Vertrouwde start inschakelen op bestaande Azure-VM's

Van toepassing op: ✔️ Virtuele Linux-machine van windows-VM ✔️ ✔️ generatie 2

Azure Virtual Machines biedt ondersteuning voor het inschakelen van vertrouwde azure-lancering op bestaande virtuele Azure-machines (VM's) van generatie 2 door een upgrade uit te voeren naar het beveiligingstype Vertrouwde lancering .

Vertrouwde lancering is een manier om fundamentele rekenbeveiliging in te schakelen op Virtuele Machines van De 2e generatie van Azure en beschermt tegen geavanceerde en permanente aanvalstechnieken, zoals opstartkits en rootkits. Dit doet u door infrastructuurtechnologieën zoals Secure Boot, virtual Trusted Platform Module (vTPM) en bewaking van opstartintegriteit op uw VIRTUELE machine te combineren.

Belangrijk

Ondersteuning voor het inschakelen van vertrouwde lancering op bestaande virtuele Azure-machines van de 1e generatie bevindt zich momenteel in de beperkte preview-versie. U kunt toegang krijgen tot preview met behulp van het registratieformulier.

Vereisten

• Azure Generation 2 VM is geconfigureerd met:
  • Vertrouwde lancering ondersteunde groottefamilie.
  • Installatiekopieën van het ondersteunde besturingssysteem (OS) met vertrouwde start. Voor aangepaste installatiekopieën of schijven van het besturingssysteem moet de basisinstallatiekopieën vertrouwd worden gestart.
• Azure Generation 2 VM maakt momenteel geen gebruik van functies die momenteel niet worden ondersteund met vertrouwde lancering.
• Azure Generation 2-VM's moeten worden gestopt en de toewijzing ervan ongedaan worden gemaakt voordat u het beveiligingstype Vertrouwde start inschakelt.
• Azure Backup, indien ingeschakeld, voor VM's moet worden geconfigureerd met het verbeterde back-upbeleid. Het beveiligingstype Vertrouwde start kan niet worden ingeschakeld voor VM's van de tweede generatie die zijn geconfigureerd met standaardbeleidsback-upbeveiliging .
  • Bestaande Back-ups van Virtuele Azure-machines kunnen worden gemigreerd van standard naar het uitgebreide beleid. Volg de stappen in Azure VM-back-ups migreren van Standard naar Uitgebreid beleid (preview).

Aanbevolen procedures

• Schakel vertrouwd starten in op een test-VM van de tweede generatie en bepaal of er wijzigingen nodig zijn om te voldoen aan de vereisten voordat u Vertrouwde lancering inschakelt op vm's van de tweede generatie die zijn gekoppeld aan productieworkloads.
• Maak herstelpunten voor Azure Generation 2-VM's die zijn gekoppeld aan productieworkloads voordat u het beveiligingstype Vertrouwde start inschakelt. U kunt de herstelpunten gebruiken om de schijven en generatie 2-VM opnieuw te maken met de vorige bekende status.

Vertrouwde start inschakelen op een bestaande VM

Notitie

• Nadat u Vertrouwde start hebt ingeschakeld, kunnen vm's momenteel niet worden teruggedraaid naar het standaardbeveiligingstype (niet-vertrouwde startconfiguratie).
• vTPM is standaard ingeschakeld.
• U wordt aangeraden Beveiligd opstarten in te schakelen als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Deze functie is niet standaard ingeschakeld. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor VM's.

Portal

Schakel vertrouwd starten in op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van De Azure-portal.

1. Meld u aan bij het Azure-portaal.

2. Controleer of de generatie van de VIRTUELE machine V2 is en selecteer Stoppen voor de VIRTUELE machine.

   

3. Selecteer Standard op de pagina Overzicht in de VM-eigenschappen onder Beveiligingstype. De pagina Configuratie voor de VIRTUELE machine wordt geopend.

   

4. Selecteer op de pagina Configuratie onder de sectie Beveiligingstype de vervolgkeuzelijst Beveiligingstype .

   

5. Selecteer In de vervolgkeuzelijst de optie Vertrouwd starten. Schakel selectievakjes in om Beveiligd opstarten en vTPM in te schakelen. Nadat u de wijzigingen hebt aangebracht, selecteert u Opslaan.

   Notitie

   • Vm's van de tweede generatie die zijn gemaakt met behulp van Azure Compute Gallery (ACG), beheerde installatiekopieën of een besturingssysteemschijf, kunnen niet worden bijgewerkt naar Vertrouwde start met behulp van de portal. Zorg ervoor dat de versie van het besturingssysteem wordt ondersteund voor vertrouwd starten. Gebruik PowerShell, de Azure CLI of een ARM-sjabloon (Azure Resource Manager) om de upgrade uit te voeren.

   

6. Nadat de update is voltooid, sluit u de pagina Configuratie . Bevestig op de pagina Overzicht in de vm-eigenschappen de instellingen van het beveiligingstype .

   

7. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de virtuele machine met behulp van het Remote Desktop Protocol (RDP) voor Windows-VM's of het Secure Shell Protocol (SSH) voor Linux-VM's.

CLI

Volg de stappen voor het inschakelen van een vertrouwde start op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van de Azure CLI.

Zorg ervoor dat u de nieuwste Azure CLI installeert en bent aangemeld bij een Azure-account met az login.

1. Meld u aan bij het Azure-abonnement voor de VM.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. De toewijzing van de virtuele machine ongedaan maken.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Vertrouwde start inschakelen door in te stellen --security-type op TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Valideer de uitvoer van de vorige opdracht. Zorg ervoor dat de securityProfile configuratie wordt geretourneerd met de opdrachtuitvoer.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Start de virtuele machine.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Powershell

Volg de stappen om vertrouwd starten in te schakelen op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van Azure PowerShell.

Zorg ervoor dat u de nieuwste Azure PowerShell installeert en bent aangemeld bij een Azure-account met Connect-AzAccount.

1. Meld u aan bij het Azure-abonnement voor de VM.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. De toewijzing van de virtuele machine ongedaan maken.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Vertrouwde start inschakelen door in te stellen -SecurityType op TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Valideer securityProfile in de bijgewerkte VM-configuratie.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Start de virtuele machine.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Sjabloon

Volg de stappen om vertrouwd starten in te schakelen op een bestaande Virtuele Machine van de Tweede Generatie van Azure met behulp van een ARM-sjabloon.

Een Azure Resource Manager-sjabloon is een JSON-bestand (JavaScript Object Notation) dat de infrastructuur en configuratie voor uw project definieert. Voor de sjabloon is declaratieve syntaxis vereist. U beschrijft de beoogde implementatie zonder de reeks programmeeropdrachten te schrijven om de implementatie te maken.

1. Bekijk de sjabloon.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Bewerk het parameters JSON-bestand met VM's die moeten worden bijgewerkt met het TrustedLaunch beveiligingstype.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definitie van parameterbestand

   Eigenschappen	Beschrijving van eigenschap	Voorbeeldwaarde van sjabloon
   vmName	Naam van azure Generation 2 VM.	myVm
   locatie	Locatie van Azure Generation 2 VM.	westus3
   secureBootEnabled	Schakel Beveiligd opstarten in met het beveiligingstype Vertrouwde start.	true

3. Maak de toewijzing van alle Virtuele Azure-machines van de tweede generatie ongedaan die moeten worden bijgewerkt.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Voer de implementatie van de ARM-sjabloon uit.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Aanbeveling voor Azure Advisor

Azure Advisor vult een aanbeveling voor operationele topprestaties van vertrouwde lancering inschakelen en moderne beveiliging voor bestaande operationele uitmuntendheid van generatie 2 vm's voor bestaande vm's van de tweede generatie om vertrouwde lancering aan te nemen, een hogere beveiligingspostuur voor Azure-VM's zonder extra kosten. Zorg ervoor dat de VM van generatie 2 alle vereisten heeft om te migreren naar vertrouwde start, volg alle aanbevolen procedures, waaronder validatie van de installatiekopieën van het besturingssysteem, de VM-grootte en het maken van herstelpunten. Volg de stappen die worden beschreven in de inschakelen vertrouwde start op een bestaande VIRTUELE machine om het beveiligingstype voor virtuele machines te upgraden en vertrouwde start in te schakelen voor de advisor-aanbeveling.

Wat gebeurt er als er vm's van de tweede generatie zijn, die niet voldoen aan de vereisten voor vertrouwde lancering?

Voor een VM van de tweede generatie, die niet voldoet aan de vereisten voor het upgraden naar vertrouwde lancering, moet u kijken hoe u aan de vereisten voldoet. Als het gebruik van een grootte van een virtuele machine bijvoorbeeld niet wordt ondersteund, zoekt u naar een equivalente ondersteunde grootte voor vertrouwde start die ondersteuning biedt voor vertrouwde start.

Notitie

Sluit de aanbeveling als de virtuele Gen2-machine is geconfigureerd met VM-groottefamilies die momenteel niet worden ondersteund met vertrouwde lancering, zoals MSv2-serie.

Gerelateerde inhoud

• Vertrouwde start inschakelen voor nieuwe implementaties van virtuele machines. Zie Vertrouwde start-VM's implementeren voor meer informatie
• Na de upgrades raden we u aan om bewaking van opstartintegriteit in te schakelen om de status van de virtuele machine te bewaken met behulp van Microsoft Defender voor Cloud.
• Meer informatie over vertrouwd starten en veelgestelde vragen bekijken.