次の方法で共有


Azure Virtual Machines のトラステッド起動

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット

Azure では、第 2 世代仮想マシン (VM) のセキュリティを向上させるシームレスな方法として、トラステッド起動が提供されています。 トラステッド起動により、高度で永続的な攻撃手法から保護されます。 トラステッド起動は、個別に有効にできる、複数の連携するインフラストラクチャ テクノロジで構成されています。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。

重要

メリット

  • 検証済みのブート ローダー、オペレーティング システム (OS) カーネル、ドライバーを使用して VM を安全にデプロイします。
  • VM 内のキー、証明書、シークレットを安全に保護します。
  • ブート チェーン全体の整合性に関する分析情報と信頼が得られます。
  • ワークロードが信頼され、検証可能であることを確認します。

仮想マシンのサイズ

Type サポートされているサイズ ファミリ 現在サポートされていないサイズ ファミリ サポートされていないサイズ ファミリ
汎用 B シリーズDCsv2 シリーズDCsv3 シリーズDCdsv3 シリーズDv4- シリーズDsv4 シリーズDsv3 シリーズDsv2 シリーズDav4 シリーズDasv4 シリーズDdv4 シリーズDdsv4 シリーズDv5 シリーズDsv5 シリーズDdv5 シリーズDdsv5 シリーズDasv5 シリーズDadsv5 シリーズDlsv5 シリーズDldsv5 シリーズ Dpsv5 シリーズDpdsv5 シリーズDplsv5 シリーズDpldsv5 シリーズ Av2 シリーズDv2 シリーズDv3 シリーズ
コンピューティングの最適化 FX シリーズFsv2 シリーズ サポートされているすべてのサイズ。
メモリの最適化 Dsv2 シリーズEsv3 シリーズEv4 シリーズEsv4 シリーズEdv4 シリーズEdsv4 シリーズEav4 シリーズEasv4 シリーズEasv5 シリーズEadsv5 シリーズEbsv5 シリーズEbdsv5 シリーズEdv5 シリーズEdsv5 シリーズ Epsv5 シリーズEpdsv5 シリーズM シリーズMsv2 シリーズMdsv2 ミディアム メモリ シリーズMv2 シリーズ Ev3 シリーズ
ストレージ最適化 Lsv2 シリーズLsv3 シリーズLasv3 シリーズ サポートされているすべてのサイズ。
GPU NCv2 シリーズNCv3 シリーズNCasT4_v3 シリーズNVv3 シリーズNVv4 シリーズNDv2 シリーズNC_A100_v4 シリーズNVadsA10 v5 シリーズ NDasrA100_v4 シリーズNDm_A100_v4 シリーズ NC シリーズNV シリーズNP シリーズ
ハイ パフォーマンス コンピューティング HB シリーズHBv2 シリーズHBv3 シリーズHBv4 シリーズHC シリーズHX シリーズ サポートされているすべてのサイズ。

Note

  • "セキュア ブート対応 Windows VM への CUDA および GRID ドライバー" のインストールでは、追加の手順は必要ありません。
  • "セキュア ブート対応 Ubuntu VM への CUDA ドライバー" のインストールには、追加の手順が必要です。 詳細については、「Linux を実行している N シリーズ VM に NVIDIA GPU ドライバーをインストールする」を参照してください。 他の Linux VM に CUDA ドライバーをインストールするには、セキュア ブートを無効にする必要があります。
  • Linux VM では、"GRID ドライバー" をインストールするには、セキュア ブートを無効にする必要があります。
  • "サポートされていない" サイズ ファミリでは、第 2 世代 VM はサポートされていません。 トラステッド起動を有効にするために、VM サイズを同等の "サポートされるサイズ ファミリ" に変更します。

サポートされているオペレーティング システム

OS Version
Alma Linux 8.7、8.8、9.0
Azure Linux 1.0、2.0
Debian 11、12
Oracle Linux 8.3、8.4、8.5、8.6、8.7、8.8 LVM、9.0、9.1 LVM
RedHat Enterprise Linux 8.4、8.5、8.6、8.7、8.8、8.9、8.10、9.0、9.1、9.2、9.3、9.4、9.5
SUSE Enterprise Linux 15SP3、15SP4、15SP5
Ubuntu Server 18.04 LTS、20.04 LTS、22.04 LTS、23.04、23.10
Windows 10 Pro、Enterprise、Enterprise マルチセッション *
Windows 11 Pro、Enterprise、Enterprise マルチセッション *
Windows Server 2016、2019、2022、2022-Azure-Edition、2025、2025-Azure-Edition*

* この OS のバリエーションがサポートされています。

詳細

[地域]:

  • すべてのパブリック リージョン
  • すべての Azure Government リージョン
  • すべての Azure China リージョン

価格: トラステッド起動によって既存の VM の価格コストが増えることはありません。

サポートされていない機能

現時点では、次の VM 機能は、トラステッド起動ではサポートされていません。

セキュア ブート

トラステッド起動の中核を成すのは、VM のためのセキュア ブートです。 プラットフォームのファームウェアに実装されているセキュア ブートにより、マルウェアベースのルートキットやブート キットがインストールされるのを防ぎます。 セキュア ブートの動作により、署名されたオペレーティング システムとドライバーだけでが起動できることが保証されます。 それにより、VM 上のソフトウェア スタックに対する "信頼のルート" が確立されます。

セキュア ブートが有効になっている場合、すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) で、信頼できる発行元の署名が必要です。 セキュア ブートは、Windows と一部の Linux ディストリビューションの両方でサポートされています。 信頼できる発行元によってイメージが署名されていることをセキュア ブートで認証できない場合、VM は起動に失敗します。 詳細については、「セキュア ブート」を参照してください。

vTPM

トラステッド起動では、Azure VM 用の仮想トラステッド プラットフォーム モジュール (vTPM) も導入されています。 この仮想化バージョンのハードウェア トラステッド プラットフォーム モジュールは、TPM2.0 仕様に準拠しています。キーと測定のためのセキュリティで保護された専用のコンテナーとして機能します。

トラステッド起動から VM には、どの VM からも到達できないセキュリティ保護された環境で実行されている、独自の専用 TPM インスタンスが提供されます。 vTPM により、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) を測定することで、構成証明が有効になります。

トラステッド起動により、vTPM を使用して、クラウド経由でリモート構成証明が実行されます。 構成証明はプラットフォームの正常性チェックを有効にし、信頼ベースの決定を行う際に使用されます。 正常性チェックとして、トラステッド起動により、VM が正常に起動したことを暗号によって認定できます。

プロセスが失敗した場合、承認されていないコンポーネントが VM で実行されていることが原因の可能性があり、Microsoft Defender for Cloud によって整合性アラートが発行されます。 そのアラートには、整合性チェックに合格しなかったコンポーネントの詳細が含まれます。

仮想化ベースのセキュリティ

仮想化ベースのセキュリティ (VBS) により、ハイパーバイザーを使用して、セキュリティで保護され、分離されたメモリ領域が作成されます。 Windows により、これらの領域を使用して、脆弱性や悪用に対する保護が強化されたさまざまなセキュリティ ソリューションが実行されます。 トラステッド起動を使用すると、ハイパーバイザーコード整合性 (HVCI) と Windows Defender Credential Guard を有効にすることができます。

HVCI は、悪意のある、または検証されていないコードの注入や実行から Windows カーネル モード プロセスを保護する、システムの強力な軽減策です。 実行前にカーネル モードのドライバーとバイナリがチェックされ、署名されていないファイルがメモリに読み込まれるのを防ぎます。 チェックにより、読み込みが許可された後に実行可能コードを変更きないようにします。 VBS と HVCI の詳細については、仮想化ベースのセキュリティとハイパーバイザーによって適用されたコード整合性に関するページを参照してください。

トラステッド起動と VBS を使用すると、Windows Defender Credential Guard を有効にすることができます。 Credential Guard によってシークレットが分離されて保護されることで、特権のあるシステム ソフトウェアのみがそれらにアクセスできるようになります。 これは、Pass-the-Hash 攻撃など、シークレットや資格情報の盗難攻撃に対する不正アクセスを防ぐのに役立ちます。 詳細については、Credential Guard に関する記事を参照してください。

Microsoft Defender for Cloud の統合

トラステッド起動は、VM が正しく構成されるようにするために、Defender for Cloud と統合されています。 Defender for Cloud により、互換性のある VM が継続的に評価され、関連する推奨事項が発行されます。

  • セキュア ブートの有効化の推奨: Secure Boot の推奨事項は、トラステッド起動をサポートする VM にのみ適用されます。 セキュア ブートを有効にできるが無効になっている VM が、Defender for Cloud によって特定されます。 それを有効にするように、重大度が低の推奨事項が発行されます。

  • vTPM の有効化の推奨: VM で vTPM が有効になっている場合、Defender for Cloud ではそれを使用してゲストの構成証明を実行し、高度な脅威パターンを特定できます。 Defender for Cloud により、トラステッド起動がサポートされていて vTPM が無効になっている VM が特定されると、それを有効にするように重大度が低の推奨事項が発行されます。

  • ゲスト構成証明拡張機能のインストールに関する推奨事項: VM でセキュア ブートと vTPM が有効になっているが、ゲスト構成証明拡張機能がインストールされていない場合、Defender for Cloud によって、ゲスト構成証明拡張機能をインストールするように重要度が低の推奨事項が発行されます。 この拡張機能を使用すると、Defender for Cloud が、VM のブート整合性を事前に証明および監視できます。 ブート整合性がリモート構成証明によって証明されます。

  • 構成証明の正常性の評価またはブート整合性の監視: VM でセキュア ブートと vTPM が有効になっていて、構成証明拡張機能がインストールされている場合、Defender for Cloud では VM が正常に起動したことをリモートで検証できます。 この方法は、ブート整合性の監視と呼ばれます。 Defender for Cloud により、リモート構成証明の状態を示す評価が発行されます。

    VM がトラステッド起動を使用して適切に設定されている場合、Defender for Cloud では VM の正常性の問題を検出してアラートを発行できます。

  • VM 構成証明の失敗に関するアラート: Defender for Cloud により、VM での構成証明が定期的に実行されます。 構成証明は、VM が起動した後にも発生します。 構成証明が失敗した場合、重大度が中のアラートがトリガーされます。 VM の構成証明は、次の理由により失敗する可能性があります。

    • 構成証明の対象の情報 (ブート ログを含む) が、信頼されたベースラインから逸脱している。 何らかの逸脱は、信頼されていないモジュールが読み込まれ、OS が侵害される可能性があることを示している可能性があります。

    • 構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できなかった。 検証されていないオリジンは、マルウェアが存在し、vTPM へのトラフィックを傍受している可能性があることを示します。

      Note

      アラートは、vTPM が有効になっていて構成証明拡張機能がインストールされている VM で使用できます。 構成証明を成功させるには、セキュア ブートを有効にする必要があります。 セキュア ブートが無効になっている場合、構成証明は失敗します。 セキュア ブートを無効にする必要がある場合は、このアラートを抑制して擬陽性を回避することができます。

  • 信頼されていない Linux カーネル モジュールのアラート: セキュア ブートが有効になっているトラステッド起動では、カーネル ドライバーが検証に失敗し、読み込みが禁止されている場合でも、VM を起動できます。 このシナリオが発生した場合、Defender for Cloud によって重大度が低のアラートが発行されます。 信頼されていないドライバーが読み込まれいないため、すぐに脅威が発生することはありませんが、これらのイベントは調査する必要があります。 自問してみてください:

    • どのカーネル ドライバーが失敗したか。 このドライバーのことをよく知っていて、それを読み込むことを期待しているか。
    • これは想定しているドライバーの正確なバージョンか。 ドライバー バイナリは完全か。 サード パーティ製のドライバーの場合、ベンダーは OS 準拠テストに合格して署名を取得したか。

トラステッド起動 VM をデプロイする。