Introduzione all'avvio attendibile per le macchine virtuali di Azure Arc nell'ambiente locale di Azure
Si applica a: Azure Locale 2311.2 e versioni successive
Questo articolo introduce il Trusted Launch per le macchine virtuali (VM) di Azure Arc su Azure Local. È possibile creare una macchina virtuale di avvio attendibile Arc usando il portale di Azure o l'interfaccia della riga di comando di Azure (CLI).
Introduzione
L'avvio attendibile per le macchine virtuali di Azure Arc consente l'avvio protetto, installa un dispositivo vTPM (Trusted Platform Module), trasferisce automaticamente lo stato vTPM quando la macchina virtuale esegue la migrazione o il failover a un altro computer all'interno del sistema e supporta la possibilità di attestare se la macchina virtuale è stata avviata in uno stato valido noto.
L'avvio attendibile è un tipo di sicurezza che può essere specificato durante la creazione di macchine virtuali Arc in Locale di Azure. Per ulteriori informazioni, vedere Trusted launch per le macchine virtuali di Azure Arc su Azure Local.
Funzionalità e vantaggi
| Capacità | Vantaggio |
|---|---|
| Avvio protetto | Consente di ridurre il rischio di malware (rootkit) durante l'avvio verificando che i componenti di avvio siano firmati da autori attendibili. |
| vTPM | Versione virtualizzata di un hardware TPM che funge da cassaforte dedicata per chiavi, certificati e segreti. |
| Trasferimento dello stato vTPM | Mantiene vTPM quando la macchina virtuale esegue la migrazione o il failover all'interno di un cluster. |
| Sicurezza basata su virtualizzazione (VBS) | Il guest nella macchina virtuale può creare aree isolate di memoria usando il supporto vbs. |
Nota
La verifica dell'integrità dell'avvio guest della macchina virtuale non è disponibile.
Indicazioni
IgvmAgent è un componente installato in tutti i computer nel sistema locale di Azure. Abilita il supporto per macchine virtuali isolate, ad esempio macchine virtuali Arc di avvio attendibile.
Come parte della creazione di una VM Arc attendibile, Hyper-V crea file della macchina virtuale in un percorso predefinito su disco per archiviare lo stato della macchina virtuale. Per impostazione predefinita, l'accesso a tali file di macchina virtuale è limitato solo agli amministratori del server host. Se si archiviano i file di macchina virtuale in un percorso diverso, è necessario assicurarsi che il percorso sia limitato solo agli amministratori del server host.
Il traffico di rete della migrazione in tempo reale della macchina virtuale non è crittografato. È consigliabile abilitare una tecnologia di crittografia a livello di rete, ad esempio IPsec, per proteggere il traffico di rete della migrazione in tempo reale.
Immagini del sistema operativo guest
Tutte le immagini di Windows 11 (ad eccezione delle SKU di Windows 11 24H2) e le immagini di Windows Server 2022 disponibili su Azure Marketplace, supportate dalle macchine virtuali di Azure Arc, sono supportate. Vedere Creare un'immagine di macchina virtuale locale di Azure usando immagini di Azure Marketplace per un elenco di tutte le immagini di Windows 11 supportate.
Nota
Le immagini guest delle macchine virtuali ottenute all'esterno di Azure Marketplace non sono supportate.
Considerazioni sul backup e sul ripristino di emergenza
Quando si mettono in uso macchine virtuali Arc di avvio attendibile, assicurarsi di comprendere le considerazioni chiave e le limitazioni seguenti relative al backup e al ripristino:
Differenze tra macchine virtuali Arc di avvio attendibile e macchine virtuali Arc standard: a differenza delle macchine virtuali Azure Arc standard, le macchine virtuali Arc di avvio attendibile usano una chiave di protezione dello stato guest della macchina virtuale per proteggere lo stato guest della macchina virtuale, incluso lo stato TPM virtuale (vTPM), mentre sono inattivi. La chiave di protezione della macchina virtuale viene archiviata in un insieme di credenziali delle chiavi locale nel sistema locale di Azure in cui risiede la macchina virtuale. Le macchine virtuali Arc di avvio attendibili archiviano lo stato guest della macchina virtuale in due file: stato guest della macchina virtuale e stato di runtime della macchina virtuale. Per eseguire il backup e il ripristino di una macchina virtuale di avvio attendibile, una soluzione di backup deve eseguire il backup e il ripristino di tutti i file di macchina virtuale, inclusi lo stato guest e i file di stato del runtime, nonché eseguire il backup e ripristinare la chiave di protezione della macchina virtuale.
supporto degli strumenti di backup e ripristino di emergenza: Attualmente, le macchine virtuali Arc con avvio attendibile non supportano strumenti di backup e ripristino di emergenza di proprietà di Microsoft o di terze parti, inclusi, ad esempio, Azure Backup, Azure Site Recovery, Veeam e Commvault. Se si verifica la necessità di spostare una TVM Arc di avvio attendibile in un cluster alternativo, consultare il processo manuale Backup manuale e ripristino di macchine virtuali Arc di avvio attendibile per gestire tutti i file necessari e la chiave di protezione VM per garantire che la VM possa essere ripristinata con successo.
Nota
Le macchine virtuali Arc di avvio attendibili ripristinate in un sistema locale di Azure alternativo non possono essere gestite dal piano di controllo di Azure.