Compartir a través de


Introducción al inicio de confianza para máquinas virtuales de Azure Arc en Azure Local, versión 23H2

Se aplica a: Azure Local, versión 23H2

En este artículo se presenta el inicio de confianza para máquinas virtuales (VM) de Azure Arc en Azure Local, versión 23H2. Puede crear una máquina virtual de Arc de inicio seguro mediante Azure Portal o mediante Interfaz de la línea de comandos de Azure (CLI).

Introducción

El inicio seguro para máquinas virtuales de Azure Arc admite el arranque seguro, el módulo de plataforma segura (vTPM) y la transferencia de estado vTPM cuando una máquina virtual migra o conmuta por error dentro de un clúster.

El inicio seguro es un tipo de seguridad que se puede especificar al crear máquinas virtuales de Arc en Azure Local. Para más información, consulte Inicio seguro para máquinas virtuales de Azure Arc en Azure Local.

Funcionalidades y ventajas

Funcionalidad Ventaja
Arranque seguro Ayuda a reducir el riesgo de malware (rootkits) durante el arranque comprobando que los componentes de arranque están firmados por editores de confianza.
vTPM Versión virtualizada de un TPM de hardware que actúa como almacén dedicado para claves, certificados y secretos.
Transferencia de estado de vTPM Conserva vTPM cuando la máquina virtual migra o conmuta por error dentro de un clúster.
Seguridad basada en virtualización (VBS) El invitado en la máquina virtual puede crear regiones aisladas de memoria mediante la compatibilidad con VBS.

Nota:

La comprobación de la integridad del arranque invitado de la máquina virtual no está disponible.

Guía

  • IgvmAgent es un componente que se instala en todos los nodos del sistema local de Azure. Habilita la compatibilidad con máquinas virtuales aisladas, como máquinas virtuales de Arc de inicio seguro, por ejemplo.

  • Como parte de la creación de máquinas virtuales de Arc de inicio seguro, Hyper-V crea archivos de máquina virtual en disco para almacenar el estado de la máquina virtual. De forma predeterminada, el acceso a esos archivos de máquina virtual está restringido a los administradores del servidor host. Los administradores de host deben asegurarse de que la ubicación donde se almacenan los archivos de máquina virtual siempre permanece adecuadamente restringida al acceso.

  • El tráfico de red de migración en vivo de la máquina virtual no está cifrado. Se recomienda encarecidamente habilitar una tecnología de cifrado de capa de red, como IPsec, para proteger el tráfico de red de migración en vivo.

Imágenes de sistema operativo invitado

Se admiten las siguientes imágenes del sistema operativo invitado de máquina virtual de Azure Marketplace. La imagen de máquina virtual se puede crear mediante Azure Portal o la CLI de Azure.

Para más información, consulte Creación de una imagen de máquina virtual local de Azure mediante Azure Marketplace.

Nombre Publicador Oferta SKU Número de versión
Windows 11 Empresas multisesión, versión 22H2: Gen2 microsoftwindowsdesktop windows-11 win11-22h2-avd 22621.2428.231001
Windows 11 Empresas multisesión, versión 22H2 + Aplicaciones Microsoft 365 (versión preliminar): Gen2 microsoftwindowsdesktop windows11preview win11-22h2-avd-m365 22621.382.220810
Windows 11 Empresas multisesión, versión 21H2: Gen2 microsoftwindowsdesktop windows-11 win11-21h2-avd 22000.2538.231001
Windows 11 Empresas multisesión, versión 21H2 + Aplicaciones Microsoft 365- Gen2 microsoftwindowsdesktop office-365 win10-21h2-avd-m365-g2 19044.3570.231010

Nota:

No se admiten imágenes de invitado de máquina virtual obtenidas fuera de Azure Marketplace.

Pasos siguientes