Introdução à inicialização confiável para VMs do Azure Arc no Azure Local
Aplica-se a: Azure Local 2311.2 e posterior
Este artigo apresenta a inicialização confiável para máquinas virtuais (VMs) do Azure Arc no Azure Local. Você pode criar uma VM Arc de inicialização confiável usando o portal do Azure ou usando a CLI (Interface de Linha de Comando) do Azure.
Introdução
A inicialização confiável para VMs do Azure Arc habilita a inicialização segura, instala um dispositivo virtual vTPM (Trusted Platform Module), transfere automaticamente o estado vTPM quando a VM migra ou faz failover para outra máquina dentro do sistema e dá suporte à capacidade de atestar se a VM foi iniciada em um bom estado.
A inicialização confiável é um tipo de segurança que pode ser especificado ao criar VMs do Arc no Azure Local. Para obter mais informações, consulte Inicialização confiável para VMs do Azure Arc no Azure Local.
Capacidades e vantagens
| Capacidade | Benefício |
|---|---|
| Arranque seguro | Ajuda a reduzir o risco de malware (rootkits) durante a inicialização, verificando se os componentes de inicialização são assinados por editores confiáveis. |
| vTPM | Versão virtualizada de um TPM de hardware que serve como um cofre dedicado para chaves, certificados e segredos. |
| Transferência de estado vTPM | Preserva o vTPM quando a VM migra ou realiza failover em um cluster. |
| Segurança baseada em virtualização (VBS) | O convidado na VM pode criar regiões isoladas de memória usando o suporte a VBS. |
Nota
A verificação da integridade da inicialização do convidado da VM não está disponível.
Orientação
IgvmAgent é um componente instalado em todas as máquinas no sistema Local do Azure. Ele permite o suporte para VMs isoladas, como VMs Arc de inicialização confiáveis, por exemplo.
Como parte da criação de VM Arc de inicialização confiável, Hyper-V cria arquivos de VM em um local padrão no disco para armazenar o estado da VM. Por padrão, o acesso a esses arquivos de VM é restrito apenas aos administradores do servidor host. Se você armazenar esses arquivos de VM em um local diferente, deverá garantir que o local seja de acesso restrito apenas aos administradores do servidor host.
O tráfego de rede de migração ao vivo da VM não é criptografado. É altamente recomendável que você habilite uma tecnologia de criptografia de camada de rede, como IPsec, para proteger o tráfego de rede de migração ao vivo.
Imagens do sistema operacional convidado
Todas as imagens do Windows 11 (exceto SKUs do Windows 11 24H2) e as imagens do Windows Server 2022 disponíveis no Azure Marketplace, que são suportadas por VMs do Azure Arc, estão incluídas. Consulte Criar imagem de VM Local do Azure usando imagens do Azure Marketplace para obter uma lista de todas as imagens do Windows 11 com suporte.
Nota
Imagens de máquina virtual convidada obtidas fora do Azure Marketplace não têm suporte.
Considerações sobre backup e recuperação de desastres
Ao trabalhar com VMs Arc de inicialização confiáveis, certifique-se de entender as seguintes considerações e limitações principais relacionadas ao backup e à recuperação:
Diferenças entre VMs Arc de inicialização confiável e VMs Arc padrão: Ao contrário das VMs Arc padrão do Azure, as VMs Arc de inicialização confiável usam uma chave de proteção de estado de convidado da VM para proteger o estado de convidado da VM, incluindo o estado TPM virtual (vTPM), enquanto está em repouso. A chave de proteção da VM é armazenada em um cofre de chave local no sistema Local do Azure onde a VM reside. As VMs Arc de inicialização confiável armazenam o estado convidado da VM em dois arquivos: estado do convidado da VM e estado do tempo de execução da VM. Para fazer backup e restaurar uma VM de inicialização confiável, uma solução de backup deve fazer backup e restaurar todos os arquivos da VM, incluindo o estado convidado e os arquivos de estado de tempo de execução e, adicionalmente, fazer backup e restaurar a chave de proteção da VM.
Suporte a ferramentas de backup e recuperação de desastres: Atualmente, as VMs Arc de inicialização confiáveis não oferecem suporte a nenhuma ferramenta de backup e recuperação de desastres de terceiros ou de propriedade da Microsoft, incluindo, entre outras, Backup do Azure, Azure Site Recovery, Veeam e Commvault. Se surgir a necessidade de mover um Trusted launch Arc TMV para um cluster alternativo, consulte o processo manual Backup manual e recuperação de Trusted launch Arc TMV para gerir todos os ficheiros necessários e a chave de proteção da VM, assegurando que a VM possa ser restaurada com sucesso.
Nota
As VMs Arc de arranque confiável restauradas num sistema local alternativo do Azure não podem ser geridas a partir do plano de controlo do Azure.