Povolení důvěryhodného spuštění na existujících virtuálních počítačích Azure

Platí pro: ✔️ Virtuální ✔️ počítač s Windows generace 2 virtuálního počítače s Linuxem ✔️

Azure Virtual Machines podporuje povolení důvěryhodného spuštění Azure na existujících virtuálních počítačích Azure Generation 2 upgradem na typ zabezpečení důvěryhodného spuštění .

Důvěryhodným spuštěním je způsob, jak povolit základní výpočetní zabezpečení na virtuálních počítačích Azure Generation 2 a chránit před pokročilými a trvalými technikami útoku, jako jsou spouštěcí sady a rootkity. To dělá tak, že na virtuálním počítači zkombinujete technologie infrastruktury, jako je zabezpečené spouštění, virtuální čip vTPM (VTPM) a monitorování integrity spouštění.

Důležité

Podpora povolení důvěryhodného spuštění na existujících virtuálních počítačích Azure Generation 1 je aktuálně v privátní verzi Preview. Přístup k verzi Preview získáte pomocí registračního formuláře.

Požadavky

• Virtuální počítač Azure Generation 2 je nakonfigurovaný pomocí:
  • Důvěryhodná řada podporovaných velikostí spuštění
  • Image podporovaného operačního systému (OS) důvěryhodného spuštění U vlastních imagí operačního systému nebo disků by základní image měla být důvěryhodná spouštěcí verze.
• Virtuální počítač Azure Generation 2 v současné době nepoužívá funkce, které se v důvěryhodném spuštění nepodporují.
• Virtuální počítače Azure Generation 2 by se měly zastavit a uvolnit , než povolíte typ zabezpečení důvěryhodného spuštění.
• Pokud je služba Azure Backup povolená, měla by být pro virtuální počítače nakonfigurovaná pomocí zásad rozšířeného zálohování. Pro virtuální počítače generace 2 nakonfigurované s ochranou zálohování zásad standardu není možné povolit typ zabezpečení důvěryhodného spuštění.
  • Existující zálohování virtuálních počítačů Azure je možné migrovat ze standardu do rozšířených zásad. Postupujte podle kroků v tématu Migrace záloh virtuálních počítačů Azure ze standardu do rozšířených zásad (Preview).

Osvědčené postupy

• Na testovacím virtuálním počítači 2. generace povolte důvěryhodné spuštění a určete, jestli se před povolením důvěryhodného spuštění na virtuálních počítačích generace 2 přidružených k produkčním úlohám vyžadují nějaké změny.
• Než povolíte typ zabezpečení důvěryhodného spuštění, vytvořte body obnovení pro virtuální počítače Azure Generation 2 přidružené k produkčním úlohám. Pomocí bodů obnovení můžete znovu vytvořit disky a virtuální počítač generace 2 s předchozím dobře známým stavem.

Povolení důvěryhodného spuštění na existujícím virtuálním počítači

Poznámka:

• Po povolení důvěryhodného spuštění se aktuálně virtuální počítače nedají vrátit zpět do standardního typu zabezpečení (konfigurace nevěřihodného spuštění).
• Virtuální počítač vTPM je ve výchozím nastavení povolený.
• Pokud nepoužíváte vlastní nepodepsané jádro nebo ovladače, doporučujeme povolit zabezpečené spouštění. Ve výchozím nastavení není povolená. Zabezpečené spouštění zachovává integritu spouštění a umožňuje základní zabezpečení virtuálních počítačů.

Azure Portal

Povolení důvěryhodného spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí webu Azure Portal

1. Přihlaste se k portálu Azure.

2. Ověřte, že je generace virtuálního počítače V2 , a vyberte Zastavit pro virtuální počítač.

   

3. Na stránce Přehled ve vlastnostech virtuálního počítače v části Typ zabezpečení vyberte Standard. Otevře se stránka Konfigurace virtuálního počítače.

   

4. Na stránce Konfigurace v části Typ zabezpečení vyberte rozevírací seznam Typ zabezpečení.

   

5. V rozevíracím seznamu vyberte Důvěryhodné spuštění. Zaškrtnutím políček povolíte zabezpečené spouštění a vTPM. Po provedení změn vyberte Uložit.

   Poznámka:

   • Virtuální počítače generace 2 vytvořené pomocí Galerie výpočetních prostředků Azure (ACG), spravované image nebo disku s operačním systémem nejde upgradovat na důvěryhodné spuštění pomocí portálu. Ujistěte se, že je pro důvěryhodné spuštění podporovaná verze operačního systému. Ke spuštění upgradu použijte PowerShell, Azure CLI nebo šablonu Azure Resource Manageru (šablonu ARM).

   

6. Po úspěšném dokončení aktualizace zavřete stránku Konfigurace . Na stránce Přehled ve vlastnostech virtuálního počítače potvrďte nastavení typu zabezpečení.

   

7. Spusťte upgradovaný virtuální počítač důvěryhodného spuštění. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (Remote Desktop Protocol) pro virtuální počítače s Windows nebo pomocí protokolu SSH (Secure Shell Protocol) pro virtuální počítače s Linuxem.

Rozhraní příkazového řádku

Postupujte podle pokynů k povolení důvěryhodného spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí Azure CLI.

Ujistěte se, že nainstalujete nejnovější Azure CLI a jste přihlášení k účtu Azure pomocí příkazu az login.

1. Přihlaste se k předplatnému Azure virtuálního počítače.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Uvolněte virtuální počítač.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Povolit důvěryhodné spuštění nastavením na --security-type TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Ověřte výstup předchozího příkazu. Ujistěte se, že securityProfile se konfigurace vrátí s výstupem příkazu.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Spusťte virtuální počítač.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Spusťte upgradovaný virtuální počítač důvěryhodného spuštění. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (pro virtuální počítače s Windows) nebo SSH (pro virtuální počítače s Linuxem).

PowerShell

Pokud chcete povolit důvěryhodné spuštění na existujícím virtuálním počítači Azure Generation 2 pomocí Azure PowerShellu, postupujte podle pokynů.

Ujistěte se, že nainstalujete nejnovější Azure PowerShell a jste přihlášení k účtu Azure pomocí Connect-AzAccount.

1. Přihlaste se k předplatnému Azure virtuálního počítače.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Uvolněte virtuální počítač.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Povolit důvěryhodné spuštění nastavením na -SecurityType TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Ověřte securityProfile v aktualizované konfiguraci virtuálního počítače.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Spusťte virtuální počítač.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Spusťte upgradovaný virtuální počítač důvěryhodného spuštění. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (pro virtuální počítače s Windows) nebo SSH (pro virtuální počítače s Linuxem).

Šablona

Pomocí šablony ARM povolte důvěryhodné spuštění na existujícím virtuálním počítači Azure Generation 2.

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

1. Zkontrolujte šablonu.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. parameters Upravte soubor JSON pomocí virtuálních počítačů, které chcete aktualizovat pomocí TrustedLaunch typu zabezpečení.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definice souboru parametrů

   Vlastnost	Popis vlastnosti	Příklad hodnoty v šabloně
   vmName	Název virtuálního počítače Azure Generation 2	myVm
   location	Umístění virtuálního počítače Azure Generation 2	westus3
   secureBootEnabled	Povolte zabezpečené spouštění s typem zabezpečení Důvěryhodné spuštění.	true

3. Uvolněte všechny virtuální počítače Azure generace 2, které se mají aktualizovat.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Spusťte nasazení šablony ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Spusťte upgradovaný virtuální počítač důvěryhodného spuštění. Ověřte, že se k virtuálnímu počítači můžete přihlásit pomocí protokolu RDP (pro virtuální počítače s Windows) nebo SSH (pro virtuální počítače s Linuxem).

Doporučení Azure Advisoru

Azure Advisor naplní základní efektivitu důvěryhodných startů a moderní zabezpečení pro doporučení efektivity provozu stávající generace 2 pro stávající virtuální počítače generace 2, aby mohly přijmout důvěryhodné spuštění, vyšší stav zabezpečení pro virtuální počítače Azure bez dalších nákladů. Ujistěte se, že virtuální počítač generace 2 má všechny požadavky na migraci na důvěryhodné spuštění, postupujte podle všech osvědčených postupů, včetně ověření image operačního systému, velikosti virtuálního počítače a vytváření bodů obnovení. Pokud chcete, aby doporučení Advisoru bylo považováno za dokončené, postupujte podle kroků uvedených v části Povolit důvěryhodné spuštění na existujícím virtuálním počítači a upgradujte typ zabezpečení virtuálních počítačů a povolte důvěryhodné spuštění.

Co když existují virtuální počítače generace 2, které nevyhovují předpokladům pro důvěryhodné spuštění?

U virtuálního počítače 2. generace, který nesplňuje požadavky pro upgrade na důvěryhodné spuštění, se podívejte, jak splnit požadavky. Pokud například nepoužíváte velikost virtuálního počítače, vyhledejte ekvivalentní podporovanou velikost důvěryhodného spuštění, která podporuje důvěryhodné spuštění.

Poznámka:

Zavřete doporučení, pokud je virtuální počítač Gen2 nakonfigurovaný s rodinami velikostí virtuálních počítačů, které se aktuálně nepodporují při důvěryhodném spuštění, jako je řada MSv2.

Související obsah

• Povolte důvěryhodné spuštění pro nová nasazení virtuálních počítačů. Další podrobnosti najdete v tématu Nasazení důvěryhodných spouštěcích virtuálních počítačů.
• Po upgradech doporučujeme povolit monitorování integrity spouštění, abyste mohli monitorovat stav virtuálního počítače pomocí Microsoft Defenderu pro cloud.
• Přečtěte si další informace o důvěryhodném spuštění a projděte si nejčastější dotazy.