Share via


Güvenilir başlatma etkin bir VM dağıtma

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Güvenilir başlatma, 2. nesil VM'lerin güvenliğini artırmanın bir yoludur. Güvenilir başlatma, vTPM ve güvenli önyükleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar.

Önkoşullar

  • Henüz yapmadıysanız aboneliğinizi Bulut için Microsoft Defender eklemeniz gerekir. Bulut için Microsoft Defender, çeşitli Azure ve Karma kaynaklar için çok yararlı içgörüler sunan ücretsiz bir katmana sahiptir. Güvenilen başlatma, VM durumuyla ilgili birden çok öneriyi ortaya çıkarabilmek için Bulut için Defender yararlanıyor.

  • Aboneliğinize Azure ilkeleri girişimleri atayın. Bu ilke girişimlerine abonelik başına yalnızca bir kez atanmalıdır. Bu, desteklenen tüm VM'lere gerekli tüm uzantıları otomatik olarak yükler.

    • Güvenilen Başlatma özellikli VM'lerde Konuk Kanıtlama'yı etkinleştirmek için önkoşulları yapılandırın.

    • Makineleri Azure İzleyici ve Azure Güvenlik aracılarını sanal makinelere otomatik olarak yükleyecek şekilde yapılandırın.

  • Microsoft Azure Doğrulama trafiğine izin vermek için NSG Giden kurallarında AzureAttestation hizmet etiketine izin ver. Sanal ağ hizmet etiketlerine bakın.

  • Güvenlik duvarı ilkelerinin erişimine *.attest.azure.netizin olduğundan emin olun.

Dekont

Linux görüntüsü kullanıyorsanız ve VM'de çekirdek sürücülerinin imzalanmamış veya Linux dağıtım satıcısı tarafından imzalanmamış olabileceğini düşünüyorsanız, güvenli önyüklemeyi kapatmayı düşünebilirsiniz. Azure portalında , 'Güvenilen Başlatma Sanal Makineler' seçili olan 'Güvenlik türü' parametresi için 'Sanal makine oluştur' sayfasında, 'Güvenlik özelliklerini yapılandır' seçeneğine tıklayın ve 'Güvenli önyüklemeyi etkinleştir' onay kutusunun işaretini kaldırın. CLI, PowerShell veya SDK'da güvenli önyükleme parametresini false olarak ayarlayın.

Güvenilen başlatma VM'si dağıtma

Güvenilir başlatma etkin bir sanal makine oluşturun. Aşağıdaki seçeneklerden birini belirleyin:

  1. Azure Portal oturum açın.
  2. Sanal Makineler arayın.
  3. Hizmetler'in altında Sanal makineler'i seçin.
  4. Sanal makineler sayfasında Ekle'yi ve ardından Sanal makine'yi seçin.
  5. Proje ayrıntıları'nın altında doğru aboneliğin seçili olduğundan emin olun.
  6. Kaynak grubu'nun altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
  7. Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
  8. Güvenlik türü içinGüvenilen başlatma sanal makineleri'ne tıklayın. Bu, üç seçeneğin daha görünmesini sağlar: Güvenli önyükleme, vTPM ve Bütünlük İzleme . Dağıtımınız için uygun seçenekleri belirleyin. Güvenilen Başlatma Özellikli Güvenlik Özellikleri hakkında daha fazla bilgi edinmek için. Screenshot showing the options for Trusted Launch.
  9. Resim'in altında Güvenilen başlatma ile uyumlu Önerilen 2. Nesil görüntülerinden bir resim seçin. Liste için bkz . güvenilen başlatma.

    Bahşiş

    Açılan listede istediğiniz görüntünün 2. Nesil sürümünü görmüyorsanız Tüm görüntüleri göster'i seçin ve güvenlik türü filtresini Güvenilir Başlat olarak değiştirin.

  10. Güvenilir başlatmayı destekleyen bir VM boyutu seçin. Desteklenen boyutların listesine bakın.
  11. Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
  12. Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin
  13. Sanal makine oluştur sayfasında, dağıtmak üzere olduğunuz VM hakkındaki ayrıntıları görebilirsiniz. Doğrulama başarılı olarak gösterildikten sonra Oluştur'u seçin.

Sceenshot of the validation page, showing the trusted launch options are included.

VM'nizin dağıtılması birkaç dakika sürer.

Azure güvenilen başlatma sanal makineleri, Azure İşlem Galerisi kullanılarak özel görüntülerin oluşturulmasını ve paylaşılmasını destekler. Görüntünün güvenlik türlerine göre oluşturabileceğiniz iki tür görüntü vardır:

Güvenilen başlatma VM'sinde desteklenen görüntüler

Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunchsupportedayarlanmalıdır:

  • 2. Nesil İşletim Sistemi Diski VHD
  • 2. Nesil Yönetilen Görüntü
  • 2. Nesil Galeri Görüntü Sürümü

Görüntü kaynağına VM Konuk Durumu bilgisi dahil edilmeyecektir.

Sonuçta elde edilen görüntü sürümü, Azure 2. Nesil VM'ler veya Güvenilen başlatma VM'leri oluşturmak için kullanılabilir.

Bu görüntüler Azure İşlem Galerisi - Doğrudan Paylaşılan Galeri ve Azure İşlem Galerisi - Topluluk Galerisi kullanılarak paylaşılabilir

Dekont

İşletim sistemi diski VHD,Yönetilen Görüntü veya Galeri Görüntüsü Sürümü, Güvenilen başlatma VM'leriyle uyumlu bir 2. Nesil görüntüsünden oluşturulmalıdır.

  1. Azure Portal oturum açın.
  2. Arama çubuğunda VM görüntüsü sürümlerini arayın ve seçin
  3. VM görüntüsü sürümleri sayfasında Oluştur'u seçin.
  4. VM görüntüsü sürümü oluştur sayfasında, Temel Bilgiler sekmesinde:
    1. Azure aboneliğini seçin.
    2. Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.
    3. Azure bölgesini seçin.
    4. Bir görüntü sürüm numarası girin.
    5. Kaynak için Depolama Bloblar (VHD) veya Yönetilen Görüntü ya da başka bir VM Görüntüsü Sürümü seçin
    6. bloblar (VHD) Depolama seçtiyseniz bir işletim sistemi diski VHD'sini (VM Konuk durumu olmadan) girin. 2. Nesil VHD kullandığınızdan emin olun.
    7. Yönetilen Görüntü'leri seçtiyseniz 2. Nesil VM'nin mevcut yönetilen görüntüsünü seçin.
    8. VM Görüntü Sürümü'ne seçtiyseniz, 2. Nesil VM'nin mevcut Galeri Görüntüsü Sürümünü seçin.
    9. Hedef Azure işlem galerisi için resmi paylaşmak için bir galeri seçin veya oluşturun.
    10. İşletim sistemi durumu için, kullanım örneğinize bağlı olarak Genelleştirilmiş veya Özelleştirilmiş'i seçin. Kaynak olarak yönetilen görüntü kullanıyorsanız her zaman Genelleştirilmiş'i seçin. Depolama blobu (VHD) kullanıyorsanız ve Genelleştirilmiş'i seçmek istiyorsanız, devam etmeden önce Linux VHD'sinigenelleştirme veya Windows VHD'yi genelleştirme adımlarını izleyin. Mevcut bir VM Görüntü Sürümü kullanıyorsanız kaynak VM görüntü tanımında kullanılanlara göre Genelleştirilmiş veya Özelleştirilmiş'i seçin.
    11. Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin.
    12. VM görüntü tanımı oluştur bölmesinde tanım için bir ad girin. Güvenlik türünün Trustedlaunch Supported olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini girin. Ardından Tamam'ı seçin.
  5. Çoğaltma sekmesinde, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri girin.
  6. Şifreleme sekmesinde, gerekirse SSE şifrelemesi ile ilgili bilgileri girin.
  7. Gözden geçir + Oluştur’u seçin.
  8. Yapılandırma başarıyla doğrulandıktan sonra oluştur'u seçerek görüntüyü oluşturmayı tamamlayın.
  9. Görüntü sürümü oluşturulduktan sonra VM Oluştur'u seçin.
  10. Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
  11. Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
  12. Güvenlik türü olarak Güvenilen başlatma sanal makineleri'ni seçin. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
  13. Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
  14. Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
  15. Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.

Güvenilen başlatma VM Görüntüleri

Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunchayarlanmalıdır:

  • Güvenilir başlatma VM'si yakalama
  • Yönetilen İşletim Sistemi diski
  • Yönetilen işletim sistemi disk anlık görüntüsü

Sonuçta elde edilen görüntü sürümü yalnızca Azure Güvenilen başlatma VM'leri oluşturmak için kullanılabilir.

  1. Azure Portal oturum açın.
  2. Bir VM'den Azure İşlem Galerisi Görüntüsü oluşturmak için mevcut Bir Güvenilen başlatma VM'sini açın ve Yakala'yı seçin.
  3. Ardından gelen Görüntü Oluştur sayfasında, görüntünün vm görüntüsü sürümü olarak galeriyle paylaşılmasına izin verin. Yönetilen Görüntülerin Oluşturulması Güvenilen Başlatma VM'leri için desteklenmez.
  4. Yeni bir hedef Azure İşlem Galerisi oluşturun veya mevcut bir galeriyi seçin.
  5. İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, bu seçeneği belirlemeden önce makineye özgü bilgileri kaldırmak için VM'yi genelleştirdiğinizden emin olun. Güvenilen başlatma Windows VM'nizde Bitlocker tabanlı şifreleme etkinleştirildiyse, aynı işlemi genelleştiremeyebilirsiniz.
  6. Ad, yayımcı, teklif ve SKU ayrıntıları sağlayarak yeni bir görüntü tanımı oluşturun. Görüntü tanımının Güvenlik Türü zaten Güvenilen başlatma olarak ayarlanmalıdır.
  7. Görüntü sürümü için bir sürüm numarası sağlayın.
  8. Gerekirse çoğaltma seçeneklerini değiştirin.
  9. Görüntü Oluştur sayfasının en altında Gözden Geçir + Oluştur'u seçin ve doğrulama başarılı olarak gösterildiğinde Oluştur'u seçin.
  10. Görüntü sürümü oluşturulduktan sonra doğrudan görüntü sürümüne gidin. Alternatif olarak, görüntü tanımı aracılığıyla gerekli görüntü sürümüne gidebilirsiniz.
  11. VM görüntüsü sürümü sayfasında, Sanal makine oluştur sayfasına gitmek için + VM Oluştur'u seçin.
  12. Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
  13. Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
  14. Görüntü ve güvenlik türü seçili görüntü sürümüne göre zaten doldurulmuş. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
  15. Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
  16. Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin
  17. Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
  18. Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.

Görüntü sürümünün kaynağı olarak (güvenilen başlatma VM'si yerine) yönetilen disk veya yönetilen disk anlık görüntüsü kullanmak istiyorsanız aşağıdaki adımları kullanın

  1. Portalda oturum açma
  2. VM Görüntü Sürümlerini arayın ve Oluştur'u seçin
  3. Abonelik, kaynak grubu, bölge ve görüntü sürüm numarasını belirtin
  4. Kaynağı Diskler ve/veya Anlık Görüntüler olarak seçin
  5. açılan listeden işletim sistemi diskini yönetilen disk veya yönetilen disk anlık görüntüsü olarak seçin
  6. Görüntüyü oluşturmak ve paylaşmak için bir Hedef Azure İşlem Galerisi seçin. Galeri yoksa yeni bir galeri oluşturun.
  7. İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, makineye özgü bilgileri kaldırmak için diski veya anlık görüntüyü genelleştirdiğinizden emin olun.
  8. Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin. Açılan pencerede bir görüntü tanımı adı seçin ve Güvenlik türünün Güvenilen başlatma olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini sağlayın ve Tamam'ı seçin.
  9. Çoğaltma sekmesi, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri ayarlamak için kullanılabilir.
  10. Şifreleme sekmesi, gerekirse SSE şifrelemesi ile ilgili bilgileri sağlamak için de kullanılabilir.
  11. Resmi oluşturmak için Gözden Geçir + oluştur sekmesinde Oluştur'u seçin
  12. Görüntü sürümü başarıyla oluşturulduktan sonra+ Sanal makine oluştur'u seçerek Sanal makine oluştur sayfasına gidin.
  13. Bu görüntü sürümünü kullanarak güvenilen başlatma VM'sini oluşturmak için daha önce belirtildiği gibi 12- 18. adımları izleyin

Ayarlarınızı doğrulama veya güncelleştirme

Güvenilir başlatma etkin olarak oluşturulan VM'ler için, Azure portalında VM'nin Genel Bakış sayfasını ziyaret ederek güvenilen başlatma yapılandırmasını görüntüleyebilirsiniz. Özellikler sekmesinde Güvenilen Başlatma özelliklerinin durumu gösterilir:

Screenshot of the Trusted Launch properties of the VM.

Güvenilen başlatma yapılandırmasını değiştirmek için soldaki menüde, Ayarlar bölümünün altında Yapılandırma'yı seçin. Güvenlik türü bölümünden Güvenli Önyükleme, vTPM ve Bütünlük İzleme'yi etkinleştirebilir veya devre dışı bırakabilirsiniz. İşiniz bittiğinde sayfanın üst kısmındaki Kaydet'i seçin.

Screenshot showing check boxes to change the Trusted Launch settings.

VM çalışıyorsa, VM'nin yeniden başlatılacağını belirten bir ileti alırsınız. Evet'i seçin ve değişikliklerin etkili olması için VM'nin yeniden başlatılmasını bekleyin.

Sonraki adımlar

Güvenilir başlatma ve Önyükleme bütünlüğünü izleme VM'leri hakkında daha fazla bilgi edinin.