Distribuera en virtuell dator med betrodd start aktiverat

Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

Betrodd start är ett sätt att förbättra säkerheten för virtuella datorer i generation 2 . Betrodd start skyddar mot avancerade och beständiga attacktekniker genom att kombinera infrastrukturtekniker som vTPM och säker start.

Förutsättningar

  • Du måste registrera din prenumeration för att Microsoft Defender för molnet om den inte redan är det. Microsoft Defender för molnet har en kostnadsfri nivå som ger mycket användbara insikter för olika Azure- och Hybrid-resurser. Betrodd start utnyttjar Defender för molnet för att visa flera rekommendationer om hälsotillstånd för virtuella datorer.

  • Tilldela Azure-policyinitiativ till din prenumeration. Dessa principinitiativ behöver bara tilldelas en gång per prenumeration. Detta installerar automatiskt alla nödvändiga tillägg på alla virtuella datorer som stöds.

    • Konfigurera förutsättningar för att aktivera gästattestering på betrodda starta-aktiverade virtuella datorer.

    • Konfigurera datorer för att automatiskt installera Azure Monitor- och Azure Security-agenterna på virtuella datorer.

  • Tillåt tjänsttaggen AzureAttestation i NSG-regler för utgående trafik för att tillåta trafik för Microsoft Azure-attestering. Se Tjänsttaggar för virtuellt nätverk.

  • Kontrollera att brandväggsprinciperna tillåter åtkomst till *.attest.azure.net.

Kommentar

Om du använder en Linux-avbildning och förväntar dig att den virtuella datorn kan ha kerneldrivrutiner som antingen är osignerade eller inte signerade av Linux-distributionsleverantören kan du överväga att stänga av säker start. I Azure-portalen går du till sidan Skapa en virtuell dator för parametern "Säkerhetstyp" med "Betrodda virtuella startdatorer" markerad, klickar på Konfigurera säkerhetsfunktioner och avmarkerar kryssrutan Aktivera säker start. I CLI, PowerShell eller SDK anger du säker startparameter till false.

Distribuera en betrodd virtuell startdator

Skapa en virtuell dator med betrodd start aktiverat. Välj ett alternativ nedan:

  1. Logga in på Azure-portalen.
  2. Sök efter virtuella datorer.
  3. Under Tjänster väljer du Virtuella datorer.
  4. På sidan Virtuella datorer väljer du Lägg till och sedan Virtuell dator.
  5. Under Projektinformation kontrollerar du att rätt prenumeration har valts.
  6. Under Resursgrupp väljer du Skapa ny och skriver ett namn för resursgruppen eller väljer en befintlig resursgrupp i listrutan.
  7. Under Instansinformation anger du ett namn för namnet på den virtuella datorn och väljer en region som stöder betrodd start.
  8. För Säkerhetstyp väljer du Betrodda starta virtuella datorer. Detta gör att ytterligare tre alternativ visas – Säker start, vTPM och integritetsövervakning . Välj lämpliga alternativ för distributionen. Mer information om betrodda startaktiverade säkerhetsfunktioner. Screenshot showing the options for Trusted Launch.
  9. Under Bild väljer du en bild från de rekommenderade Gen 2-avbildningarna som är kompatibla med betrodd start. En lista finns i Betrodd start.

    Dricks

    Om du inte ser gen 2-versionen av avbildningen som du vill använda i listrutan väljer du Visa alla bilder och ändrar sedan filtret Säkerhetstyp till Betrodd start.

  10. Välj en VM-storlek som stöder betrodd start. Se listan över storlekar som stöds.
  11. Fyll i administratörskontoinformationen och sedan regler för inkommande portar.
  12. Längst ned på sidan väljer du Granska + skapa
  13. På sidan Skapa en virtuell dator kan du se information om den virtuella dator som du ska distribuera. När verifieringen visas som godkänd väljer du Skapa.

Sceenshot of the validation page, showing the trusted launch options are included.

Det tar några minuter för den virtuella datorn att distribueras.

Virtuella Azure-datorer med betrodd start stöder skapande och delning av anpassade avbildningar med Hjälp av Azure Compute Gallery. Det finns två typer av bilder som du kan skapa baserat på avbildningens säkerhetstyper:

Avbildningar som stöds av en betrodd virtuell startdator

För följande bildkällor ska säkerhetstypen för bilddefinitionen anges till TrustedLaunchsupported:

  • Gen2 OS Disk VHD
  • Gen2-hanterad avbildning
  • Gen2-galleribildversion

Ingen vm-gästtillståndsinformation ska ingå i avbildningskällan.

Den resulterande avbildningsversionen kan användas för att skapa virtuella Azure Gen2-datorer eller betrodda virtuella startdatorer.

Dessa avbildningar kan delas med Hjälp av Azure Compute Gallery – Direct Shared Gallery och Azure Compute Gallery – Community Gallery

Kommentar

VHD för os-disk, hanterad avbildning eller galleriavbildningsversion ska skapas från en Gen2-avbildning som är kompatibel med betrodda virtuella startdatorer.

  1. Logga in på Azure-portalen.
  2. Sök efter och välj VM-avbildningsversioner i sökfältet
  3. På sidan VM-avbildningsversioner väljer du Skapa.
  4. På sidan Skapa vm-avbildningsversionfliken Grundläggande:
    1. Välj Azure-prenumerationen.
    2. Välj en befintlig resursgrupp eller skapa en ny resursgrupp.
    3. Välj Azure-regionen.
    4. Ange ett avbildningsversionsnummer.
    5. För Källa väljer du antingen Lagringsblobar (VHD) eller Hanterad avbildning eller en annan version av VM-avbildning
    6. Om du har valt Storage Blobs (VHD) anger du en virtuell hårddisk för os-disk (utan gästtillståndet för den virtuella datorn). Se till att använda en VHD för Gen 2.
    7. Om du har valt Hanterad avbildning väljer du en befintlig hanterad avbildning av en virtuell Gen 2-dator.
    8. Om du har valt vm-avbildningsversion väljer du en befintlig galleriavbildningsversion av en virtuell Gen2-dator.
    9. För Target Azure Compute Gallery väljer eller skapar du ett galleri för att dela avbildningen.
    10. För Operativsystemtillstånd väljer du antingen Generaliserad eller Specialiserad beroende på ditt användningsfall. Om du använder en hanterad avbildning som källa väljer du alltid Generaliserad. Om du använder en lagringsblob (VHD) och vill välja Generaliserad följer du stegen för att generalisera en virtuell Linux-hårddisk eller generalisera en virtuell Windows-hårddisk innan du fortsätter. Om du använder en befintlig vm-avbildningsversion väljer du antingen Generaliserad eller Specialiserad baserat på vad som används i definitionen av käll-VM-avbildningen.
    11. För Avbildningsdefinition för virtuell måldator väljer du Skapa ny.
    12. I fönstret Skapa en VM-avbildningsdefinition anger du ett namn för definitionen. Kontrollera att säkerhetstypen är inställd på Trustedlaunch Supported (Betroddstart stöds). Ange information om utgivare, erbjudande och SKU. Välj sedan Ok.
  5. På fliken Replikering anger du antalet replikerings- och målregioner för bildreplikering om det behövs.
  6. På fliken Kryptering anger du SSE-krypteringsrelaterad information om det behövs.
  7. Välj Granska + skapa.
  8. När konfigurationen har verifierats väljer du Skapa för att slutföra skapandet av avbildningen.
  9. När avbildningsversionen har skapats väljer du Skapa virtuell dator.
  10. På sidan Skapa en virtuell dator går du till Resursgrupp och väljer Skapa ny och anger ett namn för resursgruppen eller väljer en befintlig resursgrupp i listrutan.
  11. Under Instansinformation anger du ett namn för namnet på den virtuella datorn och väljer en region som stöder betrodd start.
  12. Välj Betrodda virtuella startdatorer som säkerhetstyp. Kryssrutan Säker start och vTPM är aktiverade som standard.
  13. Fyll i administratörskontoinformationen och sedan regler för inkommande portar.
  14. Granska informationen om den virtuella datorn på verifieringssidan.
  15. När valideringen har slutförts väljer du Skapa för att slutföra skapandet av den virtuella datorn.

Betrodda vm-avbildningar för start

För följande bildkällor ska säkerhetstypen för bilddefinitionen anges till TrustedLaunch:

  • Avbildning av betrodd start-VM
  • Hanterad OS-disk
  • Ögonblicksbild av hanterad OS-disk

Den resulterande avbildningsversionen kan endast användas för att skapa virtuella Azure Trusted Launch-datorer.

  1. Logga in på Azure-portalen.
  2. Om du vill skapa en Azure Compute-galleriavbildning från en virtuell dator öppnar du en befintlig virtuell dator för betrodd start och väljer Avbilda.
  3. På sidan Skapa en avbildning som följer tillåter du att avbildningen delas till galleriet som en vm-avbildningsversion. Skapande av hanterade avbildningar stöds inte för betrodda virtuella startdatorer.
  4. Skapa ett nytt Azure Compute-målgalleri eller välj ett befintligt galleri.
  5. Välj operativsystemets tillstånd som generaliserad eller specialiserad. Om du vill skapa en generaliserad avbildning kontrollerar du att du generaliserar den virtuella datorn för att ta bort datorspecifik information innan du väljer det här alternativet. Om Bitlocker-baserad kryptering är aktiverad på den virtuella Windows-datorn med betrodd start kanske du inte kan generalisera samma sak.
  6. Skapa en ny avbildningsdefinition genom att ange information om namn, utgivare, erbjudande och SKU. Avbildningsdefinitionens säkerhetstyp bör redan vara inställd på Betrodd start.
  7. Ange ett versionsnummer för avbildningsversionen.
  8. Ändra replikeringsalternativ om det behövs.
  9. Längst ned på sidan Skapa en bild väljer du Granska + Skapa och när verifieringen visas som godkänd väljer du Skapa.
  10. När avbildningsversionen har skapats går du direkt till avbildningsversionen. Du kan också navigera till den avbildningsversion som krävs via bilddefinitionen.
  11. På sidan Version av vm-avbildning väljer du + Skapa virtuell dator för att landa på sidan Skapa en virtuell dator.
  12. På sidan Skapa en virtuell dator går du till Resursgrupp och väljer Skapa ny och anger ett namn för resursgruppen eller väljer en befintlig resursgrupp i listrutan.
  13. Under Instansinformation anger du ett namn för namnet på den virtuella datorn och väljer en region som stöder betrodd start.
  14. Avbildningen och säkerhetstypen är redan ifyllda baserat på den valda avbildningsversionen. Kryssrutan Säker start och vTPM är aktiverade som standard.
  15. Fyll i administratörskontoinformationen och sedan regler för inkommande portar.
  16. Längst ned på sidan väljer du Granska + skapa
  17. Granska informationen om den virtuella datorn på verifieringssidan.
  18. När valideringen har slutförts väljer du Skapa för att slutföra skapandet av den virtuella datorn.

Om du vill använda antingen en hanterad disk eller en ögonblicksbild av en hanterad disk som källa till avbildningsversionen (i stället för en betrodd virtuell startdator) använder du följande steg

  1. Logga in på portalen
  2. Sök efter vm-avbildningsversioner och välj Skapa
  3. Ange versionsnumret för prenumeration, resursgrupp, region och avbildning
  4. Välj källan som Diskar och/eller Ögonblicksbilder
  5. Välj OS-disken som en hanterad disk eller en ögonblicksbild av en hanterad disk i listrutan
  6. Välj ett Azure Compute-målgalleri för att skapa och dela avbildningen. Om det inte finns något galleri skapar du ett nytt galleri.
  7. Välj operativsystemets tillstånd som generaliserad eller specialiserad. Om du vill skapa en generaliserad avbildning kontrollerar du att du generaliserar disken eller ögonblicksbilden för att ta bort datorspecifik information.
  8. För Avbildningsdefinition för virtuell måldator väljer du Skapa ny. I fönstret som öppnas väljer du ett bilddefinitionsnamn och ser till att säkerhetstypen är inställd på Betrodd start. Ange information om utgivare, erbjudande och SKU och välj OK.
  9. Fliken Replikering kan användas för att ange antal replikering och målregioner för bildreplikering om det behövs.
  10. Fliken Kryptering kan också användas för att tillhandahålla SSE-krypteringsrelaterad information om det behövs.
  11. Välj Skapafliken Granska + skapa för att skapa avbildningen
  12. När avbildningsversionen har skapats väljer du + Skapa virtuell dator för att landa på sidan Skapa en virtuell dator.
  13. Följ steg 12 till 18 som nämnts tidigare för att skapa en betrodd virtuell startdator med den här avbildningsversionen

Verifiera eller uppdatera inställningarna

För virtuella datorer som skapats med betrodd start aktiverat kan du visa konfigurationen för betrodd start genom att gå till sidan Översikt för den virtuella datorn i Azure-portalen. Fliken Egenskaper visar status för betrodda startfunktioner:

Screenshot of the Trusted Launch properties of the VM.

Om du vill ändra konfigurationen för betrodd start väljer du Konfiguration i den vänstra menyn under avsnittet Inställningar. Du kan aktivera eller inaktivera säker start, vTPM och integritetsövervakning från avsnittet Säkerhetstyp . Välj Spara överst på sidan när du är klar.

Screenshot showing check boxes to change the Trusted Launch settings.

Om den virtuella datorn körs får du ett meddelande om att den virtuella datorn kommer att startas om. Välj Ja och vänta sedan tills den virtuella datorn startas om för att ändringarna ska börja gälla.

Nästa steg

Läs mer om betrodd start och övervakning av startintegritet för virtuella datorer.