Inicialização confiável para máquinas virtuais do Azure
Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes
O Azure oferece o Lançamento Confiável como uma maneira perfeita de melhorar a segurança das máquinas virtuais (VMs) da 2ª geração. O Lançamento Fidedigno protege contra técnicas de ataque avançadas e persistentes. O Trusted Launch é composto por várias tecnologias de infraestrutura coordenada que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas.
Importante
- A Inicialização Confiável é selecionada como o estado padrão para VMs do Azure recém-criadas. Se a sua nova VM exigir recursos que não são suportados pelo Trusted Launch, consulte as Perguntas frequentes sobre o Trusted Launch.
- As máquinas virtuais (VMs) existentes podem ter a Inicialização Confiável habilitada após serem criadas. Para obter mais informações, consulte Habilitar inicialização confiável em VMs existentes.
- Os conjuntos de dimensionamento de máquina virtual (VMSS) existentes podem ter a Inicialização Confiável habilitada após a criação. Para obter mais informações, consulte Habilitar inicialização confiável em conjuntos de escala existentes.
Benefícios
- Implante VMs com segurança com carregadores de inicialização verificados, kernels do sistema operacional (SO) e drivers.
- Proteja com segurança chaves, certificados e segredos nas VMs.
- Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
- Certifique-se de que as cargas de trabalho são confiáveis e verificáveis.
Tamanhos de máquinas virtuais
Nota
- A instalação dos drivers CUDA & GRID em VMs do Windows habilitadas para Inicialização Segura não requer nenhuma etapa extra.
- A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras. Para obter mais informações, consulte Instalar drivers de GPU NVIDIA em VMs da série N executando Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs Linux.
- A instalação do driver GRID requer que a Inicialização Segura seja desabilitada para VMs Linux.
- As famílias de tamanho não suportadas não suportam VMs de Geração 2 . Altere o tamanho da VM para famílias de tamanho suportadas equivalentes para habilitar o Trusted Launch.
Sistemas operacionais suportados
SO | Versão |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8,3, 8,4, 8,5, 8,6, 8,7, 8,8 MVE, 9,0, 9,1 LVM |
Red Hat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18,04 LTS, 20,04 LTS, 22,04 LTS, 23,04, 23,10 |
Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variações deste sistema operacional são suportadas.
Mais informações
Regiões:
- Todas as regiões públicas
- Todas as regiões do Azure Government
- Todas as regiões do Azure China
Preços: o Lançamento Confiável não aumenta os custos de preços de VM existentes.
Funcionalidades não suportadas
Atualmente, os seguintes recursos de VM não são suportados com o Trusted Launch:
- Azure Site Recovery (disponível em geral para Windows).
- Imagem Gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure).
- Virtualização aninhada (famílias de tamanho de VM v5 suportadas).
- Hibernação de VM Linux
Arranque Seguro
Na raiz do Trusted Launch está a Inicialização Segura para sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam inicializar. Ele estabelece uma "raiz de confiança" para a pilha de software em sua VM.
Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) exigem assinatura de editores confiáveis. Tanto o Windows quanto as distribuições Linux selecionadas suportam a Inicialização Segura. Se a Inicialização Segura não conseguir autenticar que a imagem está assinada por um editor confiável, a VM falhará na inicialização. Para obter mais informações, consulte Arranque Seguro.
vTPM
O Trusted Launch também apresenta o Trusted Platform Module (vTPM) virtual para VMs do Azure. Esta versão virtualizada de um hardware Trusted Platform Module é compatível com as especificações TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medições.
O Trusted Launch fornece à sua VM sua própria instância TPM dedicada que é executada em um ambiente seguro fora do alcance de qualquer VM. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, OS, sistema e drivers).
O Trusted Launch usa o vTPM para executar o atestado remoto através da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para tomar decisões baseadas em confiança. Como uma verificação de integridade, o Trusted Launch pode certificar criptograficamente que sua VM foi inicializada corretamente.
Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender for Cloud emitirá alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança baseada em virtualização
A segurança baseada em virtualização (VBS) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações maliciosas. A Inicialização Confiável permite habilitar a integridade do código do hipervisor (HVCI) e o Windows Defender Credential Guard.
O HVCI é uma poderosa mitigação do sistema que protege os processos do modo kernel do Windows contra injeção e execução de código malicioso ou não verificado. Ele verifica os drivers e binários do modo kernel antes de serem executados, impedindo que arquivos não assinados sejam carregados na memória. As verificações garantem que o código executável não possa ser modificado depois de ser permitido carregar. Para obter mais informações sobre VBS e HVCI, consulte Segurança baseada em virtualização e integridade de código imposta pelo hipervisor.
Com o Trusted Launch e o VBS, você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas software de sistema privilegiado possa acessá-los. Ele ajuda a evitar o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash. Para obter mais informações, consulte Credential Guard.
Integração com o Microsoft Defender for Cloud
O Trusted Launch é integrado ao Defender for Cloud para garantir que suas VMs estejam configuradas corretamente. O Defender for Cloud avalia continuamente VMs compatíveis e emite recomendações relevantes:
Recomendação para habilitar a Inicialização Segura: A recomendação de Inicialização Segura só se aplica a VMs que oferecem suporte ao Trusted Launch. O Defender for Cloud identifica VMs que podem habilitar a Inicialização Segura, mas tê-la desabilitada. Ele emite uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para habilitar o vTPM: se sua VM tiver o vTPM habilitado, o Defender for Cloud poderá usá-lo para executar o atestado de convidado e identificar padrões avançados de ameaça. Se o Defender for Cloud identificar VMs que suportam a Inicialização Confiável e têm o vTPM desativado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para instalar a extensão de atestado de convidado: se sua VM tiver a Inicialização Segura e o vTPM habilitados, mas não tiver a extensão de Atestado de Convidado instalada, o Defender for Cloud emitirá recomendações de baixa gravidade para instalar a extensão de Atestado de Convidado nela. Essa extensão permite que o Defender for Cloud ateste e monitore proativamente a integridade de inicialização de suas VMs. A integridade da inicialização é atestada por meio de atestado remoto.
Avaliação da integridade do atestado ou monitoramento da integridade da inicialização: se sua VM tiver a Inicialização Segura e o vTPM habilitados e a extensão de Atestado instalada, o Defender for Cloud poderá validar remotamente que sua VM inicializou de forma íntegra. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender for Cloud emite uma avaliação que indica o status do atestado remoto.
Se suas VMs estiverem configuradas corretamente com o Trusted Launch, o Defender for Cloud poderá detetar e alertá-lo sobre problemas de integridade da VM.
Alerta para falha de atestado de VM: o Defender for Cloud executa periodicamente o atestado em suas VMs. O atestado também acontece após a inicialização da VM. Se o atestado falhar, ele dispara um alerta de gravidade média. O atestado de VM pode falhar pelos seguintes motivos:
As informações atestadas, que incluem um log de inicialização, desviam-se de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.
Não foi possível verificar se a citação do atestado provém do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar intercetando o tráfego para o vTPM.
Nota
Os alertas estão disponíveis para VMs com vTPM habilitado e a extensão Attestation instalada. A Inicialização Segura deve estar habilitada para que o atestado seja aprovado. O atestado falhará se a Inicialização Segura estiver desabilitada. Se tiver de desativar o Arranque Seguro, pode suprimir este alerta para evitar falsos positivos.
Alerta para módulo de kernel Linux não confiável: Para inicialização confiável com a Inicialização Segura habilitada, é possível que uma VM inicialize mesmo que um driver do kernel falhe na validação e seja proibido de carregar. Se esse cenário acontecer, o Defender for Cloud emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados. Pergunte a si mesmo:
- Qual driver do kernel falhou? Estou familiarizado com este driver e espero que ele carregue?
- Esta é a versão exata do driver que estou esperando? Os binários do driver estão intactos? Se este for um driver de terceiros, o fornecedor passou nos testes de conformidade do sistema operacional para assiná-lo?
Conteúdos relacionados
Implante uma VM de inicialização confiável.