Introduzione all'avvio attendibile per le macchine virtuali locali di Azure abilitate da Azure Arc
Si applica a: Azure Locale 2311.2 e versioni successive
Questo articolo presenta l'avvio attendibile per le macchine virtuali locali di Azure abilitate da Azure Arc. È possibile creare un'avvio attendibile per una macchina virtuale locale di Azure usando il portale di Azure o l'interfaccia Command-Line di Azure.
Introduzione
L'avvio attendibile per le macchine virtuali locali di Azure abilita l'avvio protetto, installa un dispositivo vTPM (Trusted Platform Module), trasferisce automaticamente lo stato vTPM quando la macchina virtuale esegue la migrazione o il failover in un altro computer all'interno del sistema e supporta la possibilità di attestare se la macchina virtuale è stata avviata in uno stato valido noto.
L'avvio attendibile è un tipo di sicurezza che può essere specificato durante la creazione di macchine virtuali locali di Azure. Per altre informazioni, vedere Avvio attendibile per le macchine virtuali locali di Azure abilitate da Azure Arc.
Funzionalità e vantaggi
| Capacità | Vantaggio |
|---|---|
| Avvio protetto | Consente di ridurre il rischio di malware (rootkit) durante l'avvio verificando che i componenti di avvio siano firmati da autori attendibili. |
| vTPM | Versione virtualizzata di un hardware TPM che funge da cassaforte dedicata per chiavi, certificati e segreti. |
| Trasferimento dello stato vTPM | Mantiene vTPM quando la macchina virtuale esegue la migrazione o il failover all'interno di un cluster. |
| Sicurezza basata su virtualizzazione (VBS) | Il guest nella macchina virtuale può creare aree isolate di memoria usando il supporto vbs. |
Nota
La verifica dell'integrità dell'avvio guest della macchina virtuale non è disponibile.
Indicazioni
IgvmAgent è un componente installato in tutti i computer nel sistema locale di Azure. Abilita il supporto per macchine virtuali isolate, ad esempio Avvio attendibile per le macchine virtuali locali di Azure.
Come parte dell'avvio attendibile per la creazione di macchine virtuali locali di Azure, Hyper-V crea file di macchina virtuale in un percorso predefinito su disco per archiviare lo stato della macchina virtuale. Per impostazione predefinita, l'accesso a tali file di macchina virtuale è limitato solo agli amministratori del server host. Se si archiviano i file di macchina virtuale in un percorso diverso, è necessario assicurarsi che il percorso sia limitato solo agli amministratori del server host.
Il traffico di rete della migrazione in tempo reale della macchina virtuale non è crittografato. È consigliabile abilitare una tecnologia di crittografia a livello di rete, ad esempio IPsec, per proteggere il traffico di rete della migrazione in tempo reale.
Immagini del sistema operativo guest
Sono supportate tutte le immagini di Windows 11 (escluse le SKU di Windows 11 24H2) e le immagini di Windows Server 2022 dal Marketplace di Azure supportate dalle macchine virtuali locali di Azure. Vedere Creare un'immagine di macchina virtuale locale di Azure usando immagini di Azure Marketplace per un elenco di tutte le immagini di Windows 11 supportate.
Nota
Le immagini guest delle macchine virtuali ottenute all'esterno di Azure Marketplace non sono supportate.
Considerazioni sul backup e sul ripristino di emergenza
Quando si usa l'avvio attendibile per le macchine virtuali locali di Azure, assicurarsi di comprendere le considerazioni chiave e le limitazioni seguenti correlate al backup e al ripristino:
Differenze tra l'Avvio Attendibile per le Macchine Virtuali Locali di Azure e le Macchine Virtuali Locali di Azure Standard: A differenza delle Macchine Virtuali Locali di Azure standard, l'Avvio Attendibile per le Macchine Virtuali Locali di Azure usa una chiave di protezione dello stato guest della macchina virtuale per proteggere lo stato guest della macchina virtuale, incluso lo stato del TPM virtuale (vTPM), quando non sono in uso. La chiave di protezione della macchina virtuale viene archiviata in un vault locale delle chiavi nel sistema locale di Azure in cui risiede la VM. L'avvio attendibile per le macchine virtuali locali di Azure archivia lo stato guest della macchina virtuale in due file: stato guest della macchina virtuale e stato di runtime della macchina virtuale. Per eseguire il backup e il ripristino di una macchina virtuale di avvio attendibile, una soluzione di backup deve eseguire il backup e il ripristino di tutti i file di macchina virtuale, inclusi lo stato guest e i file di stato del runtime, nonché eseguire il backup e ripristinare la chiave di protezione della macchina virtuale.
Supporto degli strumenti di backup e ripristino di emergenza: Attualmente, l'avvio attendibile per le macchine virtuali locali su Azure non supporta nessuno strumento di backup e ripristino di emergenza di terze parti o di proprietà di Microsoft, inclusi, a titolo di esempio, Backup di Azure, Azure Site Recovery, Veeam e Commvault. Se si verifica la necessità di spostare un avvio attendibile per la TVM locale di Azure in un cluster alternativo, vedere il processo manuale Backup manuale e ripristino dell'avvio attendibile per le macchine virtuali locali di Azure per gestire tutti i file e la chiave di protezione della VM necessari per assicurarsi che la macchina virtuale possa essere ripristinata correttamente.
Nota
L'avvio attendibile per le macchine virtuali locali di Azure ripristinate in un sistema locale di Azure alternativo non può essere gestito dal piano di controllo di Azure.