Compartilhar via


Introdução ao início confiável para VMs do Azure Arc no Azure Local, versão 23H2

Aplica-se a: Azure Local, versão 23H2

Este artigo apresenta o lançamento confiável para VMs (máquinas virtuais) do Azure Arc no Azure Local, versão 23H2. Você pode criar uma VM do Arc de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure.

Introdução

A inicialização confiável para VMs do Azure Arc dá suporte à inicialização segura, ao vTPM (Trusted Platform Module) virtual e à transferência de estado do vTPM quando uma VM migra ou faz failover em um cluster.

A inicialização confiável é um tipo de segurança que pode ser especificado ao criar VMs do Arc no Azure Local. Para obter mais informações, consulte Inicialização confiável para VMs do Azure Arc no Azure Local.

Recursos e benefícios

Funcionalidade Benefício
Inicialização Segura Ajuda a reduzir o risco de malware (rootkits) durante a inicialização, verificando se os componentes de inicialização são assinados por editores confiáveis.
vTPM Versão virtualizada de um TPM de hardware que serve como um cofre dedicado para chaves, certificados e segredos.
Transferência de estado do vTPM Preserva o vTPM quando a VM migra ou faz failover em um cluster.
Segurança baseada em virtualização (VBS) O convidado na VM pode criar regiões isoladas de memória usando o suporte a VBS.

Observação

A verificação de integridade de inicialização do convidado da VM não está disponível.

Diretrizes

  • IgvmAgent é um componente instalado em todos os nós no sistema local do Azure. Ele permite o suporte para VMs isoladas, como VMs Arc de inicialização confiável, por exemplo.

  • Como parte da criação de VM do Arc de inicialização confiável, o Hyper-V cria arquivos de VM em disco para armazenar o estado da VM. Por padrão, o acesso a esses arquivos de VM é restrito aos administradores do servidor host. Os administradores de host devem garantir que o local onde esses arquivos de VM são armazenados sempre permaneça adequadamente restrito ao acesso.

  • O tráfego de rede de migração dinâmica da VM não é criptografado. É altamente recomendável que você habilite uma tecnologia de criptografia de camada de rede, como IPsec, para proteger o tráfego de rede de migração ao vivo.

Imagens do sistema operacional convidado

Há suporte para as seguintes imagens do sistema operacional convidado da VM do Azure Marketplace. A imagem da VM pode ser criada usando o portal do Azure ou a CLI do Azure.

Para obter mais informações, consulte Criar imagem de VM local do Azure usando o Azure Marketplace.

Nome Publicador Oferta SKU Número da versão
Windows 11 Enterprise várias sessões, versão 22H2 – Gen2 MicrosoftWindowsDesktop janelas-11 win11-22h2-avd 22621.2428.231001
Windows 11 Enterprise várias sessões, versão 22H2 + Microsoft 365 Apps (versão prévia) – Gen2 MicrosoftWindowsDesktop janelas 11visualização win11-22h2-avd-m365 22621.382.220810
Windows 11 Enterprise várias sessões, versão 21H2 – Gen2 MicrosoftWindowsDesktop janelas-11 win11-21h2-avd 22000.2538.231001
Windows 11 Enterprise várias sessões, versão 21H2 + Microsoft 365 Apps – Gen2 MicrosoftWindowsDesktop escritório-365 win10-21h2-avd-m365-g2 19044.3570.231010

Observação

Não há suporte para imagens de convidado de VM obtidas fora do Azure Marketplace.

Próximas etapas