Abilitare l'avvio attendibile nelle macchine virtuali di Azure Gen2 esistenti

Si applica a: ✔️ macchina virtuale Linux ✔️ macchina virtuale Windows ✔️ macchina virtuale di seconda generazione

Azure Macchine virtuali supporta l'abilitazione dell'avvio attendibile di Azure nelle macchine virtuali di prima generazione di Azure esistenti eseguendo l'aggiornamento al tipo di sicurezza Avvio attendibile.

L'Avvio attendibile è un modo per abilitare la sicurezza di calcolo di base nelle VM di seconda generazione di Azure e protegge da tecniche di attacco avanzate e persistenti, ad esempio bootkit e rootkit. A tale scopo, combinare tecnologie dell'infrastruttura come avvio protetto, virtual Trusted Platform Module (vTPM) e il monitoraggio dell'integrità di avvio nella VM.

Importante

Il supporto per l'abilitazione dell'avvio attendibile nelle macchine virtuali di prima generazione di Azure esistenti è attualmente in anteprima. Vedere Aggiornare le macchine virtuali di Azure Gen1 esistenti e abilitare l'avvio attendibile.

Prerequisiti

La macchina virtuale di Azure è configurata con:

• Famiglia di dimensioni supportate per l'Avvio attendibile.
• Versione del sistema operativo supportata dall'avvio attendibile. Per le immagini o i dischi del sistema operativo personalizzati, l'immagine di base deve essere compatibile con l'Avvio attendibile.
• La macchina virtuale di Azure non usa funzionalità attualmente non supportate con l'avvio attendibile.
• Backup di Azure se abilitato per le VM deve essere configurato con i criteri di Backup avanzato. Il tipo di sicurezza Avvio attendibile non può essere abilitato per le macchine virtuali configurate con la protezione di backup dei criteri Standard.
  • È possibile eseguire la migrazione del backup di VM di Azure esistenti dal criterio Standard a quello Avanzato. Seguire la procedura contenuta in Eseguire la migrazione di backup di VM di Azure da criteri standard a criteri avanzati (anteprima).

Procedure consigliate

• Abilitare l'Avvio attendibile in una VM di seconda generazione di test e determinare se siano necessarie modifiche per soddisfare i prerequisiti prima di abilitare l'Avvio attendibile nelle VM di seconda generazione associate ai carichi di lavoro di produzione.
• Creare un punto di ripristino per le VM di seconda generazione di Azure associate ai carichi di lavoro di produzione prima di abilitare il tipo di sicurezza Avvio attendibile. È possibile usare i punti di ripristino per ricreare i dischi e la VM di seconda generazione con lo stato noto precedente.

Abilitare l'Avvio attendibile in una VM esistente

Nota

• Dopo aver abilitato l'Avvio attendibile, attualmente non è possibile eseguire il rollback delle VM al tipo di sicurezza Standard (configurazione di Avvio non attendibile).
• vTPM è abilitato per impostazione predefinita.
• È consigliabile abilitare l'avvio protetto, se non si usano driver o kernel non firmati personalizzati. Non è abilitata per impostazione predefinita. L'Avvio protetto mantiene l'integrità dell'avvio e abilita la sicurezza di base per le VM.

Portale

Abilitare l'Avvio attendibile in una VM di seconda generazione di Azure esistente usando il portale di Azure.

1. Accedere al portale di Azure.

2. Verificare che la generazione della VM sia V2 e selezionare Stop per la VM.

   

3. Nella pagina Panoramica all'interno delle proprietà della VM, in Tipo di sicurezza selezionare Standard. Verrà visualizzata la pagina Configurazione per la VM.

   

4. Nella sezione Tipo di sicurezza della pagina Configurazione selezionare l'elenco a discesa Tipo di sicurezza.

   

5. Nell'elenco a discesa selezionare Avvio attendibile. Selezionare le caselle di controllo per abilitare Avvio protetto e vTPM. Dopo aver apportato le modifiche, selezionare Salva.

   Nota

   • Le VM di seconda generazione create con Raccolta di calcolo di Azure (ACG), Immagine gestita, Disco del sistema operativo non possono essere aggiornate all'Avvio attendibile tramite il portale. Verificare che la versione del sistema operativo sia supportata per l'Avvio attendibile. Usare PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per eseguire l'aggiornamento.

   

6. Al termine dell'aggiornamento, chiudere la pagina Configurazione. Nella pagina Panoramica all'interno delle proprietà della VM, confermare le impostazioni di Tipo di sicurezza.

   

7. Avviare la VM di Avvio attendibile aggiornata. Verificare di poter accedere alla VM usando Remote Desktop Protocol (RDP) per le VM Windows o Secure Shell Protocol (SSH) per le VM Linux.

CLI

Seguire la procedura per abilitare l'Avvio attendibile in una VM di prima generazione di Azure esistente usando l'interfaccia della riga di comando di Azure.

Assicurarsi di aver installato la versione più recente dell'interfaccia della riga di comando di Azure e di aver effettuato l'accesso a un account Azure con az login.

1. Accedere alla sottoscrizione di Azure della VM.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Deallocare la VM.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Abilitare Avvio attendibile impostando --security-type su TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Convalidare l'output del comando precedente. Verificare che la configurazione securityProfile venga restituita con l'output del comando.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Avviare la VM.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Avviare la VM di Avvio attendibile aggiornata. Verificare che sia possibile accedere alla VM usando RDP (per le VM Windows) o SSH (per le VM Linux).

PowerShell

Seguire la procedura per abilitare l'Avvio attendibile in una VM di Azure Generation 2 esistente usando Azure PowerShell.

Assicurarsi di aver installato la versione più recente di Azure PowerShell e di aver effettuato l'accesso a un account Azure con Connect-AzAccount.

1. Accedere alla sottoscrizione di Azure della VM.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Deallocare la VM.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Abilitare Avvio attendibile impostando -SecurityType su TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Convalidare securityProfile nella configurazione aggiornata della VM.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Avviare la VM.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Avviare la VM di Avvio attendibile aggiornata. Verificare che sia possibile accedere alla VM usando RDP (per le VM Windows) o SSH (per le VM Linux).

Modello

Seguire la procedura per abilitare l'Avvio attendibile in una VM di Azure Generation 2 esistente usando un modello di ARM.

Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.

1. Esaminare il modello.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Modificare il file JSON parameters con le VM da aggiornare con il tipo di sicurezza TrustedLaunch.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definizione del file dei parametri

   Proprietà	Descrizione della proprietà	Valore di esempio del modello
   vmName	Nome della VM di seconda generazione di Azure.	myVm
   location	Posizione della VM di seconda generazione di Azure.	westus3
   secureBootEnabled	Abilitare l'Avvio protetto con tipo di sicurezza Avvio attendibile.	true

3. Deallocare tutte le VM di seconda generazione di Azure da aggiornare.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Eseguire la distribuzione del modello di ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Avviare la VM di Avvio attendibile aggiornata. Verificare che sia possibile accedere alla VM usando RDP (per le VM Windows) o SSH (per le VM Linux).

Raccomandazione di Azure Advisor

Azure Advisor popola una raccomandazione abilita l'eccellenza di base per l'avvio attendibile e la sicurezza moderna per le macchine virtuali di seconda generazione esistenti per adottare l'avvio attendibile, un comportamento di sicurezza superiore per le macchine virtuali di Azure senza costi aggiuntivi. Assicurarsi che la VM di seconda generazione disponga di tutti i prerequisiti per eseguire la migrazione all'Avvio attendibile, seguire tutte le procedure consigliate, tra cui la convalida dell'immagine del sistema operativo, le dimensioni della VM e la creazione di punti di ripristino. Per completare la raccomandazione di Advisor, seguire i passaggi descritti in Abilitare l'Avvio attendibile in una VM esistente per aggiornare il tipo di sicurezza delle VM e abilitare l'Avvio attendibile.

Cosa accade se sono presenti VM di seconda generazione, che non soddisfano i prerequisiti per l'Avvio attendibile?

Per una macchina virtuale di seconda generazione che non soddisfa i prerequisiti per l'aggiornamento all'avvio attendibile, vedere come soddisfare i prerequisiti. Ad esempio, se si usano dimensioni di macchina virtuale non supportate, cercare le dimensioni supportate di avvio attendibili equivalenti che supportano l'avvio attendibile.

Nota

Ignorare la raccomandazione se la VM Gen2 è configurata con famiglie di dimensioni di VM attualmente non supportate con Avvio attendibile come la serie MSv2.

Contenuto correlato

• Per abilitare l'avvio attendibile nelle nuove distribuzioni di macchine virtuali e set di scalabilità, vedere Deploy Trusted launch virtual machines (Distribuisci macchine virtuali di avvio attendibile per abilitare l'avvio attendibile nelle nuove distribuzioni di macchine virtuali e set di scalabilità).
• Vedere Monitoraggio dell'integrità di avvio per abilitare il monitoraggio dell'integrità dell'avvio e monitorare l'integrità della macchina virtuale usando Microsoft Defender per il cloud.
• Altre informazioni su Avvio attendibile e le domande frequenti.