Azure 虛擬機器的可信啟動
適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集
Azure 提供可信啟動作為能流暢改善第 2 代 VM 安全性的方式。 可信啟動會防止進階和持續性攻擊技術侵擾。 可信啟動是由數種可獨立啟用的協調基礎結構技術組成。 每個技術都會針對複雜的威脅提供另一層防禦。
重要
- 您現在可以在現有的 Azure 第 2 代 VM上啟用受信任的啟動。 如需詳細資訊,請參閱 在現有的 VM 上啟用信任啟動
- 信任啟動需要建立新的虛擬機器擴展集, (VMSS) 。 您無法在一開始建立但未建立信任的 VMSS 上啟用受信任的啟動。
優點
- 使用已驗證的開機載入器、OS 核心和驅動程式,安全部署虛擬機器。
- 安全保護虛擬機器中的金鑰、憑證和密碼。
- 取得整個開機鏈完整性的深入解析和信賴度。
- 確定工作負載可信和可驗證。
虛擬機器大小
| 類型 | 支援的大小系列 | 目前不支援的大小系列 | 不支援的大小系列 |
|---|---|---|---|
| 一般用途 | B 系列、DCsv2 系列、DCsv3 系列、DCdsv3 系列、Dv4 系列、 Dsv4 系列、Dsv3 系列、Dsv2 系列、Dav4系列、Dasv4系列、Ddv4 系列、Ddsv4系列、Dv5系列、Dsv5系列、Ddv5系列、Ddsv5 系列、Ddsv5系列、Dadsv5 系列、Dadsv5 系列、Dlsv5 系列、Dldsv5 系列 | Dpsv5 系列、 Dpdsv5 系列、 Dplsv5 系列、 Dpldsv5 系列 | Av2 系列、 Dv2 系列、 Dv3 系列 |
| 計算最佳化 | FX 系列、 Fsv2 系列 | 支援的所有大小。 | 沒有 Gen1-Only 大小系列。 |
| 記憶體最佳化 | Dsv2 系列、Esv3 系列、Ev4 系列、Esv4系列、Edv4系列、Edsv4系列、Eav4 系列、Easv4系列、Easv5系列、Eadsv5系列、Eadsv5 系列、Ebdsv5 系列、Ebdsv5系列、Edv5 系列、Edv5 系列 | Epsv5 系列、 Epdsv5 系列、 M 系列、 Msv2 系列、 Mdsv2 中記憶體系列、 Mv2 系列 | Ev3 系列 |
| 儲存體最佳化 | Lsv2 系列、 Lsv3 系列、 Lasv3 系列 | 支援的所有大小。 | 沒有 Gen1-Only 大小系列。 |
| GPU | NCv2 系列、NCv3 系列、NCasT4_v3系列、NVv3 系列、NVv4 系列、NDv2 系列、NC_A100_v4系列、NVadsA10 v5系列 | NDasrA100_v4系列、 NDm_A100_v4系列、 ND 系列 | NC 系列、 NV 系列、 NP 系列 |
| 高效能計算 | HB 系列、 HBv2 系列、 HBv3 系列、 HBv4 系列、 HC 系列、 HX 系列 | 支援的所有大小。 | 沒有 Gen1-Only 大小系列。 |
注意
- 在已啟用安全開機的 Windows VM 上安裝 CUDA & GRID 驅動程式不需要任何其他步驟。
- 在 已啟用安全開機的 Ubuntu VM 上安裝 CUDA 驅動程式 需要在執行 Linux 的 N 系列 VM 上安裝 NVIDIA GPU 驅動程式中所述的其他步驟。 應停用安全開機,以在其他 Linux VM 上安裝 CUDA 驅動程式。
- 安裝 GRID 驅動程式需要停用 Linux VM 的安全開機。
- 不支援 的大小系列不支援 第 2 代 VM。 將 VM 大小變更為對等 支援的大小系列 ,以啟用信任的啟動。
支援的作業系統
| OS | 版本 |
|---|---|
| Azure Linux | 1.0, 2.0 |
| CentOS | 8.3, 8.4 |
| Debian | 11 |
| Oracle Linux | 8.3、8.4、8.5、8.6、9.0 LVM |
| RedHat Enterprise Linux | 8.3、8.4、8.5、8.6、8.7、8.8、9.0、9.1 LVM |
| SUSE Enterprise Linux | 15SP3、15SP4 |
| Ubuntu Server | 18.04 LTS、20.04 LTS、22.04 LTS |
| Windows 10 | 專業版、企業版、企業多會話 * |
| Windows 11 | 專業版、企業版、企業多會話 * |
| Windows Server | 2016, 2019, 2022 * |
| Window Server (Azure Edition) | 2022 |
* 支援此作業系統的變化。
其他資訊
地區:
- 所有公用區域
- 所有Azure Government區域
定價:現有 VM 定價無需額外費用。
不支援的功能
注意
信任啟動目前不支援下列虛擬機器功能。
- Azure Site Recovery
- Azure Automanage
- Ultra 磁碟
- 我們鼓勵受控映射 (客戶使用Azure 計算資源庫)
- 巢狀虛擬化 (大部分的 v5 VM 大小系列都支援)
安全開機
在可信啟動的根目錄是 VM 的安全開機。 此模式在平台韌體中實作,防止安裝惡意程式碼型的 Rootkit 和開機套件。 安全開機的運作方式是確保只有已簽署的作業系統和驅動程式可以開機。 安全開機會在 VM 上建立軟體堆疊的「信任根目錄」。 啟用安全開機後,所有 OS 開機元件 (開機載入器、核心、核心驅動程式) 都必須由信任的發行者簽署。 Windows 和精選 Linux 發行版本都支援安全開機。 如果安全開機無法驗證映像是信任的發行者簽署,即不允許 VM 開機。 如需詳細資訊,請參閱安全開機。
vTPM
可信啟動也採用適用於 Azure VM 的 vTPM。 這是硬體信賴平台模組的虛擬化版本,符合 TPM2.0 規格,並可作為金鑰和測量專用的保護保存庫。 可信啟動提供 VM 專用的 TPM 執行個體,在任何 VM 外部的安全環境中執行。 vTPM 可透過測量 VM 的整個開機鏈 (UEFI、OS、系統和驅動程式),啟用證明。
可信啟動使用 vTPM,透過雲端執行遠端證明。 這用於平台健康情況檢查,以及執行信任型決策。 進行健康情況檢查時,可信啟動可藉密碼編譯方式認證您的 VM 已正確開機。 如果程序失敗,原因可能是您的 VM 正在執行未經授權的元件,適用於雲端的 Microsoft Defender 會發出完整性警示。 警示包含無法通過完整性檢查之元件的詳細資料。
虛擬式安全性
虛擬化型安全性 (VBS) 使用 Hypervisor 建立安全且隔離的記憶體區域。 Windows 使用這些區域執行各種安全性解決方案,並加強防止漏洞和惡意探索的措施。 可信啟動讓您能啟用 Hypervisor 程式碼完整性 (HVCI) 和 Windows Defender Credential Guard。
HVCI 是強大的系統風險降低功能,可保護 Windows 核心模式程序,防止插入和執行惡意程式碼或未驗證程式碼。 執行程式碼前,HVCI 會檢查核心模式驅動程式和二進位檔案,防止未簽署的檔案載入記憶體。 這可確保允許載入檔案後,檔案無法修改這類可執行程式碼。 如需 VBS 和 HVCI 的詳細資訊,請參閱虛擬化型安全性 (VBS) 和 Hypervisor 加強程式碼完整性 (HVCI) (英文)。
透過可信啟動和 VBS,您可以啟用 Windows Defender Credential Guard。 此功能會隔離並保護密碼,所以只有特殊權限的系統軟體可以存取密碼。 這有助防止未經授權存取密碼和認證竊取攻擊,例如雜湊傳遞 (PtH) 攻擊。 如需詳細資訊,請參閱 Credential Guard (英文)。
適用於雲端的 Microsoft Defender 整合
信任的啟動會與適用于雲端的 Microsoft Defender 整合,以確保您的 VM 已正確設定。 雲端Microsoft Defender會持續評估相容的 VM 併發出相關建議。
- 啟用安全開機的建議:此建議僅適用於支援可信啟動的 VM。 雲端Microsoft Defender會識別可啟用安全開機但已停用的 VM。 然後發出低嚴重性建議,來啟用安全開機。
- 啟用 vTPM 的建議- 如果您的 VM 已啟用 vTPM,Microsoft Defender for Cloud 可以使用它來執行客體證明,並識別進階威脅模式。 如果雲端Microsoft Defender識別支援受信任啟動並停用 vTPM 的 VM,則會發出低嚴重性建議來啟用它。
- 安裝客體證明擴充功能的建議- 如果您的 VM 已啟用安全開機且已啟用 vTPM,但未安裝客體證明擴充功能,則雲端Microsoft Defender將會發出低嚴重性建議,以安裝客體證明擴充功能。 此擴充功能可讓雲端Microsoft Defender主動證明及監視 VM 的開機完整性。 透過遠端證明,證明開機完整性。
- 證明健康情況評估或開機完整性監視- 如果您的 VM 已啟用安全開機和 vTPM 且已安裝證明延伸模組,則雲端Microsoft Defender可以遠端驗證 VM 是否以狀況良好的方式開機。 這稱為開機完整性監視。 Microsoft Defender雲端發出評量,指出遠端證明的狀態。
如果您的 VM 已透過可信啟動正確設定,則適用於雲端的 Microsoft Defender 可以偵測並警示 VM 的健康情況問題。
VM 證明失敗的警示:適用於雲端的 Microsoft Defender 會定期在您的 VM 上執行證明。 這也會在 VM 開機後發生。 如果證明失敗,適用於雲端的 Microsoft Defender 會觸發中嚴重性警示。 VM 證明可能因為下列原因失敗:
- 證明的資訊 (包含開機記錄) 背離可信基準。 這可能表示已載入不信任的模組,而且 OS 可能遭入侵。
- 無法驗證證明引用源自證明 VM 的 vTPM。 這可能表示存在惡意程式碼,而且可能攔截 vTPM 的流量。
注意
此警示適用於已啟用 vTPM 並安裝證明延伸模組的 VM。 您必須啟用安全開機才能通過證明。 如果停用安全開機,證明會失敗。 如果您必須停用安全開機,請隱藏此警示避免誤判。
未受信任的 Linux 核心模組警示: 針對已啟用安全開機的受信任啟動,即使核心驅動程式驗證失敗且禁止載入,VM 還是可以開機。 如果發生這種情況,適用於雲端的 Microsoft Defender 會發出低嚴重性警示。 雖然沒有立即的威脅,但鑑於不受信任的驅動程式並未載入,故仍請調查這些事件。 請考慮下列事項:
- 哪一個核心驅動程式失敗? 我熟悉並預期載入此驅動程式嗎?
- 此驅動程式確實是我預期的版本嗎? 驅動程式二進位檔案是否保持不變? 如果這是協力廠商驅動程式,廠商是否通過 OS 規範測試並取得簽署?
後續步驟
部署可信啟動 VM。