Aracılığıyla paylaş


Güvenilen Başlatma etkin bir sanal makine dağıtma

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri.

Güvenilen Başlatma, 2. Nesil sanal makinelerin (VM) güvenliğini artırmanın bir yoludur. Güvenilir Başlatma, sanal Güvenilen Platform Modülü (vTPM) ve güvenli önyükleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar.

Önkoşullar

  • Henüz yapmadıysanız aboneliğinizi Bulut için Microsoft Defender eklemenizi öneririz. Bulut için Defender, çeşitli Azure ve karma kaynaklar için yararlı içgörüler sunan ücretsiz bir katmana sahiptir. Bulut için Defender olmadığında, Güvenilen Başlatma VM kullanıcıları VM'nin önyükleme bütünlüğünü izleyemez.

  • Aboneliğinize Azure ilkesi girişimleri atayın. Bu ilke girişimlerine abonelik başına yalnızca bir kez atanmalıdır. İlkeler, Güvenilen Başlatma VM'leri için dağıtıma ve denetime yardımcı olurken tüm desteklenen VM'lere gerekli tüm uzantıları otomatik olarak yükler.

    • Güvenilen Başlatma VM'lerinin yerleşik ilke girişimini yapılandırın.
    • Güvenilen Başlatma özellikli VM'lerde Konuk Kanıtlama'yı etkinleştirmek için önkoşulları yapılandırın.
    • Makineleri, VM'lere Azure İzleyici ve Azure Güvenlik aracılarını otomatik olarak yükleyecek şekilde yapılandırın.
  • Azure Doğrulama trafiğine izin vermek için ağ güvenlik grubu giden kurallarında hizmet etiketine AzureAttestation izin verin. Daha fazla bilgi için bkz . Sanal ağ hizmet etiketleri.

  • Güvenlik duvarı ilkelerinin erişimine *.attest.azure.netizin olduğundan emin olun.

Not

Linux görüntüsü kullanıyorsanız ve VM'nin imzalanmamış veya Linux dağıtım satıcısı tarafından imzalanmamış çekirdek sürücüleri olabileceğini düşünüyorsanız güvenli önyüklemeyi kapatmayı düşünebilirsiniz. Azure portalında, Güvenilen Başlatma Sanal Makineler seçili parametresi için Security type sanal makine oluştur sayfasında Güvenlik özelliklerini yapılandır'ı seçin ve Güvenli önyüklemeyi etkinleştir onay kutusunun işaretini kaldırın. Azure CLI, PowerShell veya SDK'da güvenli önyükleme parametresini olarak falseayarlayın.

Güvenilen Başlatma VM'si dağıtma

Güvenilir Başlatma etkin bir VM oluşturun. Aşağıdaki seçeneklerden birini seçin.

  1. Azure Portal’ında oturum açın.

  2. Sanal Makineler arayın.

  3. Hizmetler'in altında Sanal makineler'i seçin.

  4. Sanal makineler sayfasında Ekle'yi ve ardından Sanal makine'yi seçin.

  5. Proje ayrıntıları'nın altında doğru aboneliğin seçili olduğundan emin olun.

  6. Kaynak grubu'nun altında Yeni oluştur’u seçin. Kaynak grubunuz için bir ad girin veya açılan listeden mevcut bir kaynak grubunu seçin.

  7. Örnek ayrıntıları'nın altında VM adı için bir ad girin ve Güvenilen Başlatma'yı destekleyen bir bölge seçin.

  8. Güvenlik türü için Güvenilen başlatma sanal makineleri'ne tıklayın. Güvenli önyükleme, vTPM ve Bütünlük İzleme seçenekleri görüntülendiğinde dağıtımınız için uygun seçenekleri belirleyin. Daha fazla bilgi için bkz . Güvenilir Başlatma özellikli güvenlik özellikleri.

    Güvenilen Başlat seçeneklerini gösteren ekran görüntüsü.

  9. Resim'in altında, Güvenilen başlatma ile uyumlu Önerilen 2. Nesil görüntüler'den bir görüntü seçin. Liste için bkz . Güvenilen Başlatma.

    İpucu

    Açılan listede istediğiniz görüntünün 2. Nesil sürümünü görmüyorsanız Tüm resimleri göster'i seçin. Ardından Güvenlik türü filtresini Güvenilen Başlat olarak değiştirin.

  10. Güvenilen Başlat'ı destekleyen bir VM boyutu seçin. Daha fazla bilgi için desteklenen boyutların listesine bakın.

  11. Yönetici hesabı bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.

  12. Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin.

  13. Sanal makine oluştur sayfasında, dağıtmak üzere olduğunuz VM hakkındaki bilgileri görebilirsiniz. Doğrulama başarılı olarak gösterildikten sonra Oluştur'u seçin.

Güvenilen Başlatma seçenekleriyle doğrulama sayfasını gösteren sceenshot.

VM'nizin dağıtılması birkaç dakika sürer.

Azure Güvenilen Başlatma VM'leri , Azure İşlem Galerisi'ni kullanarak özel görüntülerin oluşturulmasını ve paylaşılmasını destekler. Görüntünün güvenlik türlerine göre oluşturabileceğiniz iki tür görüntü vardır:

Güvenilen Başlatma VM'sinde desteklenen görüntüler

Aşağıdaki görüntü kaynakları için, görüntü tanımındaki güvenlik türü olarak TrustedLaunchsupportedayarlanmalıdır:

  • 2. Nesil işletim sistemi (OS) disk VHD
  • 2. Nesil Yönetilen Görüntü
  • 2. Nesil Galeri Görüntüsü sürümü

Görüntü kaynağına VM Konuk Durumu bilgisi eklenemez.

Azure 2. Nesil VM'leri veya Güvenilen Başlatma VM'lerini oluşturmak için sonuçta elde edilen görüntü sürümünü kullanabilirsiniz.

Bu görüntüler Azure İşlem Galerisi - Doğrudan Paylaşılan Galeri ve Azure İşlem Galerisi - Topluluk Galerisi kullanılarak paylaşılabilir.

Not

İşletim sistemi diski VHD,Yönetilen Görüntü veya Galeri Görüntüsü sürümü, Güvenilen Başlatma VM'leriyle uyumlu bir 2. Nesil görüntüsünden oluşturulmalıdır.

  1. Azure Portal’ında oturum açın.
  2. Arama çubuğunda VM görüntüsü sürümlerini arayın ve seçin.
  3. VM görüntüsü sürümleri sayfasında Oluştur'u seçin.
  4. VM görüntüsü sürümü oluştur sayfasında, Temel Bilgiler sekmesinde:
    1. Azure aboneliğini seçin.
    2. Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun.
    3. Azure bölgesini seçin.
    4. Bir görüntü sürüm numarası girin.
    5. Kaynak için Depolama Blobları (VHD) veya Yönetilen Görüntü ya da başka bir VM Görüntüsü Sürümü'ne tıklayın.
    6. Depolama Blobları (VHD) seçeneğini belirlediyseniz bir işletim sistemi diski VHD'sini (VM Konuk durumu olmadan) girin. 2. Nesil VHD kullandığınızdan emin olun.
    7. Yönetilen Görüntü'leri seçtiyseniz, 2. Nesil VM'nin mevcut yönetilen görüntüsünü seçin.
    8. VM Görüntü Sürümü'ne seçtiyseniz, 2. Nesil VM'nin mevcut Galeri Görüntüsü sürümünü seçin.
    9. Hedef Azure işlem galerisi için resmi paylaşmak için bir galeri seçin veya oluşturun.
    10. İşletim sistemi durumu için, kullanım örneğinize bağlı olarak Genelleştirilmiş veya Özelleştirilmiş'i seçin. Kaynak olarak yönetilen görüntü kullanıyorsanız her zaman Genelleştirilmiş'i seçin. Depolama blobu (VHD) kullanıyorsanız ve Genelleştirilmiş'i seçmek istiyorsanız, devam etmeden önce Linux VHD'sini genelleştirme veya Windows VHD'yi genelleştirme adımlarını izleyin. Mevcut bir VM görüntüsü sürümü kullanıyorsanız kaynak VM görüntü tanımında kullanılanlara göre Genelleştirilmiş veya Özelleştirilmiş'i seçin.
    11. Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin.
    12. VM görüntü tanımı oluştur bölmesinde tanım için bir ad girin. Güvenlik türünün Trustedlaunch Supported olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini girin. Ardından Tamam'ı seçin.
  5. Çoğaltma sekmesinde, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri girin.
  6. Şifreleme sekmesinde, gerekirse SSE şifrelemesi ile ilgili bilgileri girin.
  7. Gözden geçir + Oluştur’u seçin.
  8. Yapılandırma başarıyla doğrulandıktan sonra oluştur'u seçerek görüntüyü oluşturmayı tamamlayın.
  9. Görüntü sürümü oluşturulduktan sonra VM Oluştur'u seçin.
  10. Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin. Kaynak grubunuz için bir ad girin veya açılan listeden mevcut bir kaynak grubunu seçin.
  11. Örnek ayrıntıları'nın altında VM adı için bir ad girin ve Güvenilen Başlatma'yı destekleyen bir bölge seçin.
  12. Güvenlik türü için Güvenilen başlatma sanal makineleri'ne tıklayın. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
  13. Yönetici hesabı bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
  14. Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
  15. Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.

Güvenilen Başlatma VM görüntüleri

Aşağıdaki görüntü kaynakları için görüntü tanımındaki güvenlik türü olarak TrustedLaunchayarlanmalıdır:

  • Güvenilen Başlatma VM'si yakalama
  • Yönetilen İşletim Sistemi diski
  • Yönetilen işletim sistemi disk anlık görüntüsü

Sonuçta elde edilen görüntü sürümünü kullanarak yalnızca Azure Güvenilen Başlatma VM'leri oluşturabilirsiniz.

  1. Azure Portal’ında oturum açın.
  2. Bir VM'den Azure İşlem Galerisi Görüntüsü oluşturmak için mevcut bir Güvenilen Başlatma VM'sini açın ve Yakala'yı seçin.
  3. Görüntü Oluştur sayfasında, görüntünün vm görüntüsü sürümü olarak galeriyle paylaşılmasına izin verin. Yönetilen görüntülerin oluşturulması Güvenilen Başlatma VM'leri için desteklenmez.
  4. Yeni bir hedef Azure İşlem Galerisi oluşturun veya mevcut bir galeriyi seçin.
  5. İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, bu seçeneği belirlemeden önce makineye özgü bilgileri kaldırmak için VM'yi genelleştirdiğinizden emin olun. Güvenilen Başlatma Windows VM'nizde Bitlocker tabanlı şifreleme etkinleştirildiyse, aynı işlemi genelleştiremeyebilirsiniz.
  6. Ad, yayımcı, teklif ve SKU ayrıntıları sağlayarak yeni bir görüntü tanımı oluşturun. Görüntü tanımının güvenlik türü zaten Güvenilen başlatma olarak ayarlanmalıdır.
  7. Görüntü sürümü için bir sürüm numarası sağlayın.
  8. Gerekirse çoğaltma seçeneklerini değiştirin.
  9. Resim Oluştur sayfasının alt kısmında Gözden Geçir + Oluştur'u seçin. Doğrulama başarılı olarak gösterildikten sonra Oluştur'u seçin.
  10. Görüntü sürümü oluşturulduktan sonra doğrudan görüntü sürümüne gidin. Alternatif olarak, görüntü tanımı aracılığıyla gerekli görüntü sürümüne gidebilirsiniz.
  11. SANAL makine görüntüsü sürümü sayfasında + VM Oluştur'u seçerek Sanal makine oluştur sayfasına gidin.
  12. Sanal makine oluştur sayfasında, Kaynak grubu altında Yeni oluştur'u seçin. Kaynak grubunuz için bir ad girin veya açılan listeden mevcut bir kaynak grubunu seçin.
  13. Örnek ayrıntıları'nın altında VM adı için bir ad girin ve Güvenilen Başlatma'yı destekleyen bir bölge seçin.
  14. Görüntü ve güvenlik türü seçili görüntü sürümüne göre zaten doldurulmuş. Güvenli Önyükleme ve vTPM onay kutuları varsayılan olarak etkindir.
  15. Yönetici hesabı bilgilerini ve ardından Gelen bağlantı noktası kurallarını doldurun.
  16. Sayfanın alt kısmında Gözden Geçir + Oluştur'u seçin.
  17. Doğrulama sayfasında VM'nin ayrıntılarını gözden geçirin.
  18. Doğrulama başarılı olduktan sonra OLUŞTUR'u seçerek VM oluşturmayı tamamlayın.

Görüntü sürümünün kaynağı olarak (Güvenilen Başlatma VM'si yerine) yönetilen disk veya yönetilen disk anlık görüntüsü kullanmak istiyorsanız, aşağıdaki adımları izleyin.

  1. Azure Portal’ında oturum açın.
  2. VM Görüntüsü Sürümleri için arama yapın ve Oluştur'u seçin.
  3. Abonelik, kaynak grubu, bölge ve görüntü sürüm numarasını belirtin.
  4. Kaynağı Diskler ve/veya Anlık Görüntüler olarak seçin.
  5. Açılan listeden işletim sistemi diskini yönetilen disk veya yönetilen disk anlık görüntüsü olarak seçin.
  6. Görüntüyü oluşturmak ve paylaşmak için bir Hedef Azure İşlem Galerisi seçin. Galeri yoksa yeni bir galeri oluşturun.
  7. İşletim sistemi durumunu Genelleştirilmiş veya Özelleştirilmiş olarak seçin. Genelleştirilmiş bir görüntü oluşturmak istiyorsanız, makineye özgü bilgileri kaldırmak için diski veya anlık görüntüyü genelleştirdiğinizden emin olun.
  8. Hedef VM Görüntü Tanımı için Yeni oluştur'u seçin. Açılan pencerede bir görüntü tanımı adı seçin ve Güvenlik türünün Güvenilen başlatma olarak ayarlandığından emin olun. Yayımcı, teklif ve SKU bilgilerini sağlayın ve Tamam'ı seçin.
  9. Çoğaltma sekmesi, gerekirse görüntü çoğaltması için çoğaltma sayısını ve hedef bölgeleri ayarlamak için kullanılabilir.
  10. Şifreleme sekmesi, gerekirse SSE şifrelemesi ile ilgili bilgileri sağlamak için de kullanılabilir.
  11. Resmi oluşturmak için Gözden Geçir + oluştur sekmesinde Oluştur'u seçin.
  12. Görüntü sürümü başarıyla oluşturulduktan sonra + VM Oluştur'u seçerek Sanal makine oluştur sayfasına gidin.
  13. Bu görüntü sürümünü kullanarak Güvenilen Başlatma VM'sini oluşturmak için daha önce belirtildiği gibi 12- 18. adımları izleyin.

Güvenilen Başlatma yerleşik ilkeleri

Kullanıcıların Güvenilen Başlatma'yı benimsemesine yardımcı olmak için, kaynak sahiplerinin Güvenilen Başlatma'yı benimsemesine yardımcı olmak için Azure ilkeleri kullanılabilir. Ana amaç, 1. Nesil ve Güvenilir Başlatma özellikli 2 VM'nin dönüştürülmesi için yardımcı olmaktır.

Sanal makinede Güvenilen başlatma etkin tek ilke denetimleri olmalıdır ve VM'nin Şu anda Güvenilen Başlatma güvenlik yapılandırmalarıyla etkinleştirilip etkinleştirilmediğini denetler. Güvenilen başlatma ilkesi için desteklenen Diskler ve işletim sistemi, daha önce oluşturulan VM'lerin Güvenilen Başlatma VM'sini dağıtmak için 2. Nesil işletim sistemi ve VM boyutuna sahip olup olmadığını denetler.

Bu iki ilke, Güvenilen Başlatma ilkesi girişimini yapmak için bir araya gelir. Bu girişim, atamaları ve yönetim kaynaklarını Güvenilir Başlatma yapılandırmasını içerecek şekilde basitleştirmek için çeşitli ilgili ilke tanımlarını gruplandırmanızı sağlar.

Daha fazla bilgi edinmek ve dağıtmaya başlamak için bkz . Güvenilen Başlatma yerleşik ilkeleri.


Ayarlarınızı doğrulama veya güncelleştirme

Güvenilir Başlatma etkin olarak oluşturulan VM'ler için, Azure portalında VM'nin Genel Bakış sayfasına giderek Güvenilen Başlatma yapılandırmasını görüntüleyebilirsiniz. Özellikler sekmesi, Güvenilen Başlatma özelliklerinin durumunu gösterir.

VM'nin Güvenilen Başlatma özelliklerini gösteren ekran görüntüsü.

Güvenilen Başlat yapılandırmasını değiştirmek için soldaki menüde, Ayarlar'ın altında Yapılandırma'yı seçin. Güvenlik türü bölümünde Güvenli Önyükleme, vTPM ve Bütünlük izlemeyi etkinleştirebilir veya devre dışı bırakabilirsiniz. İşiniz bittiğinde sayfanın üst kısmındaki Kaydet'i seçin.

Güvenilen Başlatma ayarlarını değiştirmek için onay kutularını gösteren ekran görüntüsü.

VM çalışıyorsa, VM'nin yeniden başlatılacağını belirten bir ileti alırsınız. Evet'i seçin ve değişikliklerin etkili olması için VM'nin yeniden başlatılmasını bekleyin.

Güvenilen Başlatma ve önyükleme bütünlüğünü izleme VM'leri hakkında daha fazla bilgi edinin.