Habilitar a inicialização confiável em VMs do Azure existentes

Aplica-se a: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM

As Máquinas Virtuais do Azure dão suporte à habilitação da inicialização Confiável do Azure em máquinas virtuais (VMs) existentes da Geração 2 do Azure atualizando para o tipo de segurança Inicialização confiável.

A inicialização confiável é uma maneira de habilitar a segurança de computação fundamental em VMs da Geração 2 do Azure e protege contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits. Ele faz isso combinando tecnologias de infraestrutura como Inicialização Segura, vTPM (Trusted Platform Module) virtual e monitoramento da integridade da inicialização em sua VM.

Importante

O suporte para habilitar a inicialização confiável em VMs existentes da Geração 1 do Azure está atualmente em visualização privada. Você pode obter acesso à visualização usando o formulário de registro.

Pré-requisitos

• A VM da Geração 2 do Azure está configurada com:
  • Família de tamanhos com suporte de lançamento confiável.
  • Imagem do sistema operativo (SO) suportado pelo arranque fidedigno. Para imagens ou discos personalizados do sistema operacional, a imagem base deve ser capaz de inicialização confiável.
• A VM da Geração 2 do Azure não está usando recursos atualmente sem suporte com o lançamento confiável.
• As VMs da Geração 2 do Azure devem ser interrompidas e desalocadas antes de habilitar o tipo de segurança Inicialização confiável.
• O Backup do Azure, se habilitado, para VMs deve ser configurado com a política de Backup Avançado. O tipo de segurança Inicialização confiável não pode ser habilitado para VMs de Geração 2 configuradas com proteção de backup de política Padrão.
  • O backup de VM do Azure existente pode ser migrado da política Standard para a Enhanced (Padrão ). Siga as etapas em Migrar backups de VM do Azure da política Standard para a Enhanced (visualização).

Melhores práticas

• Habilite a inicialização confiável em uma VM de 2ª geração de teste e determine se são necessárias alterações para atender aos pré-requisitos antes de habilitar a inicialização confiável em VMs de 2ª geração associadas a cargas de trabalho de produção.
• Crie pontos de restauração para VMs da Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança Inicialização confiável. Você pode usar os pontos de restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.

Habilitar inicialização confiável em uma VM existente

Nota

• Depois de habilitar a inicialização confiável, atualmente as VMs não podem ser revertidas para o tipo de segurança padrão (configuração de inicialização não confiável).
• O vTPM está habilitado por padrão.
• Recomendamos que você habilite a Inicialização Segura, se não estiver usando drivers ou kernel não assinados personalizados. Não está ativado por predefinição. A Inicialização Segura preserva a integridade da inicialização e permite a segurança fundamental para VMs.

Portal

Habilite a inicialização confiável em uma VM existente da Geração 2 do Azure usando o portal do Azure.

1. Inicie sessão no portal do Azure.

2. Confirme se a geração da VM é V2 e selecione Parar para a VM.

   

3. Na página Visão geral nas propriedades da VM, em Tipo de segurança, selecione Padrão. A página Configuração da VM é aberta.

   

4. Na página Configuração, na seção Tipo de segurança, selecione a lista suspensa Tipo de segurança.

   

5. Na lista suspensa, selecione Início confiável. Marque as caixas de seleção para habilitar a Inicialização Segura e o vTPM. Depois de fazer as alterações, selecione Salvar.

   Nota

   • As VMs de 2ª geração criadas usando a ACG (Galeria de Computação do Azure), a imagem gerenciada ou um disco do sistema operacional não podem ser atualizadas para inicialização confiável usando o portal. Certifique-se de que a versão do SO é suportada para o lançamento fidedigno. Use o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager (modelo ARM) para executar a atualização.

   

6. Depois que a atualização for concluída com êxito, feche a página Configuração . Na página Visão geral nas propriedades da VM, confirme as configurações de tipo de segurança.

   

7. Inicie a VM de inicialização confiável atualizada. Verifique se você pode entrar na VM usando o protocolo RDP (Remote Desktop Protocol) para VMs do Windows ou o protocolo SSH (Secure Shell Protocol) para VMs Linux.

CLI

Siga as etapas para habilitar a inicialização confiável em uma VM existente da Geração 2 do Azure usando a CLI do Azure.

Certifique-se de que instala a CLI do Azure mais recente e tem sessão iniciada numa conta do Azure com az login.

1. Entre na assinatura do Azure da VM.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Desaloque a VM.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Habilite a inicialização confiável definindo --security-type como TrustedLaunch.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Valide a saída do comando anterior. Certifique-se de que a securityProfile configuração é retornada com a saída do comando.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Inicie a VM.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Inicie a VM de inicialização confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs do Windows) ou SSH (para VMs do Linux).

PowerShell

Siga as etapas para habilitar a inicialização confiável em uma VM existente da Geração 2 do Azure usando o Azure PowerShell.

Certifique-se de instalar o Azure PowerShell mais recente e de que tem sessão iniciada numa conta do Azure com Connect-AzAccount.

1. Entre na assinatura do Azure da VM.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Desaloque a VM.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Habilite a inicialização confiável definindo -SecurityType como TrustedLaunch.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Valide securityProfile na configuração atualizada da VM.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Inicie a VM.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Inicie a VM de inicialização confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs do Windows) ou SSH (para VMs do Linux).

Modelo

Siga as etapas para habilitar a inicialização confiável em uma VM existente da Geração 2 do Azure usando um modelo ARM.

Um modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo utiliza sintaxe declarativa. Você descreve a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.

1. Analise o modelo.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Edite o parameters arquivo JSON com VMs a serem atualizadas com o TrustedLaunch tipo de segurança.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definição do arquivo de parâmetro

   Property	Descrição da propriedade	Valor de modelo de exemplo
   vmName	Nome da VM da Geração 2 do Azure.	myVm
   localização	Local da VM da Geração 2 do Azure.	westus3
   secureBootEnabled	Habilite a Inicialização Segura com o tipo de segurança Inicialização confiável.	true

3. Desaloque todas as VMs da Geração 2 do Azure para serem atualizadas.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Execute a implantação do modelo ARM.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Inicie a VM de inicialização confiável atualizada. Verifique se você pode entrar na VM usando RDP (para VMs do Windows) ou SSH (para VMs do Linux).

Recomendação do Azure Advisor

O Consultor do Azure preenche uma excelência fundamental de lançamento confiável e segurança moderna para VMs de Geração 2 existentes para VMs de 2ª geração existentes adotarem o lançamento confiável, uma postura de segurança mais alta para VMs do Azure sem custo adicional para você. Certifique-se de que a VM de Geração 2 tenha todos os pré-requisitos para migrar para a inicialização confiável, siga todas as práticas recomendadas, incluindo a validação da imagem do sistema operacional, o tamanho da VM e a criação de pontos de restauração. Para que a recomendação do Consultor seja considerada completa, siga as etapas descritas em Habilitar inicialização confiável em uma VM existente para atualizar o tipo de segurança de máquinas virtuais e habilitar a inicialização confiável.

E se houver VMs de Geração 2 que não se encaixem nos pré-requisitos para o lançamento confiável?

Para uma VM de Geração 2, que não atendeu aos pré-requisitos para atualizar para o lançamento confiável, veja como cumprir os pré-requisitos. Por exemplo, se não houver suporte para o uso de um tamanho de máquina virtual, procure um tamanho equivalente de inicialização confiável suportada que ofereça suporte à inicialização confiável.

Nota

Dispense a recomendação se a máquina virtual Gen2 estiver configurada com famílias de tamanho de VM que atualmente não são suportadas com inicialização confiável, como a série MSv2.

Conteúdos relacionados

• Habilite a inicialização confiável para novas implantações de máquinas virtuais. Para obter mais detalhes, consulte Implantar máquinas virtuais de inicialização confiáveis
• Após as atualizações, recomendamos que você habilite o monitoramento da integridade da inicialização para monitorar a integridade da VM usando o Microsoft Defender for Cloud.
• Saiba mais sobre o Lançamento confiável e analise as perguntas frequentes.