Habilitar o Início confiável em VMs existentes do Azure

Aplica-se a: ✔️ VM Linux ✔️ VM Windows ✔️ VM Geração 2

As Máquinas Virtuais do Azure dão suporte à habilitação do Início confiável do Azure em VMs (máquinas virtuais) existentes do Azure Geração 2 atualizando para o tipo de segurança do Início confiável.

O início confiável é uma maneira de habilitar a segurança de computação fundamental em VMs do Geração 2 do Azure e protege contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits. Ele faz isso combinando tecnologias de infraestrutura, como Inicialização Segura, vTPM (virtual Trusted Platform Module) e Monitoramento de Integridade de Inicialização em sua VM.

Importante

O suporte para habilitar o Início confiável em VMs de Geração 1 do Azure existentes está atualmente em versão prévia privada. Você pode obter acesso à visualização usando o formulário de registro.

Pré-requisitos

• A VM do Azure Geração 2 está configurada com:
  • Família de tamanho compatível com o Início confiável.
  • Imagem do sistema operacional (sistema operacional) compatível do Início confiável. Para discos ou imagens do sistema operacional personalizadas, a imagem base deve ser compatível com o Início confiável.
• A VM da Geração 2 do Azure não está usando recursos atualmente incompatíveis com o Início confiável.
• As VMs da Geração 2 do Azure devem ser interrompidas e desalocadas antes de habilitar o tipo de segurança do Início confiável.
• Se o Backup do Azure estiver habilitado para VMs, ele deverá ser configurado com a Política de Backup Avançada. O tipo de segurança do Início confiável não pode ser habilitado para as VMs de Geração 2 configuradas com a proteção de backup da política Padrão.
  • O backup de VM do Azure existente pode ser migrado da política Padrão para a Avançada. Para obter mais informações, consulte Migrar backups de VM do Azure da política Padrão para a Avançada (versão prévia).

Práticas recomendadas

• Habilite o Início confiável em uma VM de Geração 2 de teste e determine se alguma alteração é necessária para atender aos pré-requisitos antes de habilitar o Início confiável em VMs de Geração 2 associadas a cargas de trabalho de produção.
• Crie um ponto de restauração para as VMs de Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança de início confiável. Você pode usar pontos de restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.

Habilitar o Início confiável em uma VM existente

Observação

• Depois de habilitar o Início confiável, atualmente, as VMs não podem ser revertidas para o tipo de segurança Padrão (configuração de Início não confiável).
• A vTPM está habilitada por padrão.
• Recomendamos que você habilite a Inicialização Segura se não estiver usando kernel ou drivers personalizados sem sinal. Ela não vem habilitada por padrão. A Inicialização Segura preserva a integridade da inicialização e habilita a segurança fundamental para VMs.

Portal

Habilite o início confiável em uma VM existente do Azure Geração 2 usando o portal do Azure.

1. Entre no portal do Azure.

2. Confirme se a geração da VM é V2 e selecione Parar para a VM.

   

3. Na página de Visão geral nas propriedades da VM, em Tipo de segurança, selecione Padrão. A página Configuração da VM é aberta.

   

4. Na página Configuração, na seção Tipo de segurança, selecione a lista suspensa Tipo de segurança.

   

5. Na lista suspensa, selecione Início confiável. Marque caixas de seleção para habilitar a Inicialização Segura e o vTPM. Depois de fazer as alterações, selecione Salvar.

   Observação

   • As VMs de Geração 2 criadas usando a ACG (Galeria de Computação do Azure), a Imagem Gerenciada ou um disco do sistema operacional não podem ser atualizadas para o Início confiável usando o portal. Verifique se a versão do sistema operacional tem suporte para Início confiável. Use o PowerShell, a CLI do Azure ou um modelo do ARM (Azure Resource Manager) para executar a atualização.

   

6. Depois que a atualização for concluída com êxito, feche a página Configuração. Na página Visão geral, nas propriedades da VM, confirme as configurações de Tipo de segurança.

   

7. Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando o protocolo RDP para VMs do Windows ou o protocolo SSH (Secure Shell) para VMs do Linux.

CLI

Siga as etapas para habilitar o Início confiável em uma VM existente do Azure Geração 2 usando a CLI do Azure.

Verifique se você instalou a versão mais recente da CLI do Azure e entrou em uma conta do Azure usando az login.

1. Entre na assinatura do Azure de VM.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Desaloque a VM.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Habilite o Início confiável definindo --security-type como TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Valide a saída do comando anterior. Verifique se a configuração securityProfile é retornada com a saída do comando.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Inicie a VM.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs windows) ou SSH (para VMs Linux).

PowerShell

Siga as etapas para habilitar o Início confiável em uma VM existente do Azure Geração 2 usando o Azure PowerShell.

Verifique se você instalou a versão mais recente do Azure PowerShell e entrou em uma conta do Azure com Connect-AzAccount.

1. Entre na assinatura do Azure de VM.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Desaloque a VM.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Habilite o Início confiável definindo -SecurityType como TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Valide securityProfile na configuração de VM atualizada.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Inicie a VM.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs windows) ou SSH (para VMs Linux).

Modelo

Siga as etapas para habilitar o Início confiável em uma VM existente do Azure Geração 2 usando um modelo do ARM.

Um Modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo usa a sintaxe declarativa. Descreva a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.

1. Examine o modelo.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Edite o arquivo JSON parameters com VMs a serem atualizadas com o tipo de segurança TrustedLaunch.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definição do arquivo de parâmetro

   Propriedade	Descrição da propriedade	Exemplo de valor do modelo
   vmName	Nome da VM do Azure Geração 2.	myVm
   local	Local da VM do Azure Geração 2.	westus3
   secureBootEnabled	Habilite a Inicialização Segura com o tipo de segurança Início confiável.	true

3. Desaloque todas as VMs do Azure Geração 2 a serem atualizadas.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Execute a implantação do modelo do ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Inicie a VM de Início confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs windows) ou SSH (para VMs Linux).

Recomendação do Assistente do Azure

O Assistente do Azure popula uma recomendação de excelência operacional Habilitar excelência fundamental do Início confiável e a segurança moderna para VMs de Geração 2 existentes para que as VMs de Geração 2 existentes adotem o Início confiável, uma postura de segurança mais alta para VMs do Azure sem custo adicional para você. Verifique se a VM da Geração 2 tem todos os pré-requisitos para migrar para o Início confiável, siga todas as práticas recomendadas, incluindo a validação da imagem do sistema operacional, o Tamanho da VM e a criação de pontos de restauração. Para que a recomendação do Assistente seja considerada concluída, siga as etapas descritas em Habilitar Início confiável em uma VM existente para atualizar o tipo de segurança de máquinas virtuais e habilitar o Início confiável.

E se houver VMs de Geração 2 que não atendam aos pré-requisitos para o Início confiável?

Se você tem uma VM de Geração 2 que não atendeu aos pré-requisitos para atualizar para o Início confiável, veja como atender a eles. Por exemplo, se não houver suporte para o uso de um tamanho de máquina virtual, procure um tamanho equivalente compatível com o Início confiável.

Observação

Ignore a recomendação se a máquina virtual Gen2 estiver configurada com famílias de tamanho de VM que atualmente não são compatíveis com o Início confiável, como a série MSv2.

Conteúdo relacionado

• Habilite o Início confiável para novas implantações de máquina virtual. Para obter mais detalhes, consulte Implantar máquinas virtuais de Início confiável
• Após as atualizações, recomendamos que você habilite o monitoramento de integridade de inicialização para monitorar a integridade da VM usando o Microsoft Defender para Nuvem.
• Saiba mais sobre a Inicialização confiável e examinar perguntas frequentes.