Azure sanal makineleri için Güvenilen Başlatma

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Azure, 2. Nesil sanal makinelerin (VM) güvenliğini geliştirmek için sorunsuz bir yol olarak Güvenilir Başlatma sunar. Güvenilen Başlatma, gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Güvenilir Başlatma, bağımsız olarak etkinleştirilebilen çeşitli eşgüdümlü altyapı teknolojilerinden oluşur. Her teknoloji gelişmiş tehditlere karşı başka bir savunma katmanı sağlar.

Önemli

• Güvenilen Başlat, yeni oluşturulan Azure VM'leri için varsayılan durum olarak seçilir. Yeni VM'niz Güvenilen Başlatma tarafından desteklenmeyen özellikler gerektiriyorsa Bkz . Güvenilen Başlatma SSS.
• Mevcut sanal makinelerde (VM) oluşturulduktan sonra Güvenilen Başlatma etkinleştirilebilir. Daha fazla bilgi için bkz . Mevcut VM'lerde Güvenilen Başlatmayı Etkinleştirme.
• Mevcut sanal makine ölçek kümeleri (VMSS) oluşturulduktan sonra Güvenilen Başlatma etkinleştirilebilir. Daha fazla bilgi için bkz . Mevcut ölçek kümelerinde Güvenilen Başlatmayı Etkinleştirme.

Sosyal haklar

• Doğrulanmış önyükleme yükleyicileri, işletim sistemi (OS) çekirdekleri ve sürücülerle VM'leri güvenli bir şekilde dağıtın.
• VM'lerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde koruyun.
• Tüm önyükleme zincirinin bütünlüğü hakkında içgörüler ve güvenilirlik elde edin.
• İş yüklerinin güvenilir ve doğrulanabilir olduğundan emin olun.

Sanal makine boyutları

Tür	Desteklenen boyut aileleri	Şu anda desteklenmeyen boyut aileleri	Desteklenmeyen boyut aileleri
Genel amaçlı	B serisi, DCsv2 serisi, DCsv3 serisi, DCdsv3 serisi, Dv4 serisi, Dsv4 serisi, Dsv3 serisi, Dsv2 serisi, Dav4 serisi, Dasv4 serisi, Ddv4 serisi, Ddsv4 serisi, Dv5 serisi, Dsv5 serisi, Ddv5 serisi, Ddsv5 serisi, Dasv5 serisi, Dasv5 serisi, Dadsv5 serisi, Dlsv5 serisi, Dlsv5 serisi, Dldsv5 serisi	Dpsv5 serisi, Dpdsv5 serisi, Dplsv5 serisi, Dpldsv5 serisi	Av2 serisi, Dv2 serisi, Dv3 serisi
İşlem için iyileştirilmiş	FX serisi, Fsv2 serisi	Desteklenen tüm boyutlar.
Bellek için iyileştirilmiş	Dsv2 serisi, Esv3 serisi, Ev4 serisi, Esv4 serisi, Edv4 serisi, Edsv4 serisi, Eav4 serisi, Easv4 serisi, Easv5 serisi, Eadsv5 serisi, Ebsv5 serisi, Ebdsv5 serisi, Edv5 serisi, Edv5 serisi, Edsv5 serisi	Epsv5 serisi, Epdsv5 serisi, M serisi, Msv2 serisi, Mdsv2 Orta Bellek serisi, Mv2 serisi	Ev3 serisi
Depolama için iyileştirilmiş	Lsv2 serisi, Lsv3 serisi, Lasv3 serisi	Desteklenen tüm boyutlar.
GPU	NCv2 serisi, NCv3 serisi, NCasT4_v3 serisi, NVv3 serisi, NVv4 serisi, NDv2 serisi, NC_A100_v4 serisi, NVadsA10 v5 serisi	NDasrA100_v4 serisi, NDm_A100_v4 serisi	NC serisi, NV serisi, NP serisi
Yüksek Performanslı İşlem	HB serisi, HBv2 serisi, HBv3 serisi, HBv4 serisi, HC serisi, HX serisi	Desteklenen tüm boyutlar.

Not

• Güvenli Önyükleme özellikli Windows VM'lerinde CUDA ve GRID sürücülerinin yüklenmesi için ek adım gerekmez.
• Güvenli Önyükleme özellikli Ubuntu VM'lerine CUDA sürücüsünün yüklenmesi için ek adımlar gerekir. Daha fazla bilgi için bkz . Linux çalıştıran N serisi VM'lere NVIDIA GPU sürücüleri yükleme. Diğer Linux VM'lerine CUDA sürücülerini yüklemek için Güvenli Önyükleme devre dışı bırakılmalıdır.
• GRID sürücüsünün yüklenmesi, Linux VM'leri için Güvenli Önyükleme'nin devre dışı bırakılabilmesini gerektirir.
• Desteklenmeyen boyut aileleri 2. Nesil VM'leri desteklemez. Güvenilen Başlatma'nın etkinleştirilmesi için VM boyutunu eşdeğer desteklenen boyut aileleri olarak değiştirin.

Desteklenen işletim sistemleri

OS	Sürüm
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux	8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux	15SP3, 15SP4, 15SP5
Ubuntu Server	18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10	Pro, Enterprise, Enterprise Çoklu Oturum *
Windows 11	Pro, Enterprise, Enterprise Çoklu Oturum *
Windows Server	2016, 2019, 2022 *
Window Server (Azure Edition)	2022

* Bu işletim sisteminin varyasyonları desteklenir.

Daha Fazla Bilgi

Bölgeler:

• Tüm ortak bölgeler
• Tüm Azure Kamu bölgeleri
• Tüm Azure Çin bölgeleri

Fiyatlandırma: Güvenilen Başlatma mevcut VM fiyatlandırma maliyetlerini artırmaz.

Desteklenmeyen özellikler

Şu anda Güvenilen Başlatma ile aşağıdaki VM özellikleri desteklenmez:

• Azure Site Recovery (şu anda önizleme aşamasındadır).
• Yönetilen Görüntü (müşterilerin Azure İşlem Galerisi'ni kullanmaları teşvik edilir).
• İç içe sanallaştırma (v5 VM boyutu aileleri desteklenir).

Güvenli Önyükleme

Güvenilen Başlatma'nın kökünde VM'niz için Güvenli Önyükleme bulunur. Platform üretici yazılımında uygulanan Güvenli Önyükleme, kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlar. Güvenli Önyükleme, yalnızca imzalı işletim sistemlerinin ve sürücülerin önyüklenmesini sağlamak için çalışır. VM'nizdeki yazılım yığını için bir "güven kökü" oluşturur.

Güvenli Önyükleme etkinleştirildiğinde, tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcıların imzalamasını gerektirir. Hem Windows hem de belirli Linux dağıtımları Güvenli Önyükleme'yi destekler. Güvenli Önyükleme görüntünün güvenilir bir yayımcı tarafından imzalandığını doğrulayamazsa VM önyüklemesi başarısız olur. Daha fazla bilgi için, bkz. Güvenli Önyükleme.

vTPM

Güvenilen Başlatma ayrıca Azure VM'leri için sanal Güvenilen Platform Modülü(vTPM) sunar. Donanım Güvenilir Platform Modülü'nin bu sanallaştırılmış sürümü TPM2.0 belirtimiyle uyumludur. Anahtarlar ve ölçümler için ayrılmış bir güvenli kasa görevi görür.

Güvenilen Başlatma, VM'nize herhangi bir VM'nin erişimi dışında güvenli bir ortamda çalışan kendi ayrılmış TPM örneğini sağlar. vTPM, VM'nizin tüm önyükleme zincirini (UEFI, işletim sistemi, sistem ve sürücüler) ölçerek kanıtlamaya olanak tanır.

Güvenilen Başlatma, bulutta uzaktan kanıtlama gerçekleştirmek için vTPM'yi kullanır. Kanıtlamalar, platform sistem durumu denetimlerini etkinleştirir ve güven tabanlı kararlar vermek için kullanılır. Sistem durumu denetimi olarak Güvenilen Başlatma, sanal makinenizin doğru önyüklendiğini şifrelemeyle onaylayabilir.

İşlem başarısız olursa , büyük olasılıkla VM'niz yetkisiz bir bileşen çalıştırdığı için, Bulut için Microsoft Defender bütünlük uyarıları oluşturur. Uyarılar, hangi bileşenlerin bütünlük denetimlerini geçiremediğine ilişkin ayrıntıları içerir.

Sanallaştırma tabanlı güvenlik

Sanallaştırma tabanlı güvenlik (VBS), güvenli ve yalıtılmış bir bellek bölgesi oluşturmak için hiper yöneticiyi kullanır. Windows, güvenlik açıklarına ve kötü amaçlı açıklara karşı daha fazla koruma ile çeşitli güvenlik çözümleri çalıştırmak için bu bölgeleri kullanır. Güvenilen Başlatma, hiper yönetici kod bütünlüğünü (HVCI) ve Windows Defender Credential Guard'ı etkinleştirmenize olanak tanır.

HVCI, Windows çekirdek modu işlemlerini kötü amaçlı veya doğrulanmamış kodun eklenmesine ve yürütülmesine karşı koruyan güçlü bir sistem azaltma özelliğidir. Çalışmadan önce çekirdek modu sürücülerini ve ikili dosyalarını denetler ve imzasız dosyaların belleğe yüklenmesini önler. Denetimler, yürütülebilir kodun yüklenmesine izin verildikten sonra değiştirilememesini sağlar. VBS ve HVCI hakkında daha fazla bilgi için bkz . Sanallaştırma tabanlı güvenlik ve hiper yönetici tarafından zorlanan kod bütünlüğü.

Güvenilen Başlatma ve VBS ile Windows Defender Credential Guard'ı etkinleştirebilirsiniz. Credential Guard, gizli dizileri yalnızca ayrıcalıklı sistem yazılımlarının erişebilmesi için yalıtıp korur. Karma Geçiş saldırıları gibi gizli dizilere ve kimlik bilgisi hırsızlığı saldırılarına yetkisiz erişimi önlemeye yardımcı olur. Daha fazla bilgi için bkz . Credential Guard.

Bulut için Microsoft Defender tümleştirmesi

Güvenilir Başlatma, VM'lerinizin düzgün yapılandırıldığından emin olmak için Bulut için Defender ile tümleşiktir. Bulut için Defender uyumlu VM'leri sürekli olarak değerlendirir ve ilgili öneriler sağlar:

• Güvenli Önyüklemeyi etkinleştirme önerisi: Güvenli Önyükleme önerisi yalnızca Güvenilen Başlatma'yı destekleyen VM'ler için geçerlidir. Bulut için Defender, Güvenli Önyüklemeyi etkinleştirebilen ancak devre dışı bırakabilen VM'leri tanımlar. Etkinleştirmek için düşük önem düzeyine sahip bir öneride bulunur.

• vTPM'yi etkinleştirme önerisi: VM'nizde vTPM etkinleştirildiyse, Bulut için Defender konuk kanıtlaması gerçekleştirmek ve gelişmiş tehdit desenlerini tanımlamak için bunu kullanabilir. Bulut için Defender Güvenilen Başlatma'yı destekleyen ve vTPM'nin devre dışı bırakıldığı VM'leri tanımlarsa, etkinleştirmek için düşük önem derecesine sahip bir öneri yayınlar.

• Konuk kanıtlama uzantısını yükleme önerisi: VM'nizde Güvenli Önyükleme ve vTPM etkinse ancak Konuk Kanıtlama uzantısı yüklü değilse, Bulut için Defender Konuk Kanıtlama uzantısını yüklemek için düşük önem düzeyinde öneriler sunar. Bu uzantı, Bulut için Defender vm'lerinizin önyükleme bütünlüğünü proaktif olarak test etmesine ve izlemesine olanak tanır. Önyükleme bütünlüğü, uzaktan kanıtlama yoluyla doğrulanır.

• Kanıtlama sistem durumu değerlendirmesi veya önyükleme bütünlüğünü izleme: VM'nizde Güvenli Önyükleme ve vTPM etkinse ve Kanıtlama uzantısı yüklüyse Bulut için Defender vm'nizin iyi durumda önyüklendiğini uzaktan doğrulayabilir. Bu uygulama, önyükleme bütünlüğünü izleme olarak bilinir. Bulut için Defender, uzak kanıtlamanın durumunu gösteren bir değerlendirme oluşturur.

  VM'leriniz Güvenilir Başlatma ile düzgün şekilde ayarlandıysa Bulut için Defender VM sistem durumu sorunlarını algılayabilir ve sizi uyarabilir.

• VM kanıtlama hatası uyarısı: Bulut için Defender vm'lerinizde düzenli aralıklarla kanıtlama gerçekleştirir. Kanıtlama, VM'niz önyükleme yaptıktan sonra da gerçekleşir. Kanıtlama başarısız olursa orta önem derecesinde bir uyarı tetikler. VM kanıtlama aşağıdaki nedenlerle başarısız olabilir:

  • Bir önyükleme günlüğü içeren doğrulanmış bilgiler, güvenilir bir temelden sapar. Herhangi bir sapma güvenilmeyen modüllerin yüklendiğini ve işletim sisteminin güvenliğinin aşıldığını gösterebilir.
  • Kanıtlama teklifinin doğrulanmış VM'nin vTPM'sinden kaynaklandığı doğrulanamadı. Doğrulanmamış bir kaynak, kötü amaçlı yazılımın mevcut olduğunu ve vTPM'ye gelen trafiği kesebileceğini gösterebilir.

  Not

  vTPM'nin etkinleştirildiği ve Kanıtlama uzantısının yüklü olduğu VM'ler için uyarılar kullanılabilir. Kanıtlamanın geçmesi için Güvenli Önyükleme etkinleştirilmelidir. Güvenli Önyükleme devre dışı bırakılırsa kanıtlama başarısız olur. Güvenli Önyükleme'yi devre dışı bırakmanız gerekiyorsa, hatalı pozitif sonuçları önlemek için bu uyarıyı gizleyebilirsiniz.

• Güvenilmeyen Linux çekirdek modülü için uyarı: Güvenli Önyükleme etkin güvenilir başlatma için, bir çekirdek sürücüsü doğrulama başarısız olsa ve yüklenmesi yasak olsa bile VM'nin önyüklemesi mümkündür. Bu senaryo gerçekleşirse, Bulut için Defender düşük önem derecesinde uyarılar oluşturur. Güvenilmeyen sürücü yüklenmediğinden anında bir tehdit olmasa da bu olaylar araştırılmalıdır. Kendinize sorun:

  • Hangi çekirdek sürücüsü başarısız oldu? Bu sürücüye aşina mıyım ve yüklenmesini bekliyor muyum?
  • Beklediğim sürücünün tam sürümü bu mu? Sürücü ikili dosyaları bozulmamış mı? Bu üçüncü taraf bir sürücüyse, satıcı imzasını almak için işletim sistemi uyumluluk testlerini geçti mi?

İlgili içerik

Güvenilen Başlatma VM'si dağıtma.