Azure-beli virtuális gépek megbízható indítása
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
Az Azure megbízható indítást kínál a 2. generációs virtuális gépek (VM-ek) biztonságának javítása érdekében. A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen. A megbízható indítás több, egymástól függetlenül engedélyezhető összehangolt infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen.
Fontos
- A megbízható indítás az újonnan létrehozott Azure-beli virtuális gépek alapértelmezett állapotaként van kiválasztva. Ha az új virtuális gép olyan funkciókat igényel, amelyeket nem támogat a megbízható indítás, tekintse meg a megbízható indítási gyakori kérdéseket.
- A meglévő virtuális gépek (virtuális gépek) a létrehozásuk után engedélyezve lehetnek a Megbízható indítás funkcióval. További információ: Megbízható indítás engedélyezése meglévő virtuális gépeken.
- A meglévő virtuálisgép-méretezési csoportok (VMSS) létrehozása után engedélyezve lehet a megbízható indítás. További információ: Megbízható indítás engedélyezése meglévő méretezési csoportokon.
Juttatások
- Virtuális gépek biztonságos üzembe helyezése ellenőrzött rendszerindítási betöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal.
- Biztonságosan védheti a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken.
- Betekintést nyerhet a rendszerindítási lánc teljes integritásába.
- Győződjön meg arról, hogy a számítási feladatok megbízhatóak és ellenőrizhetők.
Virtuális gépek méretei
| Típus | Támogatott méretcsaládok | Jelenleg nem támogatott méretcsaládok | Nem támogatott méretcsaládok |
|---|---|---|---|
| Általános célú | B-család, D-család | Dpsv5-sorozat, Dpdsv5-sorozat, Dplsv5-sorozat, Dpldsv5-sorozat | A-család, Dv2 sorozat, Dv3-sorozat, DC-Confidential-family |
| Számításoptimalizált | F-család, Fx-család | Minden méret támogatott. | |
| Memóriaoptimalizált | E-család, Eb-család | M-család | EC-Confidential-family |
| Tároptimalizált | L-család | Minden méret támogatott. | |
| GPU | NC-család, ND-család, NV-család | NDasrA100_v4 sorozat, NDm_A100_v4 sorozat | NC-sorozat, NV-sorozat, NP-sorozat |
| Nagy teljesítményű számítás | HBv2 sorozat, HBv3 sorozat, HBv4 sorozat, HC-sorozat, HX-sorozat | Minden méret támogatott. |
Feljegyzés
- A CUDA > GRID-illesztőprogramok biztonságos rendszerindításra képes Windows rendszerű virtuális gépeken való telepítése nem igényel további lépéseket.
- A CUDA-illesztőprogram biztonságos rendszerindításra képes Ubuntu virtuális gépeken való telepítése további lépéseket igényel. További információ: NVIDIA GPU-illesztőprogramok telepítése Linux rendszerű N sorozatú virtuális gépekre. A biztonságos rendszerindítást le kell tiltani a CUDA-illesztőprogramok más Linux rendszerű virtuális gépekre való telepítéséhez.
- A GRID-illesztő telepítéséhez le kell tiltani a biztonságos rendszerindítást Linux rendszerű virtuális gépeken.
- A nem támogatott méretcsaládok nem támogatják a 2. generációs virtuális gépeket . Módosítsa a virtuális gép méretét egyenértékű támogatott méretcsaládokra a megbízható indítás engedélyezéséhez.
Támogatott operációs rendszerek
| OS | Verzió |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Az operációs rendszer változatai támogatottak.
További információ
Régiók:
- Minden nyilvános régió
- Minden Azure Government-régió
- Minden Azure China-régió
Díjszabás: A megbízható indítás nem növeli a virtuális gépek meglévő díjszabási költségeit.
Nem támogatott szolgáltatások
Jelenleg a következő virtuálisgép-funkciók nem támogatottak a Megbízható indítás funkcióval:
- Azure Site Recovery (Általánosan elérhető a Windowshoz).
- Felügyelt rendszerkép (az ügyfeleknek javasoljuk az Azure Compute Gallery használatát).
- Beágyazott virtualizálás (v5 virtuálisgép-méretcsaládok támogatottak).
- Linux rendszerű virtuális gépek hibernálása
Biztonságos rendszerindítás
A megbízható indítás gyökere a virtuális gép biztonságos rendszerindítása. A platform belső vezérlőprogramjában implementált Secure Boot védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben. A biztonságos rendszerindítással biztosítható, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhassanak el. Létrehozza a virtuális gép szoftververemének "megbízhatósági gyökerét".
Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőnek (rendszertöltő, kernel- és kernelillesztő) megbízható közzétevők aláírására van szükség. A Windows és a linuxos disztribúciók egyaránt támogatják a biztonságos rendszerindítást. Ha a biztonságos rendszerindítás nem tudja hitelesíteni, hogy a rendszerképet megbízható közzétevő írta alá, a virtuális gép nem indul el. További információ: Biztonságos rendszerindítás.
vTPM
A Megbízható indítás virtuális platformmodult (vTPM) is bevezet az Azure-beli virtuális gépekhez. A hardveres megbízható platformmodul ezen virtualizált verziója megfelel a TPM2.0 specifikációnak. Dedikált biztonságos tárolóként szolgál kulcsokhoz és mérésekhez.
A Megbízható indítás szolgáltatás saját dedikált TPM-példányt biztosít a virtuális gép számára, amely biztonságos környezetben fut, bármely virtuális gép elérésén kívül. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével teszi lehetővé az igazolást .
A megbízható indítás a vTPM használatával végzi el a távoli igazolást a felhőn keresztül. Az igazolások lehetővé teszik a platform állapotának ellenőrzését, és megbízható döntéseket hoznak. Állapot-ellenőrzésként a Megbízható indítás képes kriptográfiailag igazolni, hogy a virtuális gép megfelelően indult el.
Ha a folyamat meghiúsul, valószínűleg azért, mert a virtuális gép jogosulatlan összetevőt futtat, Felhőhöz készült Microsoft Defender integritási riasztásokat ad ki. A riasztások tartalmazzák azokat a részleteket, amelyek alapján az összetevők nem sikerültek az integritás-ellenőrzéseknek.
Virtualizáláson alapuló biztonság
A virtualizációalapú biztonság (VBS) a hipervizor használatával hoz létre egy biztonságos és elszigetelt memóriaterületet. A Windows ezeket a régiókat használja különböző biztonsági megoldások futtatására, amelyek fokozott védelmet nyújtanak a biztonsági rések és a rosszindulatú biztonsági rések ellen. A Megbízható indítás funkcióval engedélyezheti a hipervizorkód-integritást (HVCI) és a Windows Defender Credential Guardot.
A HVCI egy hatékony rendszercsökkentés, amely megvédi a Windows kernel módú folyamatait a rosszindulatú vagy nem ellenőrzött kódok injektálása és végrehajtása ellen. Futtatás előtt ellenőrzi a kernel módú illesztőprogramokat és bináris fájlokat, megakadályozva az aláíratlan fájlok memóriába való betöltését. Az ellenőrzések biztosítják, hogy a végrehajtható kód nem módosítható a betöltés engedélyezése után. További információ a VBS-ről és a HVCI-ről: Virtualizálásalapú biztonság és hipervizor által kényszerített kódintegritás.
A Megbízható indítás és a VBS használatával engedélyezheti a Windows Defender Hitelesítőadat-őrt. A Credential Guard elkülöníti és védi a titkos kódokat, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá. Segít megelőzni a titkos kódokhoz és a hitelesítő adatok ellopására irányuló támadásokhoz, például a Pass-the-Hash támadásokhoz való jogosulatlan hozzáférést. További információ: Credential Guard.
Felhőhöz készült Microsoft Defender integráció
A megbízható indítás integrálva van a Felhőhöz készült Defender, hogy a virtuális gépek megfelelően legyenek konfigurálva. Felhőhöz készült Defender folyamatosan értékeli a kompatibilis virtuális gépeket, és releváns javaslatokat ad ki:
Javaslat a biztonságos rendszerindítás engedélyezésére: A biztonságos rendszerindítási javaslat csak a megbízható indítást támogató virtuális gépekre vonatkozik. Felhőhöz készült Defender azonosítja a biztonságos rendszerindítást engedélyező, de letiltott virtuális gépeket. Egy alacsony súlyosságú javaslatot ad ki annak engedélyezéséhez.
Javaslat a vTPM engedélyezésére: Ha a virtuális gépen engedélyezve van a vTPM, Felhőhöz készült Defender használhatja a vendégigazolás végrehajtására és a speciális fenyegetésminták azonosítására. Ha Felhőhöz készült Defender azonosítja a megbízható indítást támogató és a vTPM-et letiltó virtuális gépeket, a rendszer alacsony súlyossági javaslatot ad az engedélyezéséhez.
Javaslat a vendégigazolási bővítmény telepítésére: Ha a virtuális gép biztonságos rendszerindítást és vTPM-t engedélyezve van, de nincs telepítve a Vendégigazolási bővítmény, Felhőhöz készült Defender alacsony súlyosságú javaslatokat ad a vendégigazolási bővítmény telepítésére. Ez a bővítmény lehetővé teszi Felhőhöz készült Defender, hogy proaktívan tanúsítsa és monitorozza a virtuális gépek rendszerindítási integritását. A rendszerindítási integritást távoli igazolással igazolja a rendszer.
Igazolás állapotfelmérése vagy rendszerindítási integritás monitorozása: Ha a virtuális gép biztonságos rendszerindítást és vTPM-t engedélyezve van, és az igazolási bővítmény telepítve van, Felhőhöz készült Defender távolról ellenőrizheti, hogy a virtuális gép megfelelően indult-e el. Ezt a gyakorlatot rendszerindítási integritás monitorozásának nevezzük. Felhőhöz készült Defender a távoli igazolás állapotát jelző értékelést ad ki.
Ha a virtuális gépek megfelelően vannak beállítva a Megbízható indítás beállítással, Felhőhöz készült Defender észlelheti és riasztást kaphat a virtuális gépek állapotproblémáiról.
Riasztás a virtuális gépek igazolási hibájáról: Felhőhöz készült Defender rendszeresen elvégzi az igazolást a virtuális gépeken. Az igazolás a virtuális gép indítása után is megtörténik. Ha az igazolás sikertelen, közepes súlyosságú riasztást aktivál. A virtuális gép igazolása a következő okokból meghiúsulhat:
A rendszerindítási naplót tartalmazó igazolási adatok eltérnek a megbízható alapkonfigurációtól. Bármilyen eltérés azt jelezheti, hogy a nem megbízható modulok be lettek töltve, és az operációs rendszer megsérülhet.
Az igazolási idézet nem ellenőrizhető, hogy az igazolt virtuális gép vTPM-éből származik-e. A nem ellenőrzött forrás azt jelezheti, hogy kártevő van jelen, és elfoghatja a vTPM felé történő forgalmat.
Feljegyzés
A riasztások olyan virtuális gépekhez érhetők el, amelyeken engedélyezve van a vTPM, és telepítve van az igazolási bővítmény. A biztonságos rendszerindítást engedélyezni kell ahhoz, hogy az igazolás sikeres legyen. Az igazolás sikertelen, ha a biztonságos rendszerindítás le van tiltva. Ha le kell tiltania a biztonságos rendszerindítást, letilthatja ezt a riasztást a hamis pozitív értékek elkerülése érdekében.
Nem megbízható Linux kernelmodulra vonatkozó riasztás: Ha a biztonságos rendszerindítást engedélyezve van a megbízható indítás, a virtuális gép akkor is elindulhat, ha egy kernelillesztő nem érvényesíti az ellenőrzést, és nem tölthető be. Ha ez a forgatókönyv történik, Felhőhöz készült Defender alacsony súlyosságú riasztásokat ad ki. Bár nincs azonnali fenyegetés, mivel a nem megbízható illesztőprogram nincs betöltve, ezeket az eseményeket meg kell vizsgálni. Tegye fel magának a következő kérdéseket:
- Melyik kernelillesztő nem sikerült? Ismerem ezt az illesztőprogramot, és elvárom, hogy betöltse?
- Ez az illesztőprogram pontos verziója, amire számítok? Érintetlenek a sofőr bináris fájljai? Ha ez egy harmadik féltől származó illesztőprogram, a szállító teljesítette az operációsrendszer-megfelelőségi teszteket, hogy aláírja?
Kapcsolódó tartalom
Megbízható indítású virtuális gép üzembe helyezése.