Freigeben über


Einführung in den vertrauenswürdigen Start für Azure Arc-VMs auf Azure Local, Version 23H2

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird der vertrauenswürdige Start für virtuelle Azure Arc-Computer (VMs) auf Azure Local, Version 23H2, eingeführt. Mit Azure-Portal oder mithilfe von Azure-Befehlszeilenschnittstelle (CLI) können Sie einen vertrauenswürdigen Arc-Start erstellen.

Einführung

Der vertrauenswürdige Start für Azure Arc-VMs unterstützt den sicheren Start, das virtuelle Trusted Platform Module (vTPM) und die vTPM-Statusübertragung, wenn ein virtueller Computer innerhalb eines Clusters migriert oder fehlschlägt.

Der vertrauenswürdige Start ist ein Sicherheitstyp, der beim Erstellen von Arc-VMs auf Azure Local angegeben werden kann. Weitere Informationen finden Sie unter "Vertrauenswürdiger Start" für Azure Arc-VMs auf Azure Local.

Funktionen und Vorteile

Funktion Vorteil
Sicherer Start Trägt dazu bei, das Risiko von Schadsoftware (Rootkits) während des Starts zu verringern, indem sichergestellt wird, dass Startkomponenten von vertrauenswürdigen Herausgebern signiert sind.
vTPM Virtualisierte Version eines Hardware-TPM, das als dedizierter Tresor für Schlüssel, Zertifikate und geheime Schlüssel dient.
vTPM-Statusübertragung Behält vTPM bei, wenn die VM innerhalb eines Clusters migriert oder fehlschlägt.
Virtualisierungsbasierte Sicherheit (VBS) Gast in der VM kann isolierte Speicherregionen mithilfe der VBS-Unterstützung erstellen.

Hinweis

Die Überprüfung der VM-Gaststartintegrität ist nicht verfügbar.

Leitfaden

  • IgvmAgent ist eine Komponente, die auf allen Knoten im lokalen Azure-System installiert ist. Sie ermöglicht beispielsweise die Unterstützung für isolierte VMs wie vertrauenswürdige Start arc-VMs.

  • Im Rahmen der Erstellung des vertrauenswürdigen Starts von Arc VM erstellt Hyper-V VM-Dateien auf dem Datenträger, um den VM-Zustand zu speichern. Standardmäßig ist der Zugriff auf diese VM-Dateien auf Hostserveradministratoren beschränkt. Hostadministratoren müssen sicherstellen, dass der Speicherort, an dem diese VM-Dateien gespeichert sind, immer entsprechend eingeschränkt bleibt.

  • Vm Live Migration Netzwerkdatenverkehr ist nicht verschlüsselt. Es wird dringend empfohlen, eine Verschlüsselungstechnologie auf Netzwerkebene wie IPsec zum Schutz des Livemigrationsnetzwerkdatenverkehrs zu aktivieren.

Gastbetriebssystemimages

Die folgenden VM-Gastbetriebssystemimages von Azure Marketplace werden unterstützt. Das VM-Image kann mit Azure-Portal oder Azure CLI erstellt werden.

Weitere Informationen finden Sie unter Create Azure Local VM image using Azure Marketplace.

Name Herausgeber Angebot SKU Versionsnummer
Windows 11 Enterprise Multisitzung, Version 22H2 – Gen2 microsoftwindowsdesktop windows-11 win11-22h2-avd 22621.2428.231001
Windows 11 Enterprise Multisitzung, Version 22H2 + Microsoft 365 Apps (Vorschau) – Gen2 microsoftwindowsdesktop windows11preview win11-22h2-avd-m365 22621.382.220810
Windows 11 Enterprise Multisitzung, Version 21H2 – Gen2 microsoftwindowsdesktop windows-11 win11-21h2-avd 22000.2538.231001
Windows 11 Enterprise Multisitzung, Version 21H2 + Microsoft 365 Apps – Gen2 microsoftwindowsdesktop office-365 win10-21h2-avd-m365-g2 19044.3570.231010

Hinweis

VM-Gastimages, die außerhalb von Azure Marketplace abgerufen wurden, werden nicht unterstützt.

Nächste Schritte