds.
Minnesoptimerad	Dsv2-serien, Esv3-serien, Ev4-serien, Esv4-serien, Edv4-serien, Edsv4-serien, Eav4-serien, Easv4-serien, Easv5-serien, Eadsv5-serien, Ebsv5-serien, Ebdsv5-serien, Edv5-serien, Edsv5-serien	Epsv5-serien, Epdsv5-serien, M-serien, Msv2-serien, Mdsv2 Medium Memory-serien, Mv2-serien	Ev3-serien
Lagringsoptimerad	Lsv2-serien, Lsv3-serien, Lasv3-serien	Alla storlekar stöds.
GPU	NCv2-serien, NCv3-serien, NCasT4_v3-serien, NVv3-serien, NVv4-serien, NDv2-serien, NC_A100_v4-serien, NVadsA10 v5-serien	NDasrA100_v4-serien, NDm_A100_v4-serien	NC-serien, NV-serien, NP-serien
Beräkning med höga prestanda	HB-serien, HBv2-serien, HBv3-serien, HBv4-serien, HC-serien, HX-serien	Alla storlekar stöds.

Kommentar

• Installation av CUDA- och GRID-drivrutinerna på säkra startaktiverade virtuella Windows-datorer kräver inga extra steg.
• Installation av CUDA-drivrutinen på säkra startaktiverade virtuella Ubuntu-datorer kräver extra steg. Mer information finns i Installera NVIDIA GPU-drivrutiner på virtuella datorer i N-serien som kör Linux. Säker start bör inaktiveras för installation av CUDA-drivrutiner på andra virtuella Linux-datorer.
• Installationen av GRID-drivrutinen kräver att Säker start inaktiveras för virtuella Linux-datorer.
• Storleksfamiljer som inte stöds stöder inte virtuella datorer i generation 2 . Ändra storleken på den virtuella datorn till motsvarande storleksfamiljer som stöds för att aktivera betrodd start.

Operativsystem som stöds

OS	Version
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Window Server (Azure Edition)	2022

* Varianter av det här operativsystemet stöds.

Mer information

Regioner:

• Alla offentliga regioner
• Alla Azure Government-regioner
• Alla Azure Kina-regioner

Priser: Den betrodda lanseringen ökar inte de befintliga priskostnaderna för virtuella datorer.

Funktioner som inte stöds

För närvarande stöds inte följande VM-funktioner med betrodd start:

• Azure Site Recovery (allmänt tillgängligt för Windows).
• Hanterad avbildning (kunder uppmanas att använda Azure Compute Gallery).
• Kapslad virtualisering (v5 VM-storleksfamiljer stöds).
• Viloläge för virtuella Linux-datorer

Säker start

Roten till Betrodd start är Säker start för den virtuella datorn. Säker start, som implementeras i plattformens inbyggda programvara, skyddar mot installation av malware-baserade rootkits och startpaket. Säker start fungerar för att säkerställa att endast signerade operativsystem och drivrutiner kan starta. Den upprättar en "rot av förtroende" för programvarustacken på den virtuella datorn.

Med Säker start aktiverat kräver alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) signering av betrodda utgivare. Både Windows och linux-distributioner stöder säker start. Om Säker start inte kan autentisera att avbildningen är signerad av en betrodd utgivare kan den virtuella datorn inte startas. Mer information finns i Säker start.

vTPM

Trusted Launch introducerar även virtual Trusted Platform Module (vTPM) för virtuella Azure-datorer. Den här virtualiserade versionen av en betrodd plattformsmodul för maskinvara är kompatibel med TPM2.0-specifikationen. Det fungerar som ett dedikerat säkert valv för nycklar och mått.

Betrodd start ger den virtuella datorn en egen dedikerad TPM-instans som körs i en säker miljö utanför alla virtuella datorers räckvidd. VTPM möjliggör attestering genom att mäta hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner).

Trusted Launch använder vTPM för att utföra fjärrattestering via molnet. Attesteringar möjliggör plattformshälsokontroller och används för att fatta förtroendebaserade beslut. Som en hälsokontroll kan Trusted Launch kryptografiskt certifiera att den virtuella datorn har startats korrekt.

Om processen misslyckas, möjligen på grund av att den virtuella datorn kör en obehörig komponent, utfärdar Microsoft Defender för molnet integritetsaviseringar. Aviseringarna innehåller information om vilka komponenter som inte kunde passera integritetskontroller.

Virtualiseringsbaserad säkerhet

Virtualiseringsbaserad säkerhet (VBS) använder hypervisor-programmet för att skapa en säker och isolerad minnesregion. Windows använder dessa regioner för att köra olika säkerhetslösningar med ökat skydd mot sårbarheter och skadliga kryphål. Med Trusted Launch kan du aktivera hypervisor-kodintegritet (HVCI) och Windows Defender Credential Guard.

HVCI är en kraftfull systemreducering som skyddar Processer i Windows kernelläge mot inmatning och körning av skadlig eller overifierad kod. Den kontrollerar drivrutiner och binärfiler i kernelläge innan de körs, vilket förhindrar att osignerade filer läses in i minnet. Kontrollerar att körbar kod inte kan ändras när den har tillåtits läsas in. Mer information om VBS och HVCI finns i Virtualiseringsbaserad säkerhet och hypervisor-framtvingad kodintegritet.

Med Trusted Launch och VBS kan du aktivera Windows Defender Credential Guard. Credential Guard isolerar och skyddar hemligheter så att endast privilegierad systemprogramvara kan komma åt dem. Det hjälper till att förhindra obehörig åtkomst till hemligheter och stöld av autentiseringsuppgifter, till exempel Pass-the-Hash-attacker. Mer information finns i Credential Guard.

Microsoft Defender för molnintegrering

Trusted Launch är integrerat med Defender for Cloud för att säkerställa att dina virtuella datorer är korrekt konfigurerade. Defender for Cloud utvärderar kontinuerligt kompatibla virtuella datorer och utfärdar relevanta rekommendationer:

• Rekommendation för att aktivera säker start: Rekommendationen säker start gäller endast för virtuella datorer som stöder betrodd start. Defender for Cloud identifierar virtuella datorer som kan aktivera säker start men som har inaktiverats. Den utfärdar en rekommendation med låg allvarlighetsgrad för att aktivera den.

• Rekommendation för att aktivera vTPM: Om den virtuella datorn har vTPM aktiverat kan Defender för molnet använda den för att utföra gästattestering och identifiera avancerade hotmönster. Om Defender för molnet identifierar virtuella datorer som stöder betrodd start och har vTPM inaktiverat, utfärdar det en rekommendation med låg allvarlighetsgrad för att aktivera den.

• Rekommendation om att installera gästattesteringstillägget: Om den virtuella datorn har Säker start och vTPM aktiverat men inte har tillägget Gästattestering installerat, utfärdar Defender for Cloud rekommendationer med låg allvarlighetsgrad för att installera gästattesteringstillägget på det. Med det här tillägget kan Defender för molnet proaktivt intyga och övervaka startintegriteten för dina virtuella datorer. Startintegriteten intygas via fjärrattestering.

• Hälsoutvärdering av attestering eller övervakning av startintegritet: Om den virtuella datorn har säker start och vTPM aktiverat och attesteringstillägget installerat kan Defender för molnet fjärrstyra att den virtuella datorn har startats på ett felfritt sätt. Den här metoden kallas för övervakning av startintegritet. Defender for Cloud utfärdar en utvärdering som anger status för fjärrattestering.

  Om dina virtuella datorer har konfigurerats korrekt med Betrodd start kan Defender för molnet identifiera och varna dig om problem med den virtuella datorns hälsotillstånd.

• Avisering för vm-attesteringsfel: Defender for Cloud utför regelbundet attestering på dina virtuella datorer. Attesteringen sker också när den virtuella datorn startas. Om attesteringen misslyckas utlöser den en avisering med medelhög allvarlighetsgrad. Vm-attesteringen kan misslyckas av följande skäl:

  • Den intygade informationen, som innehåller en startlogg, avviker från en betrodd baslinje. Alla avvikelser kan indikera att ej betrodda moduler har lästs in och att operativsystemet kan komprometteras.

  • Det gick inte att verifiera att attesteringsofferten kommer från den virtuella datorns virtuella dators vTPM. Ett overifierat ursprung kan tyda på att skadlig kod finns och kan fånga upp trafik till vTPM.

    Kommentar

    Aviseringar är tillgängliga för virtuella datorer med vTPM aktiverat och attesteringstillägget installerat. Säker start måste vara aktiverat för att attesteringen ska kunna skickas. Attesteringen misslyckas om säker start är inaktiverad. Om du måste inaktivera Säker start kan du förhindra den här aviseringen för att undvika falska positiva identifieringar.

• Avisering för en ej betrodd Linux-kernelmodul: För betrodd start med säker start aktiverad är det möjligt för en virtuell dator att starta även om en kerneldrivrutin misslyckas med valideringen och inte kan läsas in. Om det här scenariot inträffar utfärdar Defender för molnet aviseringar med låg allvarlighetsgrad. Även om det inte finns något omedelbart hot, eftersom den obetrodda drivrutinen inte har lästs in, bör dessa händelser undersökas. Fråga dig själv:

  • Vilken kerneldrivrutin misslyckades? Är jag bekant med den här drivrutinen och förväntar jag mig att den ska läsas in?
  • Är det den exakta versionen av drivrutinen jag förväntar mig? Är drivrutins binärfilerna intakta? Om det här är en drivrutin från tredje part, klarade leverantören os-efterlevnadstesterna för att få den signerad?

Relaterat innehåll

Distribuera en betrodd virtuell startdator.