Vertrouwde start inschakelen op bestaande Azure Gen2-VM's

Artikel
10/15/2024

Van toepassing op: ✔️ Virtuele Linux-machine van windows-VM ✔️ ✔️ generatie 2

Azure Virtual Machines biedt ondersteuning voor het inschakelen van vertrouwde azure-lancering op bestaande virtuele Azure-machines van de tweede generatie (VM) door een upgrade uit te voeren naar het beveiligingstype Vertrouwde lancering .

Vertrouwde lancering is een manier om fundamentele rekenbeveiliging in te schakelen op Virtuele Machines van De 2e generatie van Azure en beschermt tegen geavanceerde en permanente aanvalstechnieken, zoals opstartkits en rootkits. Dit doet u door infrastructuurtechnologieën zoals Secure Boot, virtual Trusted Platform Module (vTPM) en bewaking van opstartintegriteit op uw VIRTUELE machine te combineren.

Belangrijk

Ondersteuning voor het inschakelen van vertrouwde lancering op bestaande virtuele Azure-machines van generatie 1 is momenteel beschikbaar als preview-versie. Raadpleeg Bestaande Azure Gen1-VM's upgraden en vertrouwde lancering inschakelen.

Vereisten

Azure VM is geconfigureerd met:

Vertrouwde lancering ondersteunde groottefamilie.
Vertrouwde versie van het ondersteunde besturingssysteem (OS). Voor aangepaste installatiekopieën of schijven van het besturingssysteem moet de basisinstallatiekopieën vertrouwd worden gestart.
Azure VM maakt momenteel geen gebruik van functies die momenteel niet worden ondersteund met vertrouwde lancering.
Azure Backup, indien ingeschakeld, voor VM's moet worden geconfigureerd met het verbeterde back-upbeleid. Het beveiligingstype Vertrouwde start kan niet worden ingeschakeld voor VM's die zijn geconfigureerd met standaardbeleidsback-upbeveiliging .
- Bestaande Back-ups van Virtuele Azure-machines kunnen worden gemigreerd van standard naar het uitgebreide beleid. Volg de stappen in Azure VM-back-ups migreren van Standard naar Uitgebreid beleid (preview).

Aanbevolen procedures

Schakel vertrouwd starten in op een test-VM van de tweede generatie en bepaal of er wijzigingen nodig zijn om te voldoen aan de vereisten voordat u Vertrouwde lancering inschakelt op vm's van de tweede generatie die zijn gekoppeld aan productieworkloads.
Maak herstelpunten voor Azure Generation 2-VM's die zijn gekoppeld aan productieworkloads voordat u het beveiligingstype Vertrouwde start inschakelt. U kunt de herstelpunten gebruiken om de schijven en generatie 2-VM opnieuw te maken met de vorige bekende status.

Vertrouwde start inschakelen op een bestaande VM

Notitie

Nadat u Vertrouwde start hebt ingeschakeld, kunnen vm's momenteel niet worden teruggedraaid naar het standaardbeveiligingstype (niet-vertrouwde startconfiguratie).
vTPM is standaard ingeschakeld.
U wordt aangeraden Beveiligd opstarten in te schakelen als u geen aangepaste niet-ondertekende kernel of stuurprogramma's gebruikt. Deze functie is niet standaard ingeschakeld. Beveiligd opstarten behoudt de opstartintegriteit en maakt fundamentele beveiliging mogelijk voor VM's.

Schakel vertrouwd starten in op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van De Azure-portal.

Meld u aan bij het Azure-portaal.
Controleer of de generatie van de VIRTUELE machine V2 is en selecteer Stoppen voor de VIRTUELE machine.
Selecteer Standard op de pagina Overzicht in de VM-eigenschappen onder Beveiligingstype. De pagina Configuratie voor de VIRTUELE machine wordt geopend.
Selecteer op de pagina Configuratie onder de sectie Beveiligingstype de vervolgkeuzelijst Beveiligingstype .
Selecteer In de vervolgkeuzelijst de optie Vertrouwd starten. Schakel selectievakjes in om Beveiligd opstarten en vTPM in te schakelen. Nadat u de wijzigingen hebt aangebracht, selecteert u Opslaan.
Notitie
- Vm's van de tweede generatie die zijn gemaakt met behulp van Azure Compute Gallery (ACG), beheerde installatiekopieën of een besturingssysteemschijf, kunnen niet worden bijgewerkt naar Vertrouwde start met behulp van de portal. Zorg ervoor dat de versie van het besturingssysteem wordt ondersteund voor vertrouwd starten. Gebruik PowerShell, de Azure CLI of een ARM-sjabloon (Azure Resource Manager) om de upgrade uit te voeren.
Nadat de update is voltooid, sluit u de pagina Configuratie . Bevestig op de pagina Overzicht in de vm-eigenschappen de instellingen van het beveiligingstype .
Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de virtuele machine met behulp van het Remote Desktop Protocol (RDP) voor Windows-VM's of het Secure Shell Protocol (SSH) voor Linux-VM's.

Volg de stappen voor het inschakelen van een vertrouwde start op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van de Azure CLI.

Zorg ervoor dat u de nieuwste Azure CLI installeert en bent aangemeld bij een Azure-account met az login.

Meld u aan bij het Azure-abonnement voor de VM.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

De toewijzing van de virtuele machine ongedaan maken.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Vertrouwde start inschakelen door in te stellen --security-type op TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Valideer de uitvoer van de vorige opdracht. Zorg ervoor dat de securityProfile configuratie wordt geretourneerd met de opdrachtuitvoer.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Start de virtuele machine.

az vm start \
    --resource-group myResourceGroup --name myVm

Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Volg de stappen om vertrouwd starten in te schakelen op een bestaande Virtuele Azure-machine van de tweede generatie met behulp van Azure PowerShell.

Zorg ervoor dat u de nieuwste Azure PowerShell installeert en bent aangemeld bij een Azure-account met Connect-AzAccount.

Meld u aan bij het Azure-abonnement voor de VM.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

De toewijzing van de virtuele machine ongedaan maken.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Vertrouwde start inschakelen door in te stellen -SecurityType op TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Valideer securityProfile in de bijgewerkte VM-configuratie.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Start de virtuele machine.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Volg de stappen om vertrouwd starten in te schakelen op een bestaande Virtuele Machine van de Tweede Generatie van Azure met behulp van een ARM-sjabloon.

Een Azure Resource Manager-sjabloon is een JSON-bestand (JavaScript Object Notation) dat de infrastructuur en configuratie voor uw project definieert. Voor de sjabloon is declaratieve syntaxis vereist. U beschrijft de beoogde implementatie zonder de reeks programmeeropdrachten te schrijven om de implementatie te maken.

Bekijk de sjabloon.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Bewerk het parameters JSON-bestand met VM's die moeten worden bijgewerkt met het TrustedLaunch beveiligingstype.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definitie van parameterbestand

Eigenschappen	Beschrijving van eigenschap	Voorbeeldwaarde van sjabloon
vmName	Naam van azure Generation 2 VM.	`myVm`
locatie	Locatie van Azure Generation 2 VM.	`westus3`
secureBootEnabled	Schakel Beveiligd opstarten in met het beveiligingstype Vertrouwde start.	`true`

Maak de toewijzing van alle Virtuele Azure-machines van de tweede generatie ongedaan die moeten worden bijgewerkt.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Voer de implementatie van de ARM-sjabloon uit.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Schermopname van de vertrouwde starteigenschappen van de virtuele machine.

Start de bijgewerkte vertrouwde start-VM. Controleer of u zich kunt aanmelden bij de VIRTUELE machine met behulp van RDP (voor Windows-VM's) of SSH (voor Linux-VM's).

Aanbeveling voor Azure Advisor

Azure Advisor vult een aanbeveling voor operationele topprestaties van vertrouwde lancering inschakelen en moderne beveiliging voor bestaande operationele uitmuntendheid van de tweede generatie voor bestaande vm's van de tweede generatie om vertrouwde lancering aan te nemen, een hogere beveiligingspostuur voor Azure-VM's zonder extra kosten. Zorg ervoor dat de VM van generatie 2 alle vereisten heeft om te migreren naar vertrouwde start, volg alle aanbevolen procedures, waaronder validatie van de installatiekopieën van het besturingssysteem, de VM-grootte en het maken van herstelpunten. Volg de stappen die worden beschreven in de inschakelen vertrouwde start op een bestaande VIRTUELE machine om het beveiligingstype voor virtuele machines te upgraden en vertrouwde start in te schakelen voor de advisor-aanbeveling.

Wat gebeurt er als er vm's van de tweede generatie zijn, die niet voldoen aan de vereisten voor vertrouwde lancering?

Voor een VM van de tweede generatie die niet voldoet aan de vereisten om een upgrade uit te voeren naar Vertrouwde lancering, ziet u hoe u aan de vereisten voldoet. Als het gebruik van een grootte van een virtuele machine bijvoorbeeld niet wordt ondersteund, zoekt u naar een equivalente ondersteunde grootte voor vertrouwde start die ondersteuning biedt voor vertrouwde start.

Notitie

Sluit de aanbeveling als de virtuele Gen2-machine is geconfigureerd met VM-groottefamilies die momenteel niet worden ondersteund met vertrouwde lancering, zoals MSv2-serie.

Raadpleeg Vertrouwde start-VM's implementeren voor het inschakelen van vertrouwde start op nieuwe virtuele machines en schaalsetimplementaties.
Raadpleeg bewaking van opstartintegriteit voor het inschakelen van bewaking van opstartintegriteit en het bewaken van de status van de VIRTUELE machine met behulp van Microsoft Defender voor Cloud.
Meer informatie over vertrouwd starten en veelgestelde vragen bekijken.

Share via

Vertrouwde start inschakelen op bestaande Azure Gen2-VM's

Vereisten

Aanbevolen procedures

Vertrouwde start inschakelen op een bestaande VM

Aanbeveling voor Azure Advisor

Feedback

Aanvullende resources

Share via

Vertrouwde start inschakelen op bestaande Azure Gen2-VM's

Vereisten

Aanbevolen procedures

Vertrouwde start inschakelen op een bestaande VM

Aanbeveling voor Azure Advisor

Gerelateerde inhoud

Feedback

Aanvullende resources