Azure sanal makineleri için güvenilir başlatma

  • Makale

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Azure, 2. nesil VM'lerin güvenliğini geliştirmek için sorunsuz bir yol olarak güvenilir başlatma sunar. Güvenilir başlatma, gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Güvenilir başlatma, bağımsız olarak etkinleştirilebilen çeşitli, eşgüdümlü altyapı teknolojilerinden oluşur. Her teknoloji gelişmiş tehditlere karşı başka bir savunma katmanı sağlar.

Önemli

  • Güvenilen Başlat, yeni oluşturulan Azure VM'leri için varsayılan durum olarak seçilir. Yeni VM'niz güvenilen başlatma tarafından desteklenmeyen özellikler gerektiriyorsa bkz . Güvenilen Başlatma SSS
  • Mevcut Azure 2. Nesil VM'ler oluşturulduktan sonra güvenilir başlatmayı etkinleştirebilir. Daha fazla bilgi için bkz . Mevcut VM'lerde Güvenilen Başlatmayı Etkinleştirme
  • İlk olarak onsuz oluşturulan mevcut bir sanal makine ölçek kümesinde (VMSS) güvenilir başlatmayı etkinleştiremezsiniz. Güvenilen başlatma için yeni VMSS oluşturulması gerekir.

Sosyal haklar

  • Doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücülerle sanal makineleri güvenli bir şekilde dağıtın.
  • Sanal makinelerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde koruyun.
  • Tüm önyükleme zincirinin bütünlüğü hakkında içgörüler ve güvenilirlik elde edin.
  • İş yüklerinin güvenilir ve doğrulanabilir olduğundan emin olun.

Sanal Makineler boyutları

Tür Desteklenen boyut aileleri Şu anda desteklenmeyen boyut aileleri Desteklenmeyen boyut aileleri
Genel Amaçlı B serisi, DCsv2 serisi, DCsv3 serisi, DCdsv3 serisi, Dv4 serisi, Dsv4 serisi, Dsv3 serisi, Dsv2 serisi, Dav4 serisi, Dasv4 serisi, Ddv4 serisi, Ddsv4 serisi, Dv5 serisi, Dsv5 serisi, Ddv5 serisi, Ddsv5 serisi, Dasv5 serisi, Dasv5 serisi, Dadsv5 serisi, Dlsv5 serisi, Dlsv5 serisi, Dldsv5 serisi Dpsv5 serisi, Dpdsv5 serisi, Dplsv5 serisi, Dpldsv5 serisi Av2 serisi, Dv2 serisi, Dv3 serisi
İşlem için iyileştirilmiş FX serisi, Fsv2 serisi Desteklenen tüm boyutlar.
Bellek için iyileştirilmiş Dsv2 serisi, Esv3 serisi, Ev4 serisi, Esv4 serisi, Edv4 serisi, Edsv4 serisi, Eav4 serisi, Easv4 serisi, Easv5 serisi, Eadsv5 serisi, Ebsv5 serisi,Ebdsv5 serisi, Edv5 serisi, Edsv5 serisi Epsv5 serisi, Epdsv5 serisi, M serisi, Msv2 serisi, Mdsv2 Orta Bellek serisi, Mv2 serisi Ev3 serisi
Depolama için iyileştirilmiş Lsv2 serisi, Lsv3 serisi, Lasv3 serisi Desteklenen tüm boyutlar.
GPU NCv2 serisi, NCv3 serisi, NCasT4_v3 serisi, NVv3 serisi, NVv4 serisi, NDv2 serisi, NC_A100_v4 serisi, NVadsA10 v5 serisi NDasrA100_v4 serisi, NDm_A100_v4 serisi NC serisi, NV serisi, NP serisi
Yüksek Performanslı İşlem HB serisi, HBv2 serisi, HBv3 serisi, HBv4 serisi, HC serisi, HX serisi Desteklenen tüm boyutlar.

Not

  • Güvenli Önyükleme özellikli Windows VM'lerinde CUDA ve GRID sürücülerinin yüklenmesi için ek adımlar gerekmez.
  • Güvenli Önyükleme özellikli Ubuntu VM'lerine CUDA sürücüsünün yüklenmesi için Linux çalıştıran N serisi VM'lere NVIDIA GPU sürücülerini yükleme sayfasında ek adımlar belgelenmiştir. Diğer Linux VM'lerine CUDA Sürücüleri yüklemek için Güvenli Önyükleme devre dışı bırakılmalıdır.
  • GRID sürücüsünün yüklenmesi, Linux VM'leri için güvenli önyüklemenin devre dışı bırakılabilmesini gerektirir.
  • Desteklenmez boyut aileleri 2. nesil VM'leri desteklemez. Güvenilen Başlatma'nın etkinleştirilmesi için VM Boyutunu eşdeğer Desteklenen boyut aileleri olarak değiştirin.

Desteklenen işletim sistemleri

OS Sürüm
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
Red Hat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Çoklu Oturum *
Windows 11 Pro, Enterprise, Enterprise Çoklu Oturum *
Windows Server 2016, 2019, 2022 *
Window Server (Azure Edition) 2022

* Bu işletim sisteminin varyasyonları desteklenir.

Ek bilgi

Bölgeler:

  • Tüm ortak bölgeler
  • Tüm Azure Kamu bölgeleri
  • Tüm Azure Çin bölgeleri

Fiyatlandırma: Güvenilir başlatma mevcut VM fiyatlandırma maliyetlerini artırmaz.

Desteklenmeyen özellikler

Not

Aşağıdaki Sanal Makine özellikleri şu anda Güvenilen Başlatma ile desteklenmiyor.

Güvenli önyükleme

Güvenilen başlatmanın kökünde VM'niz için Güvenli Önyükleme bulunur. Platform üretici yazılımında uygulanan Güvenli Önyükleme, kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlar. Güvenli Önyükleme, yalnızca imzalı işletim sistemlerinin ve sürücülerin önyüklenmesini sağlamak için çalışır. VM'nizdeki yazılım yığını için bir "güven kökü" oluşturur. Güvenli Önyükleme etkinleştirildiğinde, tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcıların imzalamasını gerektirir. Hem Windows hem de belirli Linux dağıtımları Güvenli Önyükleme'yi destekler. Güvenli Önyükleme görüntünün güvenilir bir yayımcı tarafından imzalandığını doğrulayamazsa VM önyüklemesi başarısız olur. Daha fazla bilgi için, bkz. Güvenli Önyükleme.

vTPM

Güvenilen başlatma, Azure VM'leri için vTPM'nin de kullanıma sunulmasını sağlar. vTPM, TPM2.0 belirtimiyle uyumlu bir donanım Güvenilir Platform Modülü'nin sanallaştırılmış sürümüdür. Anahtarlar ve ölçümler için ayrılmış bir güvenli kasa görevi görür. Güvenilen başlatma, VM'nize herhangi bir VM'nin erişimi dışında güvenli bir ortamda çalışan kendi ayrılmış TPM örneğini sağlar. vTPM, VM'nizin tüm önyükleme zincirini (UEFI, işletim sistemi, sistem ve sürücüler) ölçerek kanıtlamaya olanak tanır.

Güvenilen başlatma, bulutta uzaktan kanıtlama gerçekleştirmek için vTPM'yi kullanır. Kanıtlamalar, platform sistem durumu denetimlerini ve güven tabanlı kararlar almayı sağlar. Sistem durumu denetimi olarak, güvenilir başlatma sanal makinenizin doğru önyüklendiğini şifreli olarak onaylayabilir. İşlem başarısız olursa , büyük olasılıkla VM'niz yetkisiz bir bileşen çalıştırdığı için, Bulut için Microsoft Defender bütünlük uyarıları oluşturur. Uyarılar, hangi bileşenlerin bütünlük denetimlerini geçiremediğine ilişkin ayrıntıları içerir.

Sanallaştırma tabanlı güvenlik

Sanallaştırma Tabanlı Güvenlik (VBS), güvenli ve yalıtılmış bir bellek bölgesi oluşturmak için hiper yöneticiyi kullanır. Windows, güvenlik açıklarına ve kötü amaçlı açıklara karşı daha fazla koruma ile çeşitli güvenlik çözümleri çalıştırmak için bu bölgeleri kullanır. Güvenilen başlatma, Hiper Yönetici Kod Bütünlüğü (HVCI) ve Windows Defender Credential Guard'ı etkinleştirmenizi sağlar.

HVCI, Windows çekirdek modu işlemlerini kötü amaçlı veya doğrulanmamış kodun eklenmesine ve yürütülmesine karşı koruyan güçlü bir sistem azaltma özelliğidir. Çalışmadan önce çekirdek modu sürücülerini ve ikili dosyalarını denetler ve imzasız dosyaların belleğe yüklenmesini önler. Denetimler, yürütülebilir kodun yüklenmesine izin verildikten sonra değiştirilememesini sağlar. VBS ve HVCI hakkında daha fazla bilgi için bkz . Sanallaştırma Tabanlı Güvenlik (VBS) ve Hiper Yönetici Zorunlu Kod Bütünlüğü (HVCI).

Güvenilir başlatma ve VBS ile Windows Defender Credential Guard'ı etkinleştirebilirsiniz. Credential Guard, gizli dizileri yalnızca ayrıcalıklı sistem yazılımlarının erişebilmesi için yalıtıp korur. Karma Geçiş (PtH) saldırıları gibi gizli dizilere ve kimlik bilgisi hırsızlığı saldırılarına yetkisiz erişimi önlemeye yardımcı olur. Daha fazla bilgi için bkz . Credential Guard.

Bulut için Microsoft Defender tümleştirmesi

Güvenilir başlatma, VM'lerinizin düzgün yapılandırıldığından emin olmak için Bulut için Microsoft Defender ile tümleşiktir. Bulut için Microsoft Defender uyumlu VM'leri sürekli değerlendirir ve ilgili önerilerde bulunur.

  • Güvenli Önyüklemeyi etkinleştirme önerisi - Güvenli Önyükleme önerisi yalnızca güvenilen başlatmayı destekleyen VM'ler için geçerlidir. Bulut için Microsoft Defender, Güvenli Önyüklemeyi etkinleştirebilen ancak devre dışı bırakabilen VM'leri tanımlar. Etkinleştirmek için düşük önem derecesi önerisi sağlar.
  • vTPM'yi etkinleştirme önerisi - VM'nizde vTPM etkinleştirildiyse, Bulut için Microsoft Defender Bunu Konuk Kanıtlaması gerçekleştirmek ve gelişmiş tehdit desenlerini tanımlamak için kullanabilir. Bulut için Microsoft Defender güvenilir başlatmayı destekleyen ve vTPM'nin devre dışı bırakıldığı VM'leri tanımlarsa, etkinleştirmek için düşük önem derecesi önerisi yayınlar.
  • Konuk kanıtlama uzantısını yükleme önerisi - VM'nizde güvenli önyükleme ve vTPM etkinse ancak konuk kanıtlama uzantısı yüklü değilse, Bulut için Microsoft Defender konuk kanıtlama uzantısını yüklemek için düşük önem düzeyinde önerilerde bulunur. Bu uzantı, Bulut için Microsoft Defender vm'lerinizin önyükleme bütünlüğünü proaktif olarak test etmesine ve izlemesine olanak tanır. Önyükleme bütünlüğü, uzaktan kanıtlama yoluyla doğrulanır.
  • Kanıtlama sistem durumu değerlendirmesi veya Önyükleme Bütünlüğünü İzleme - VM'nizde Güvenli Önyükleme ve vTPM etkinleştirildiyse ve kanıtlama uzantısı yüklüyse Bulut için Microsoft Defender vm'nizin iyi durumda önyüklendiğini uzaktan doğrulayabilir. Bu, önyükleme bütünlüğünü izleme olarak bilinir. Bulut için Microsoft Defender, uzak kanıtlamanın durumunu belirten bir değerlendirme oluşturur.

VM'leriniz güvenilir başlatma ile düzgün şekilde ayarlandıysa Bulut için Microsoft Defender VM sistem durumu sorunlarını algılayabilir ve sizi uyarabilir.

  • VM kanıtlama hatası uyarısı: Bulut için Microsoft Defender vm'lerinizde düzenli aralıklarla kanıtlama gerçekleştirir. Kanıtlama, VM'niz önyükleme yaptıktan sonra da gerçekleşir. Kanıtlama başarısız olursa orta büyüklükte bir önem derecesi uyarısı tetikler. VM kanıtlama aşağıdaki nedenlerle başarısız olabilir:

    • Bir önyükleme günlüğü içeren doğrulanmış bilgiler, güvenilir bir temelden sapar. Herhangi bir sapma güvenilmeyen modüllerin yüklendiğini ve işletim sisteminin güvenliğinin aşıldığını gösterebilir.
    • Kanıtlama teklifinin doğrulanmış VM'nin vTPM'sinden kaynaklandığı doğrulanamadı. Doğrulanmamış bir kaynak, kötü amaçlı yazılımın mevcut olduğunu ve vTPM'ye gelen trafiği kesebileceğini gösterebilir.

    Not

    vTPM'nin etkinleştirildiği ve Kanıtlama uzantısının yüklü olduğu VM'ler için uyarılar kullanılabilir. Kanıtlamanın geçmesi için Güvenli Önyükleme etkinleştirilmelidir. Güvenli Önyükleme devre dışı bırakılırsa kanıtlama başarısız olur. Güvenli Önyükleme'yi devre dışı bırakmanız gerekiyorsa, hatalı pozitif sonuçları önlemek için bu uyarıyı gizleyebilirsiniz.

  • Güvenilmeyen Linux Çekirdeği modülü için uyarı: Güvenli önyükleme etkin güvenilir başlatma için, çekirdek sürücüsü doğrulama başarısız olsa ve yüklenmesi yasak olsa bile VM'nin önyüklemesi mümkündür. Bu durumda, Bulut için Microsoft Defender düşük önem derecesinde uyarılar oluşturur. Güvenilmeyen sürücü yüklenmediğinden anında bir tehdit olmasa da bu olaylar araştırılmalıdır.

    • Hangi çekirdek sürücüsü başarısız oldu? Bu sürücüye aşina mıyım ve yüklenmesini bekliyor muyum?
    • Beklediğim sürücünün tam sürümü bu mu? Sürücü ikili dosyaları bozulmamış mı? Bu üçüncü taraf bir sürücüyse, satıcı imzasını almak için işletim sistemi uyumluluk testlerini geçti mi?

Sonraki adımlar

Güvenilir bir başlatma VM'si dağıtın.