Güvenilir başlatma etkin bir VM dağıtma
Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri
Güvenilir başlatma, 2. nesil VM'lerin güvenliğini artırmanın bir yoludur. Güvenilir başlatma, vTPM ve güvenli önyükleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar.
Önkoşullar
Henüz yapmadıysanız aboneliğinizi Bulut için Microsoft Defender eklemeniz gerekir. Bulut için Microsoft Defender, çeşitli Azure ve Karma kaynaklar için çok yararlı içgörüler sunan ücretsiz bir katmana sahiptir. Güvenilen başlatma, VM durumuyla ilgili birden çok öneriyi ortaya çıkarabilmek için Bulut için Defender yararlanıyor.
Aboneliğinize Azure ilkeleri girişimleri atayın. Bu ilke girişimlerine abonelik başına yalnızca bir kez atanmalıdır. Bu, desteklenen tüm VM'lere gerekli tüm uzantıları otomatik olarak yükler.
Güvenilen Başlatma özellikli VM'lerde Konuk Kanıtlama'yı etkinleştirmek için önkoşulları yapılandırın.
Makineleri Azure İzleyici ve Azure Güvenlik aracılarını sanal makinelere otomatik olarak yükleyecek şekilde yapılandırın.
Microsoft Azure Doğrulama trafiğine izin vermek için NSG Giden kurallarında AzureAttestation hizmet etiketine izin ver. Sanal ağ hizmet etiketlerine bakın.
Güvenlik duvarı ilkelerinin erişimine
*.attest.azure.net
izin olduğundan emin olun.
Dekont
Linux görüntüsü kullanıyorsanız ve VM'de çekirdek sürücülerinin imzalanmamış veya Linux dağıtım satıcısı tarafından imzalanmamış olabileceğini düşünüyorsanız, güvenli önyüklemeyi kapatmayı düşünebilirsiniz. Azure portalında , 'Güvenilen Başlatma Sanal Makineler' seçili olan 'Güvenlik türü' parametresi için 'Sanal makine oluştur' sayfasında, 'Güvenlik özelliklerini yapılandır' seçeneğine tıklayın ve 'Güvenli önyüklemeyi etkinleştir' onay kutusunun işaretini kaldırın. CLI, PowerShell veya SDK'da güvenli önyükleme parametresini false olarak ayarlayın.
Güvenilen başlatma VM'si dağıtma
Güvenilir başlatma etkin bir sanal makine oluşturun. Aşağıdaki seçeneklerden birini belirleyin:
- Azure Portal oturum açın.
- Sanal Makineler arayın.
- Hizmetler'in altında Sanal makineler'i seçin.
- Sanal makineler sayfasında Ekle'yi ve ardından Sanal makine'yi seçin.
- Proje ayrıntıları'nın altında doğru aboneliğin seçili olduğundan emin olun.
- Kaynak grubu'nun altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
- Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
- Güvenlik türü içinGüvenilen başlatma sanal makineleri'ne tıklayın. Bu, üç seçeneğin daha görünmesini sağlar: Güvenli önyükleme, vTPM ve Bütünlük İzleme . Dağıtımınız için uygun seçenekleri belirleyin. Güvenilen Başlatma Özellikli Güvenlik Özellikleri hakkında daha fazla bilgi edinmek için.
- Resim'in altında Güvenilen başlatma ile uyumlu Önerilen 2. Nesil görüntülerinden bir resim seçin. Liste için bkz . güvenilen başlatma.
Bahşiş
Açılan listede istediğiniz görüntünün 2. Nesil sürümünü görmüyorsanız Tüm görüntüleri göster'i seçin ve güvenlik türü filtresini Güvenilir Başlat olarak değiştirin.
- Güvenilir başlatmayı destekleyen bir VM boyutu seçin. Desteklenen boyutların listesine bakın.
- Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
- Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin
- Sanal makine oluştur sayfasında, dağıtmak üzere olduğunuz VM hakkındaki ayrıntıları görebilirsiniz. Doğrulama başarılı olarak gösterildikten sonra Oluştur'u seçin.
VM'nizin dağıtılması birkaç dakika sürer.
Azure İşlem Galerisi görüntüsünden Güvenilen başlatma VM'si dağıtma
Azure güvenilen başlatma sanal makineleri, Azure İşlem Galerisi kullanılarak özel görüntülerin oluşturulmasını ve paylaşılmasını destekler. Görüntünün güvenlik türlerine göre oluşturabileceğiniz iki tür görüntü vardır:
- ÖnerilenGüvenilen başlatma VM'si Desteklenen (
TrustedLaunchSupported
) görüntüler, kaynağın VM Konuk durumu bilgilerine sahip olmadığı görüntülerdir ve 2. Nesil VM'ler veya Güvenilen Başlatma VM'leri oluşturmak için kullanılabilir. - Güvenilir başlatma VM'leri (
TrustedLaunch
) görüntüleri, kaynağın genellikle VM Konuk durumu bilgilerine sahip olduğu görüntülerdir ve yalnızca Güvenilen Başlatma VM'leri oluşturmak için kullanılabilir.
Güvenilen başlatma VM'sinde desteklenen görüntüler
Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunchsupported
ayarlanmalıdır:
- 2. Nesil İşletim Sistemi Diski VHD
- 2. Nesil Yönetilen Görüntü
- 2. Nesil Galeri Görüntü Sürümü
Görüntü kaynağına VM Konuk Durumu bilgisi dahil edilmeyecektir.
Sonuçta elde edilen görüntü sürümü, Azure 2. Nesil VM'ler veya Güvenilen başlatma VM'leri oluşturmak için kullanılabilir.
Bu görüntüler Azure İşlem Galerisi - Doğrudan Paylaşılan Galeri ve Azure İşlem Galerisi - Topluluk Galerisi kullanılarak paylaşılabilir
Dekont
İşletim sistemi diski VHD,Yönetilen Görüntü veya Galeri Görüntüsü Sürümü, Güvenilen başlatma VM'leriyle uyumlu bir 2. Nesil görüntüsünden oluşturulmalıdır.
- Azure Portal oturum açın.
- Arama çubuğunda VM görüntüsü sürümlerini arayın ve seçin
- VM görüntüsü sürümleri sayfasında Oluştur'u seçin.
- VM görüntüsü sürümü oluştur sayfasında, Temel Bilgiler sekmesinde:
- Azure aboneliğini seçin.
- Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.
- Azure bölgesini seçin.
- Bir görüntü sürüm numarası girin.
- Kaynak için Depolama Bloblar (VHD) veya Yönetilen Görüntü ya da başka bir VM Görüntüsü Sürümü seçin
- bloblar (VHD) Depolama seçtiyseniz bir işletim sistemi diski VHD'sini (VM Konuk durumu olmadan) girin. 2. Nesil VHD kullandığınızdan emin olun.
- Yönetilen Görüntü'leri seçtiyseniz 2. Nesil VM'nin mevcut yönetilen görüntüsünü seçin.
- VM Görüntü Sürümü'ne seçtiyseniz, 2. Nesil VM'nin mevcut Galeri Görüntüsü Sürümünü seçin.
- Hedef Azure işlem galerisi için resmi paylaşmak için bir galeri seçin veya oluşturun.
- İşletim sistemi durumu için, kullanım örneğinize bağlı olarak Genelleştirilmiş veya Özelleştirilmiş'i seçin. Kaynak olarak yönetilen görüntü kullanıyorsanız her zaman Genelleştirilmiş'i seçin. Depolama blobu (VHD) kullanıyorsanız ve Genelleştirilmiş'i seçmek istiyorsanız, devam etmeden önce Linux VHD'sinigenelleştirme veya Windows VHD'yi genelleştirme adımlarını izleyin. Mevcut bir VM Görüntü Sürümü kullanıyorsanız kaynak VM görüntü tanımında kullanılanlara göre Genelleştirilmiş veya Özelleştirilmiş'i seçin.
- Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin.
- VM görüntü tanımı oluştur bölmesinde tanım için bir ad girin. Güvenlik türünün Trustedlaunch Supported olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini girin. Ardından Tamam'ı seçin.
- Çoğaltma sekmesinde, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri girin.
- Şifreleme sekmesinde, gerekirse SSE şifrelemesi ile ilgili bilgileri girin.
- Gözden geçir + Oluştur’u seçin.
- Yapılandırma başarıyla doğrulandıktan sonra oluştur'u seçerek görüntüyü oluşturmayı tamamlayın.
- Görüntü sürümü oluşturulduktan sonra VM Oluştur'u seçin.
- Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
- Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
- Güvenlik türü olarak Güvenilen başlatma sanal makineleri'ni seçin. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
- Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
- Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
- Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.
Güvenilen başlatma VM Görüntüleri
Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunch
ayarlanmalıdır:
- Güvenilir başlatma VM'si yakalama
- Yönetilen İşletim Sistemi diski
- Yönetilen işletim sistemi disk anlık görüntüsü
Sonuçta elde edilen görüntü sürümü yalnızca Azure Güvenilen başlatma VM'leri oluşturmak için kullanılabilir.
- Azure Portal oturum açın.
- Bir VM'den Azure İşlem Galerisi Görüntüsü oluşturmak için mevcut Bir Güvenilen başlatma VM'sini açın ve Yakala'yı seçin.
- Ardından gelen Görüntü Oluştur sayfasında, görüntünün vm görüntüsü sürümü olarak galeriyle paylaşılmasına izin verin. Yönetilen Görüntülerin Oluşturulması Güvenilen Başlatma VM'leri için desteklenmez.
- Yeni bir hedef Azure İşlem Galerisi oluşturun veya mevcut bir galeriyi seçin.
- İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, bu seçeneği belirlemeden önce makineye özgü bilgileri kaldırmak için VM'yi genelleştirdiğinizden emin olun. Güvenilen başlatma Windows VM'nizde Bitlocker tabanlı şifreleme etkinleştirildiyse, aynı işlemi genelleştiremeyebilirsiniz.
- Ad, yayımcı, teklif ve SKU ayrıntıları sağlayarak yeni bir görüntü tanımı oluşturun. Görüntü tanımının Güvenlik Türü zaten Güvenilen başlatma olarak ayarlanmalıdır.
- Görüntü sürümü için bir sürüm numarası sağlayın.
- Gerekirse çoğaltma seçeneklerini değiştirin.
- Görüntü Oluştur sayfasının en altında Gözden Geçir + Oluştur'u seçin ve doğrulama başarılı olarak gösterildiğinde Oluştur'u seçin.
- Görüntü sürümü oluşturulduktan sonra doğrudan görüntü sürümüne gidin. Alternatif olarak, görüntü tanımı aracılığıyla gerekli görüntü sürümüne gidebilirsiniz.
- VM görüntüsü sürümü sayfasında, Sanal makine oluştur sayfasına gitmek için + VM Oluştur'u seçin.
- Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin ve kaynak grubunuz için bir ad yazın veya açılan listeden mevcut bir kaynak grubunu seçin.
- Örnek ayrıntıları'nın altında sanal makine adı için bir ad yazın ve güvenilen başlatmayı destekleyen bir bölge seçin.
- Görüntü ve güvenlik türü seçili görüntü sürümüne göre zaten doldurulmuş. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
- Yönetici istrator hesap bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
- Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin
- Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
- Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.
Görüntü sürümünün kaynağı olarak (güvenilen başlatma VM'si yerine) yönetilen disk veya yönetilen disk anlık görüntüsü kullanmak istiyorsanız aşağıdaki adımları kullanın
- Portalda oturum açma
- VM Görüntü Sürümlerini arayın ve Oluştur'u seçin
- Abonelik, kaynak grubu, bölge ve görüntü sürüm numarasını belirtin
- Kaynağı Diskler ve/veya Anlık Görüntüler olarak seçin
- açılan listeden işletim sistemi diskini yönetilen disk veya yönetilen disk anlık görüntüsü olarak seçin
- Görüntüyü oluşturmak ve paylaşmak için bir Hedef Azure İşlem Galerisi seçin. Galeri yoksa yeni bir galeri oluşturun.
- İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, makineye özgü bilgileri kaldırmak için diski veya anlık görüntüyü genelleştirdiğinizden emin olun.
- Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin. Açılan pencerede bir görüntü tanımı adı seçin ve Güvenlik türünün Güvenilen başlatma olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini sağlayın ve Tamam'ı seçin.
- Çoğaltma sekmesi, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri ayarlamak için kullanılabilir.
- Şifreleme sekmesi, gerekirse SSE şifrelemesi ile ilgili bilgileri sağlamak için de kullanılabilir.
- Resmi oluşturmak için Gözden Geçir + oluştur sekmesinde Oluştur'u seçin
- Görüntü sürümü başarıyla oluşturulduktan sonra+ Sanal makine oluştur'u seçerek Sanal makine oluştur sayfasına gidin.
- Bu görüntü sürümünü kullanarak güvenilen başlatma VM'sini oluşturmak için daha önce belirtildiği gibi 12- 18. adımları izleyin
Ayarlarınızı doğrulama veya güncelleştirme
Güvenilir başlatma etkin olarak oluşturulan VM'ler için, Azure portalında VM'nin Genel Bakış sayfasını ziyaret ederek güvenilen başlatma yapılandırmasını görüntüleyebilirsiniz. Özellikler sekmesinde Güvenilen Başlatma özelliklerinin durumu gösterilir:
Güvenilen başlatma yapılandırmasını değiştirmek için soldaki menüde, Ayarlar bölümünün altında Yapılandırma'yı seçin. Güvenlik türü bölümünden Güvenli Önyükleme, vTPM ve Bütünlük İzleme'yi etkinleştirebilir veya devre dışı bırakabilirsiniz. İşiniz bittiğinde sayfanın üst kısmındaki Kaydet'i seçin.
VM çalışıyorsa, VM'nin yeniden başlatılacağını belirten bir ileti alırsınız. Evet'i seçin ve değişikliklerin etkili olması için VM'nin yeniden başlatılmasını bekleyin.
Sonraki adımlar
Güvenilir başlatma ve Önyükleme bütünlüğünü izleme VM'leri hakkında daha fazla bilgi edinin.