Betrodd start för virtuella Azure-datorer

Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

Azure erbjuder betrodd lansering som ett sömlöst sätt att förbättra säkerheten för virtuella datorer i generation 2 . Betrodd start skyddar mot avancerade och beständiga attacktekniker. Betrodd start består av flera samordnade infrastrukturtekniker som kan aktiveras oberoende av varandra. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot.

Viktigt!

• Betrodd start har valts som standardtillstånd för nyligen skapade virtuella Azure-datorer. Om den nya virtuella datorn kräver funktioner som inte stöds av betrodd start kan du läsa vanliga frågor och svar om betrodd start
• Befintliga virtuella Azure Generation 2-datorer kan ha betrodd start aktiverat när de har skapats. Mer information finns i Aktivera betrodd start på befintliga virtuella datorer
• Du kan inte aktivera betrodd start på en befintlig VMSS-skalningsuppsättning (VMSS) som ursprungligen skapades utan den. Betrodd start kräver att nya VMSS skapas.

Förmåner

• Distribuera virtuella datorer på ett säkert sätt med verifierade startinläsare, OS-kernels och drivrutiner.
• Skydda nycklar, certifikat och hemligheter på de virtuella datorerna på ett säkert sätt.
• Få insikter och förtroende för hela startkedjans integritet.
• Se till att arbetsbelastningar är betrodda och verifierbara.

Storlekar på virtuella datorer

Typ	Storleksfamiljer som stöds	För närvarande stöds inte storleksfamiljer	Storleksfamiljer som inte stöds
Generell användning	B-serien, DCsv2-serien, DCsv3-serien, DCdsv3-serien, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dldsv5-serien	Dpsv5-serien, Dpdsv5-serien, Dplsv5-serien, Dpldsv5-serien	Av2-serien, Dv2-serien, Dv3-serien
Beräkningsoptimerad	FX-serien, Fsv2-serien	Alla storlekar stöds.
Minnesoptimerad	Dsv2-serien, Esv3-serien, Ev4-serien, Esv4-serien, Edv4-serien, Edsv4-serien, Eav4-serien, Easv4-serien, Easv5-serien, Eadsv5-serien, Ebsv5-serien, Ebdsv5-serien , Edv5-serien, Edsv5-serien	Epsv5-serien, Epdsv5-serien, M-serien, Msv2-serien, Mdsv2 Medium Memory-serien, Mv2-serien	Ev3-serien
Lagringsoptimerad	Lsv2-serien, Lsv3-serien, Lasv3-serien	Alla storlekar stöds.
GPU	NCv2-serien, NCv3-serien, NCasT4_v3-serien, NVv3-serien, NVv4-serien, NDv2-serien, NC_A100_v4-serien, NVadsA10 v5-serien	NDasrA100_v4-serien, NDm_A100_v4-serien	NC-serien, NV-serien, NP-serien
Beräkning med höga prestanda	HB-serien, HBv2-serien, HBv3-serien, HBv4-serien, HC-serien, HX-serien	Alla storlekar stöds.

Kommentar

• Installation av CUDA- och GRID-drivrutinerna på säkra startaktiverade virtuella Windows-datorer kräver inga extra steg.
• Installation av CUDA-drivrutinen på säker start aktiverade virtuella Ubuntu-datorer kräver extra steg som dokumenteras i Installera NVIDIA GPU-drivrutiner på virtuella datorer i N-serien som kör Linux. Säker start bör inaktiveras för installation av CUDA-drivrutiner på andra virtuella Linux-datorer.
• Installationen av GRID-drivrutinen kräver att säker start inaktiveras för virtuella Linux-datorer.
• Storleksfamiljer som inte stöds stöder inte virtuella datorer i generation 2 . Ändra VM-storlek till motsvarande storleksfamiljer som stöds för att aktivera betrodd start.

Operativsystem som stöds

OS	Version
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Multi-Session *
Windows 11	Pro, Enterprise, Enterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
Window Server (Azure Edition)	2022

* Varianter av det här operativsystemet stöds.

Ytterligare information

Regioner:

• Alla offentliga regioner
• Alla Azure Government-regioner
• Alla Azure Kina-regioner

Prissättning: Den betrodda lanseringen ökar inte de befintliga priskostnaderna för virtuella datorer.

Funktioner som inte stöds

Kommentar

Följande funktioner för virtuella datorer stöds för närvarande inte med betrodd start.

• Azure Site Recovery
• Hanterad avbildning (kunder uppmanas att använda Azure Compute Gallery)
• Kapslad virtualisering (de flesta v5 VM-storleksfamiljer stöds)

Säker start

Roten till den betrodda starten är Säker start för den virtuella datorn. Säker start, som implementeras i plattformens inbyggda programvara, skyddar mot installation av malware-baserade rootkits och startpaket. Säker start fungerar för att säkerställa att endast signerade operativsystem och drivrutiner kan starta. Den upprättar en "rot av förtroende" för programvarustacken på den virtuella datorn. Med Säker start aktiverat kräver alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) signering av betrodda utgivare. Både Windows och linux-distributioner stöder säker start. Om Säker start inte kan autentisera att avbildningen är signerad av en betrodd utgivare kan den virtuella datorn inte startas. Mer information finns i Säker start.

vTPM

Betrodd start introducerar även vTPM för virtuella Azure-datorer. vTPM är en virtualiserad version av en trusted platform-modul för maskinvara som är kompatibel med TPM2.0-specifikationen. Det fungerar som ett dedikerat säkert valv för nycklar och mått. Betrodd start ger den virtuella datorn en egen dedikerad TPM-instans som körs i en säker miljö utanför alla virtuella datorers räckvidd. VTPM möjliggör attestering genom att mäta hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner).

Betrodd start använder vTPM för att utföra fjärrattestering via molnet. Attesteringar möjliggör plattformshälsokontroller och för att fatta förtroendebaserade beslut. Som en hälsokontroll kan betrodd start kryptografiskt certifiera att den virtuella datorn har startats korrekt. Om processen misslyckas, möjligen på grund av att den virtuella datorn kör en obehörig komponent, Microsoft Defender för molnet problem med integritetsaviseringar. Aviseringarna innehåller information om vilka komponenter som inte kunde passera integritetskontroller.

Virtualiseringsbaserad säkerhet

Virtualiseringsbaserad säkerhet (VBS) använder hypervisor-programmet för att skapa en säker och isolerad minnesregion. Windows använder dessa regioner för att köra olika säkerhetslösningar med ökat skydd mot sårbarheter och skadliga kryphål. Med betrodd start kan du aktivera Hypervisor Code Integrity (HVCI) och Windows Defender Credential Guard.

HVCI är en kraftfull systemreducering som skyddar Processer i Windows kernelläge mot inmatning och körning av skadlig eller overifierad kod. Den kontrollerar drivrutiner och binärfiler i kernelläge innan de körs, vilket förhindrar att osignerade filer läses in i minnet. Kontroller säkerställer att körbar kod inte kan ändras när den har tillåtits läsas in. Mer information om VBS och HVCI finns i Virtualiseringsbaserad säkerhet (VBS) och HVCI (Hypervisor Enforced Code Integrity).

Med betrodd start och VBS kan du aktivera Windows Defender Credential Guard. Credential Guard isolerar och skyddar hemligheter så att endast privilegierad systemprogramvara kan komma åt dem. Det hjälper till att förhindra obehörig åtkomst till hemligheter och stöld av autentiseringsuppgifter, till exempel PtH-attacker (Pass-the-Hash). Mer information finns i Credential Guard.

Microsoft Defender för molnet integrering

Betrodd start är integrerad med Microsoft Defender för molnet för att säkerställa att dina virtuella datorer är korrekt konfigurerade. Microsoft Defender för molnet utvärderar kontinuerligt kompatibla virtuella datorer och utfärdar relevanta rekommendationer.

• Rekommendation om att aktivera säker start – rekommendation för säker start gäller endast för virtuella datorer som stöder betrodd start. Microsoft Defender för molnet identifierar virtuella datorer som kan aktivera säker start, men som har inaktiverats. Den utfärdar en rekommendation med låg allvarlighetsgrad för att aktivera den.
• Rekommendation för att aktivera vTPM – Om den virtuella datorn har vTPM aktiverat kan Microsoft Defender för molnet använda den för att utföra gästattestering och identifiera avancerade hotmönster. Om Microsoft Defender för molnet identifierar virtuella datorer som stöder betrodd start och har vTPM inaktiverat, utfärdar den en rekommendation med låg allvarlighetsgrad för att aktivera den.
• Rekommendation om att installera gästattesteringstillägg – Om den virtuella datorn har säker start och vTPM aktiverat men inte har gästattesteringstillägget installerat Microsoft Defender för molnet problem med rekommendationer med låg allvarlighetsgrad för att installera gästattesteringstillägget på det. Med det här tillägget kan Microsoft Defender för molnet proaktivt intyga och övervaka startintegriteten för dina virtuella datorer. Startintegriteten intygas via fjärrattestering.
• Hälsobedömning av attestering eller övervakning av startintegritet – Om den virtuella datorn har säker start och vTPM aktiverat och attesteringstillägget installerat kan Microsoft Defender för molnet fjärrstyra att den virtuella datorn startas på ett felfritt sätt. Detta kallas för övervakning av startintegritet. Microsoft Defender för molnet utfärdar en utvärdering som anger status för fjärrattestering.

Om dina virtuella datorer har konfigurerats korrekt med betrodd start kan Microsoft Defender för molnet identifiera och varna dig om problem med den virtuella datorns hälsotillstånd.

• Avisering för vm-attesteringsfel: Microsoft Defender för molnet utför regelbundet attestering på dina virtuella datorer. Attesteringen sker också när den virtuella datorn startas. Om attesteringen misslyckas utlöser den en avisering med medelhög allvarlighetsgrad. Vm-attesteringen kan misslyckas av följande skäl:

  • Den intygade informationen, som innehåller en startlogg, avviker från en betrodd baslinje. Alla avvikelser kan indikera att ej betrodda moduler har lästs in och att operativsystemet kan komprometteras.
  • Det gick inte att verifiera att attesteringsofferten kommer från den virtuella datorns virtuella dators vTPM. Ett overifierat ursprung kan tyda på att skadlig kod finns och kan fånga upp trafik till vTPM.

  Kommentar

  Aviseringar är tillgängliga för virtuella datorer med vTPM aktiverat och attesteringstillägget installerat. Säker start måste vara aktiverat för att attesteringen ska kunna skickas. Attesteringen misslyckas om säker start är inaktiverad. Om du måste inaktivera Säker start kan du förhindra den här aviseringen för att undvika falska positiva identifieringar.

• Avisering för modulen Ej betrodd Linux-kernel: För betrodd start med säker start aktiverad är det möjligt för en virtuell dator att starta även om en kerneldrivrutin misslyckas med valideringen och inte kan läsas in. Om detta händer Microsoft Defender för molnet problem med aviseringar med låg allvarlighetsgrad. Även om det inte finns något omedelbart hot, eftersom den obetrodda drivrutinen inte har lästs in, bör dessa händelser undersökas.

  • Vilken kerneldrivrutin misslyckades? Är jag bekant med den här drivrutinen och förväntar mig att den ska läsas in?
  • Är det den exakta versionen av drivrutinen jag förväntar mig? Är drivrutins binärfilerna intakta? Om det här är en drivrutin från tredje part, klarade leverantören os-efterlevnadstesterna för att få den signerad?

Nästa steg

Distribuera en betrodd virtuell startdator.