Mevcut Azure VM'lerinde Güvenilen başlatmayı etkinleştirme

Şunlar için geçerlidir: ✔️ Linux VM ✔️ Windows VM ✔️ 2. Nesil VM

Azure Sanal Makineler, Güvenilen başlatma güvenlik türüne yükselterek mevcut Azure 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeyi destekler.

Güvenilir başlatma , Azure 2. Nesil VM'lerde temel işlem güvenliğini etkinleştirmenin bir yoludur. Güvenilir başlatma, VM'nizde Güvenli Önyükleme, vTPM ve Önyükleme Bütünlüğünü İzleme gibi altyapı teknolojilerini birleştirerek önyükleme setleri ve rootkit'ler gibi gelişmiş ve kalıcı saldırı tekniklerine karşı Sanal Makineler korur.

Önemli

• 2. Nesil VM için etkinleştirilirse, Güvenilen başlatma yükseltmesi yürütülmeden önce müşteri tarafından yönetilen anahtarlarla (SSE-CMK) sunucu tarafı şifreleme devre dışı bırakılmalıdır. Güvenilen başlatma yükseltmesi tamamlandıktan sonra SSE-CMK şifrelemesi yeniden etkinleştirilmelidir.
• Mevcut Azure 1. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme desteği şu anda özel önizleme aşamasındadır. Kayıt bağlantısını https://aka.ms/Gen1ToTLUpgradekullanarak önizlemeye erişebilirsiniz.
• Mevcut Azure sanal makine ölçek kümelerinde (VMSS) Tekdüzen ve Flex'te Güvenilen başlatmanın etkinleştirilmesi şu anda desteklenmemektedir.

Önkoşullar

• Azure 2. Nesil VM'ler şu şekilde yapılandırılır:
  • Güvenilen lansman desteklenen boyut ailesi
  • Güvenilen başlatma desteklenen işletim sistemi görüntüsü. Özel işletim sistemi görüntüsü veya diskler için temel görüntü Güvenilir başlatma özelliğine sahip olmalıdır.
• Azure 2. Nesil VM'ler şu anda Güvenilen başlatma ile desteklenmeyen özellikleri kullanmıyor.
• Güvenilen başlatma güvenlik türü etkinleştirilmeden önce Azure 2. Nesil VM'ler durdurulmalı ve serbest bırakılmalıdır.
• VM'ler için etkinleştirildiyse Azure Backup, Gelişmiş Yedekleme İlkesi ile yapılandırılmalıdır. Standart İlke yedekleme koruması ile yapılandırılmış 2. Nesil VM'ler için güvenilen başlatma güvenlik türü etkinleştirilemez.
  • Mevcut Azure VM yedeklemesi, özel önizleme geçiş özelliği kullanılarak Standart ilkeden Gelişmiş ilkeye geçirilebilir. Bağlantısını https://aka.ms/formBackupPolicyMigrationkullanarak önizlemeye ekleme isteği gönderin.

En iyi yöntemler

• Test 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin ve üretim iş yükleriyle ilişkilendirilmiş 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeden önce önkoşulları karşılamak için herhangi bir değişikliğin gerekli olup olmadığından emin olun.
• Güvenilen başlatma güvenlik türünü etkinleştirmeden önce üretim iş yükleriyle ilişkili Azure 2. Nesil VM'ler için geri yükleme noktası oluşturun. Önceki iyi bilinen durumla diskleri ve 2. Nesil VM'yi yeniden oluşturmak için Geri Yükleme Noktası'nı kullanabilirsiniz.

Mevcut VM'de Güvenilen başlatmayı etkinleştirme

Not

• Güvenilen başlatma etkinleştirildikten sonra, şu anda sanal makineler Standart (Güvenilir Olmayan başlatma yapılandırması) güvenlik türüne geri alınamaz.
• vTPM varsayılan olarak etkindir.
• Özel imzasız çekirdek veya sürücüler kullanmıyorsanız Güvenli Önyükleme'nin etkinleştirilmesi (varsayılan olarak etkinleştirilmemesi) önerilir. Güvenli Önyükleme önyükleme bütünlüğünü korur ve VM için temel güvenlik sağlar.

Portal

Bu bölüm, mevcut Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için Azure portalını kullanma adımlarını gösterir.

1. Azure portalında oturum açma
2. Sanal makine oluşturmanın V2 olduğunu ve VM'leri durdur olduğunu doğrulayın.

3. VM Özellikleri'ndeki Genel Bakış sayfasında Güvenlik türü altında Standart'ı seçin. Bu, VM için Yapılandırma sayfasına gider.

4. Yapılandırma sayfasının Güvenlik türü bölümünden açılan Güvenlik türü'nü seçin.

5. Güvenli Önyükleme ve vTPM'yi etkinleştirmek için açılan listeden Güvenilir başlatma'yı seçin ve onay kutularını seçin. Gerekli değişiklikleri yaptıktan sonra Kaydet'e tıklayın.

Not

• Azure İşlem Galerisi (ACG), Yönetilen Görüntü ve İşletim Sistemi Diski kullanılarak oluşturulan 2. Nesil VM'ler Portal kullanılarak Güvenilen başlatmaya yükseltilemez. Lütfen İşletim Sistemi Sürümünün Güvenilen başlatma için desteklendiğinden emin olun ve yükseltmeyi yürütmek için PowerShell, CLI veya ARM şablonu kullanın.

6. Güncelleştirme başarıyla tamamlandıktan sonra Yapılandırma sayfasını kapatın ve Genel Bakış sayfasındaki VM özellikleri altında Güvenlik türünü doğrulayın.

7. Yükseltilmiş Güvenilen başlatma VM'sini başlatın ve başarıyla başlatıldığından emin olun ve RDP (Windows VM için) veya SSH (Linux VM için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

CLI

Bu bölüm, mevcut Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için Azure CLI'yi kullanma adımlarını adım adım izler.

En son Azure CLI'yi yüklediğinizden ve az login ile bir Azure hesabında oturum açtığınızdan emin olun.

1. Azure Aboneliği'nde oturum açma

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. VM'leri serbest bırakma

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. olarak ayarlayarak --security-type Güvenilen başlatmayı TrustedLaunchetkinleştirin.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Önceki komutun çıkışını doğrulayın . securityProfile yapılandırma, komut çıkışıyla döndürülür.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. VM'yi başlatın .

az vm start \
    --resource-group myResourceGroup --name myVm

6. Yükseltilmiş Güvenilen başlatma VM'sini başlatın ve başarıyla başlatıldığından emin olun ve RDP (Windows VM için) veya SSH (Linux VM için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

PowerShell

Bu bölüm, mevcut Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için Azure PowerShell'i kullanma adımlarını gösterir.

En son Azure PowerShell'i yüklediğinizden ve Bağlan-AzAccount ile bir Azure hesabında oturum açtığınızdan emin olun.

1. Azure Aboneliği'nde oturum açma

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. VM'leri serbest bırakma

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. olarak ayarlayarak --security-type Güvenilen başlatmayı TrustedLaunchetkinleştirin.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. Güncelleştirilmiş VM yapılandırmasında doğrulamasecurityProfile .

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. VM'yi başlatın .

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Yükseltilmiş Güvenilen başlatma VM'sini başlatın ve başarıyla başlatıldığından emin olun ve RDP (Windows VM için) veya SSH (Linux VM için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Şablon

Bu bölüm, mevcut Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için ARM şablonu kullanma adımlarını gösterir.

Azure Resource Manager şablonu, projenizin altyapısını ve yapılandırmasını tanımlayan bir JavaScript Nesne Gösterimi (JSON) dosyasıdır. Bu şablonda, bildirim temelli sözdizimi kullanılır. Dağıtımı oluşturmak için programlama komutlarının sırasını yazmadan hedeflenen dağıtımınızı açıklarsınız.

1. Şablonu gözden geçirin.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Parametre json dosyasını güvenlik türüyle güncelleştirilecek sanal makinelerle TrustedLaunch düzenleyin.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Parametre dosyası tanımı

Özellik	Özelliğin Açıklaması	Örnek şablon değeri
vmName	Azure 2. Nesil VM'nin adı	"myVm"
konum	Azure 2. Nesil VM'nin konumu	"westus3"
secureBootEnabled	Güvenli önyüklemeyi Güvenilen başlatma güvenlik türüyle etkinleştirme	true

3. Güncelleştirilecek tüm Azure 2. Nesil VM'leri serbest bırakma .

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. ARM şablonu dağıtımını yürütür.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Dağıtımın başarılı olduğunu doğrulayın. Azure portalını kullanarak VM'nin güvenlik türünü ve UEFI ayarlarını denetleyin. Genel Bakış sayfasındaki Güvenlik türü bölümünü denetleyin.

6. Yükseltilmiş Güvenilen başlatma VM'sini başlatın ve başarıyla başlatıldığından emin olun ve RDP (Windows VM için) veya SSH (Linux VM için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Sonraki adımlar

(Önerilen) Yükseltme Sonrası, Bulut için Microsoft Defender kullanarak VM'nin sistem durumunu izlemek için Önyükleme bütünlüğü izlemeyi etkinleştirir.

Güvenilen başlatma hakkında daha fazla bilgi edinin ve sık sorulan soruları gözden geçirin