Mevcut Azure VM'lerinde Güvenilen başlatmayı etkinleştirme
Şunlar için geçerlidir: ✔️ Linux VM ✔️ Windows VM ✔️ 2. Nesil VM
Azure Sanal Makineler, Güvenilen başlatma güvenlik türüne yükselterek mevcut Azure 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeyi destekler.
Güvenilir başlatma , Azure 2. Nesil VM'lerde temel işlem güvenliğini etkinleştirmenin bir yoludur. Güvenilir başlatma, VM'nizde Güvenli Önyükleme, vTPM ve Önyükleme Bütünlüğünü İzleme gibi altyapı teknolojilerini birleştirerek önyükleme setleri ve rootkit'ler gibi gelişmiş ve kalıcı saldırı tekniklerine karşı Sanal Makineler korur.
Önemli
- 2. Nesil VM için etkinleştirilirse, Güvenilen başlatma yükseltmesi yürütülmeden önce müşteri tarafından yönetilen anahtarlarla (SSE-CMK) sunucu tarafı şifreleme devre dışı bırakılmalıdır. Güvenilen başlatma yükseltmesi tamamlandıktan sonra SSE-CMK şifrelemesi yeniden etkinleştirilmelidir.
- Mevcut Azure 1. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme desteği şu anda özel önizleme aşamasındadır. Kayıt bağlantısını https://aka.ms/Gen1ToTLUpgradekullanarak önizlemeye erişebilirsiniz.
- Mevcut Azure sanal makine ölçek kümelerinde (VMSS) Tekdüzen ve Flex'te Güvenilen başlatmanın etkinleştirilmesi şu anda desteklenmemektedir.
Önkoşullar
- Azure 2. Nesil VM'ler şu şekilde yapılandırılır:
- Güvenilen lansman desteklenen boyut ailesi
- Güvenilen başlatma desteklenen işletim sistemi görüntüsü. Özel işletim sistemi görüntüsü veya diskler için temel görüntü Güvenilir başlatma özelliğine sahip olmalıdır.
- Azure 2. Nesil VM'ler şu anda Güvenilen başlatma ile desteklenmeyen özellikleri kullanmıyor.
- Güvenilen başlatma güvenlik türü etkinleştirilmeden önce Azure 2. Nesil VM'ler durdurulmalı ve serbest bırakılmalıdır.
- VM'ler için etkinleştirildiyse Azure Backup, Gelişmiş Yedekleme İlkesi ile yapılandırılmalıdır. Standart İlke yedekleme koruması ile yapılandırılmış 2. Nesil VM'ler için güvenilen başlatma güvenlik türü etkinleştirilemez.
- Mevcut Azure VM yedeklemesi, özel önizleme geçiş özelliği kullanılarak Standart ilkeden Gelişmiş ilkeye geçirilebilir. Bağlantısını https://aka.ms/formBackupPolicyMigrationkullanarak önizlemeye ekleme isteği gönderin.
En iyi yöntemler
- Test 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin ve üretim iş yükleriyle ilişkilendirilmiş 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeden önce önkoşulları karşılamak için herhangi bir değişikliğin gerekli olup olmadığından emin olun.
- Güvenilen başlatma güvenlik türünü etkinleştirmeden önce üretim iş yükleriyle ilişkili Azure 2. Nesil VM'ler için geri yükleme noktası oluşturun. Önceki iyi bilinen durumla diskleri ve 2. Nesil VM'yi yeniden oluşturmak için Geri Yükleme Noktası'nı kullanabilirsiniz.
Mevcut VM'de Güvenilen başlatmayı etkinleştirme
Not
- Güvenilen başlatma etkinleştirildikten sonra, şu anda sanal makineler Standart (Güvenilir Olmayan başlatma yapılandırması) güvenlik türüne geri alınamaz.
- vTPM varsayılan olarak etkindir.
- Özel imzasız çekirdek veya sürücüler kullanmıyorsanız Güvenli Önyükleme'nin etkinleştirilmesi (varsayılan olarak etkinleştirilmemesi) önerilir. Güvenli Önyükleme önyükleme bütünlüğünü korur ve VM için temel güvenlik sağlar.
Bu bölüm, mevcut Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için Azure portalını kullanma adımlarını gösterir.
- Azure portalında oturum açma
- Sanal makine oluşturmanın V2 olduğunu ve VM'leri durdur olduğunu doğrulayın.
- VM Özellikleri'ndeki Genel Bakış sayfasında Güvenlik türü altında Standart'ı seçin. Bu, VM için Yapılandırma sayfasına gider.
- Yapılandırma sayfasının Güvenlik türü bölümünden açılan Güvenlik türü'nü seçin.
- Güvenli Önyükleme ve vTPM'yi etkinleştirmek için açılan listeden Güvenilir başlatma'yı seçin ve onay kutularını seçin. Gerekli değişiklikleri yaptıktan sonra Kaydet'e tıklayın.
Not
- Azure İşlem Galerisi (ACG), Yönetilen Görüntü ve İşletim Sistemi Diski kullanılarak oluşturulan 2. Nesil VM'ler Portal kullanılarak Güvenilen başlatmaya yükseltilemez. Lütfen İşletim Sistemi Sürümünün Güvenilen başlatma için desteklendiğinden emin olun ve yükseltmeyi yürütmek için PowerShell, CLI veya ARM şablonu kullanın.
- Güncelleştirme başarıyla tamamlandıktan sonra Yapılandırma sayfasını kapatın ve Genel Bakış sayfasındaki VM özellikleri altında Güvenlik türünü doğrulayın.
- Yükseltilmiş Güvenilen başlatma VM'sini başlatın ve başarıyla başlatıldığından emin olun ve RDP (Windows VM için) veya SSH (Linux VM için) kullanarak VM'de oturum açabildiğinizi doğrulayın.
Sonraki adımlar
(Önerilen) Yükseltme Sonrası, Bulut için Microsoft Defender kullanarak VM'nin sistem durumunu izlemek için Önyükleme bütünlüğü izlemeyi etkinleştirir.
Güvenilen başlatma hakkında daha fazla bilgi edinin ve sık sorulan soruları gözden geçirin