Inicio seguro para máquinas virtuales de Azure
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes
Azure ofrece inicio seguro como una manera sin problemas de mejorar la seguridad de las máquinas virtuales (VM) de Generación 2. El inicio seguro protege contra técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de forma independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.
Importante
- Inicio seguro está seleccionado como el estado predeterminado para las máquinas virtuales de Azure recién creadas. Si la nueva máquina virtual requiere características que no son compatibles con el inicio de confianza, consulte las preguntas más frecuentes de inicio seguro.
- Lasmáquinas virtuales (VM) existentes pueden tener habilitado el inicio seguro después de crearse. Para obtener más información, consulte Habilitar inicio seguro en máquinas virtuales existentes.
- Los conjuntos de escalado de máquinas virtuales (VMSS ) existentes pueden tener habilitado el inicio de confianza después de crearse. Para obtener más información, consulte Habilitar inicio seguro en conjuntos de escalado existentes.
Ventajas
- Implemente máquinas virtuales de forma segura con cargadores de arranque comprobados, kernels del sistema operativo (OS) y controladores.
- Proteja de forma segura las claves, los certificados y los secretos en las máquinas virtuales.
- Obtenga información y confianza de la integridad de toda la cadena de arranque.
- Asegúrese de que las cargas de trabajo son de confianza y verificables.
Tamaños de máquinas virtuales
Nota:
- La instalación de los controladores de CUDA & GRID en máquinas virtuales Windows habilitadas para arranque seguro no requiere ningún paso adicional.
- La instalación del controlador CUDA en máquinas virtuales Ubuntu habilitadas para arranque seguro requiere pasos adicionales. Para obtener más información, consulte Instalación de controladores de GPU de NVIDIA en máquinas virtuales de la serie N que ejecutan Linux. El arranque seguro debe deshabilitarse para instalar controladores CUDA en otras máquinas virtuales Linux.
- La instalación del controlador GRID requiere que se deshabilite el arranque seguro para las máquinas virtuales Linux.
- No se admiten familias de tamaño no admiten máquinas virtualesGeneración 2. Cambie el tamaño de la máquina virtual a familias de tamaño equivalentes admitidos para habilitar el inicio seguro.
Sistemas operativos admitidos
SO | Versión |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
Red Hat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Se admiten variaciones de este sistema operativo.
Más información
Regiones:
- Todas las regiones públicas
- Todas las regiones de Azure Government
- Todas las regiones de Azure China
Precios: el inicio seguro no aumenta los costos de precios de las máquinas virtuales existentes.
Características no admitidas
Actualmente, las siguientes características de máquina virtual no se admiten con el inicio seguro:
- Azure Site Recovery (disponible con carácter general para Windows).
- Imagen administrada (se recomienda a los clientes que usen Azure Compute Gallery).
- Virtualización anidada (se admiten familias de tamaño de máquina virtual v5).
- Hibernación de máquinas virtuales Linux
Arranque seguro
En la raíz del inicio seguro es arranque seguro para la máquina virtual. El arranque seguro, que se implementa en el firmware de la plataforma, protege contra la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual.
Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) requieren la firma de editores de confianza. Tanto Windows como las distribuciones de Linux seleccionadas admiten el arranque seguro. Si el arranque seguro no puede autenticar que la imagen está firmada por un publicador de confianza, la máquina virtual no se puede iniciar. Para obtener más información, consulta Arranque seguro.
vTPM
El inicio seguro también presenta el módulo de plataforma segura virtual (vTPM) para las máquinas virtuales de Azure. Esta versión virtualizada de un Módulo de plataforma segura hardware es compatible con la especificación TPM2.0. Sirve como almacén seguro dedicado para claves y medidas.
El inicio seguro proporciona a la máquina virtual su propia instancia de TPM dedicada que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).
Inicio seguro usa vTPM para realizar la atestación remota a través de la nube. Las atestaciones habilitan las comprobaciones de estado de la plataforma y se usan para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente.
Si hubiera un error en el proceso, posiblemente porque la máquina virtual ejecutase un componente no autorizado, Microsoft Defender for Cloud emitirá alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.
Seguridad de virtualización
Seguridad basada en virtualización (VBS) usa el hipervisor para crear una región segura y aislada de memoria. Windows usa estas regiones para ejecutar varias soluciones de seguridad con mayor protección contra vulnerabilidades y vulnerabilidades de seguridad malintencionadas. El inicio seguro le permite habilitar la integridad del código de hipervisor (HVCI) y Credential Guard de Windows Defender.
HVCI es una mitigación del sistema eficaz que protege los procesos del modo kernel de Windows contra la inyección y la ejecución de código malintencionado o no comprobado. Comprueba los controladores y los archivos binarios del modo kernel antes de que se ejecuten, evitando que los archivos sin firmar se carguen en la memoria. Compruebe que el código ejecutable no se puede modificar después de poder cargarlo. Para obtener más información sobre VBS y HVCI, consulte Seguridad basada en virtualización e integridad de código aplicada por hipervisor.
Con inicio seguro y VBS, puede habilitar Credential Guard de Windows Defender. Credential Guard aísla y protege los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Ayuda a evitar el acceso no autorizado a secretos y ataques de robo de credenciales, como ataques pass-the-hash. Para obtener más información, consulte Credential Guard.
Integración de Microsoft Defender para la nube
El inicio seguro se integra con Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente. Defender for Cloud evalúa continuamente las máquinas virtuales compatibles y emite recomendaciones pertinentes:
Recomendación para habilitar lade arranque seguro: la recomendación de arranque seguro solo se aplica a las máquinas virtuales que admiten el inicio seguro. Defender for Cloud identifica las máquinas virtuales que pueden habilitar el arranque seguro, pero que se han deshabilitado. Emite una recomendación de gravedad baja para habilitarla.
Recomendación para habilitar vTPM: si la máquina virtual tiene vTPM habilitado, Defender for Cloud puede usarla para realizar la atestación de invitado e identificar patrones de amenazas avanzadas. Si Defender for Cloud identifica las máquinas virtuales que admiten el inicio seguro y tienen vTPM deshabilitado, emite una recomendación de gravedad baja para habilitarla.
Recomendación para instalar la extensión de atestación de invitado: si la máquina virtual tiene habilitado el arranque seguro y vTPM, pero no tiene instalada la extensión de atestación de invitado, Defender for Cloud emite recomendaciones de baja gravedad para instalar la extensión de atestación de invitado en ella. Esta extensión permite a Defender for Cloud atestiguar y supervisar proactivamente la integridad de arranque de las máquinas virtuales. La integridad del arranque se atestigua mediante la atestación remota.
Evaluación del estado de atestación o supervisión de la integridad de arranque: si la máquina virtual tiene habilitado el arranque seguro y vTPM y la extensión de atestación instalada, Defender for Cloud puede validar de forma remota que la máquina virtual se ha arrancado de forma correcta. Esta práctica se conoce como supervisión de la integridad de arranque. Defender for Cloud emite una evaluación que indica el estado de la atestación remota.
Si las máquinas virtuales están configuradas correctamente con el inicio seguro, Defender for Cloud puede detectar y avisarle de problemas de mantenimiento de la máquina virtual.
Error de atestación de máquina virtual: Defender for Cloud realiza periódicamente la atestación en las máquinas virtuales. Esta atestación también ocurre después de que la máquina virtual se arranque. Si se produce un error en la atestación, se desencadena una alerta de gravedad media. La atestación de la máquina virtual puede producir un error por las razones siguientes:
La información atestada, que incluye un registro de arranque, se desvía de una línea base de confianza. Cualquier desviación puede indicar que se han cargado módulos que no son de confianza y que el sistema operativo podría estar en peligro.
No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Un origen no comprobado puede indicar que el malware está presente y podría interceptar el tráfico al vTPM.
Nota:
Las alertas están disponibles para las máquinas virtuales con vTPM habilitado y la extensión de atestación instalada. El arranque seguro debe estar habilitado para que se supere la atestación. Se produce un error en la atestación si el arranque seguro está deshabilitado. Si debe deshabilitar el arranque seguro, puede suprimir esta alerta para evitar falsos positivos.
Alerta del módulo de kernel de Linux que no es de confianza: para inicio seguro con arranque seguro habilitado, es posible que una máquina virtual arranque incluso si se produce un error en la validación de un controlador de kernel y está prohibido cargar. Si se produce este escenario, Defender for Cloud emite alertas de baja gravedad. Aunque no hay ninguna amenaza inmediata, porque no se ha cargado el controlador que no es de confianza, estos eventos deben investigarse. Pregúntese:
- ¿Qué controlador de kernel produjo un error? ¿Estoy familiarizado con este controlador y espero que se cargue?
- ¿Es esta la versión exacta del controlador que se espera? ¿Los archivos binarios del controlador están intactos? Si se trata de un controlador de terceros, ¿ha superado el proveedor las pruebas de cumplimiento del sistema operativo para que se firmen?
Contenido relacionado
Implementación de unaMáquina virtual de inicio seguro.