Mevcut Azure 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme

Makale
10/15/2024

Şunlar için geçerlidir: ✔️ Linux VM ✔️ Windows VM ✔️ 2. Nesil VM

Azure Sanal Makineler, Güvenilen başlatma güvenlik türüne yükselterek mevcut Azure 2. Nesil sanal makinelerde (VM) Azure Güvenilen başlatmayı etkinleştirmeyi destekler.

Güvenilir başlatma , Azure 2. Nesil VM'lerde temel işlem güvenliğini etkinleştirmenin ve önyükleme setleri ve rootkit'ler gibi gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlamanın bir yoludur. Bunu, Vm'nizde Güvenli Önyükleme, sanal Güvenilen Platform Modülü (vTPM) ve önyükleme bütünlüğü izleme gibi altyapı teknolojilerini birleştirerek yapar.

Önemli

Mevcut Azure 1. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme desteği şu anda önizleme aşamasındadır. Mevcut Azure 1. Nesil VM'leri yükseltme ve Güvenilen başlatmayı etkinleştirme bölümüne bakın.

Önkoşullar

Azure VM şu şekilde yapılandırılır:

Güvenilen lansman desteklenen boyut ailesi.
Güvenilen başlatma desteklenen işletim sistemi (OS) sürümü. Özel işletim sistemi görüntüleri veya diskleri için temel görüntü Güvenilir başlatma özelliğine sahip olmalıdır.
Azure VM şu anda Güvenilen başlatma ile desteklenmeyen özellikleri kullanmıyor.
Vm'ler için Azure Backup etkinleştirildiyse Gelişmiş Yedekleme ilkesiyle yapılandırılmalıdır. Güvenilir başlatma güvenlik türü, Standart ilke yedekleme koruması ile yapılandırılmış VM'ler için etkinleştirilemiyor.
- Mevcut Azure VM yedeklemesi Standart ilkeden Gelişmiş ilkesine geçirilebilir. Azure VM yedeklemelerini Standart ilkeden Gelişmiş ilkeye (önizleme) geçirme başlıklı adımları izleyin.

En iyi yöntemler

Test 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin ve üretim iş yükleriyle ilişkili 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirmeden önce önkoşulları karşılamak için herhangi bir değişiklik gerekip gerekmediğini belirleyin.
Güvenilen başlatma güvenlik türünü etkinleştirmeden önce üretim iş yükleriyle ilişkili Azure 2. Nesil VM'ler için geri yükleme noktaları oluşturun. Önceki iyi bilinen durumla diskleri ve 2. Nesil VM'yi yeniden oluşturmak için geri yükleme noktalarını kullanabilirsiniz.

Mevcut bir VM'de Güvenilen başlatmayı etkinleştirme

Not

Güvenilen başlatmayı etkinleştirdikten sonra, şu anda VM'ler Standart güvenlik türüne (Güvenilir olmayan başlatma yapılandırması) geri alınamaz.
vTPM varsayılan olarak etkindir.
Özel imzasız çekirdek veya sürücüler kullanmıyorsanız Güvenli Önyükleme'yi etkinleştirmenizi öneririz. Varsayılan olarak etkin değildir. Güvenli Önyükleme önyükleme bütünlüğünü korur ve VM'ler için temel güvenliği etkinleştirir.

Azure portalını kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirin.

Azure Portal’ında oturum açın.
VM oluşturma işleminin V2 olduğunu onaylayın ve VM için Durdur'u seçin.
VM özelliklerindeki Genel Bakış sayfasında, Güvenlik türü altında Standart'ı seçin. VM'nin Yapılandırma sayfası açılır.
Yapılandırma sayfasındaki Güvenlik türü bölümünün altında Güvenlik türü açılan listesini seçin.
Açılan listenin altında Güvenilen başlat'ı seçin. Güvenli Önyükleme ve vTPM'yi etkinleştirmek için onay kutularını seçin. Değişiklikleri yaptıktan sonra Kaydet'i seçin.
Not
- Azure İşlem Galerisi (ACG), Yönetilen görüntü veya işletim sistemi diski kullanılarak oluşturulan 2. nesil VM'ler portal kullanılarak Güvenilen başlatmaya yükseltilemiyor. güvenilir başlatma için işletim sistemi sürümünün desteklendiğinden emin olun. Yükseltmeyi çalıştırmak için PowerShell, Azure CLI veya Azure Resource Manager şablonu (ARM şablonu) kullanın.
Güncelleştirme başarıyla tamamlandıktan sonra Yapılandırma sayfasını kapatın. VM özelliklerindeki Genel Bakış sayfasında Güvenlik türü ayarlarını onaylayın.
Yükseltilen Güvenilen başlatma VM'sini başlatın. Windows VM'leri için Uzak Masaüstü Protokolü'nü (RDP) veya Linux VM'ler için Güvenli Kabuk Protokolü'nü (SSH) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Azure CLI kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

En son Azure CLI'yi yüklediğinizden ve az login ile bir Azure hesabında oturum açtığınızdan emin olun.

VM Azure aboneliğinde oturum açın.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

VM'yi serbest bırakma.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

olarak ayarlayarak --security-type Güvenilen başlatmayı TrustedLaunchetkinleştirin.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Önceki komutun çıkışını doğrulayın. Yapılandırmanın securityProfile komut çıkışıyla döndürüldiğinden emin olun.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

VM’yi başlatın.

az vm start \
    --resource-group myResourceGroup --name myVm

Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Azure PowerShell kullanarak mevcut bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

En son Azure PowerShell'i yüklediğinizden ve Connect-AzAccount ile bir Azure hesabında oturum açtığınızdan emin olun.

VM Azure aboneliğinde oturum açın.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

VM'yi serbest bırakma.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

olarak ayarlayarak -SecurityType Güvenilen başlatmayı TrustedLaunchetkinleştirin.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Güncelleştirilmiş VM yapılandırmasında doğrulayın securityProfile .

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

VM’yi başlatın.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

ARM şablonu kullanarak mevcut Bir Azure 2. Nesil VM'de Güvenilen başlatmayı etkinleştirmek için adımları izleyin.

Azure Resource Manager şablonu, projenizin altyapısını ve yapılandırmasını tanımlayan bir JavaScript Nesne Gösterimi (JSON) dosyasıdır. Bu şablonda, bildirim temelli sözdizimi kullanılır. Dağıtımı oluşturmak için programlama komutlarının sırasını yazmadan hedeflenen dağıtımınızı açıklarsınız.

Şablonu gözden geçirin.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

parameters Güvenlik türüyle güncelleştirilecek TrustedLaunch VM'lerle JSON dosyasını düzenleyin.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Parametre dosyası tanımı

Özellik	Özellik açıklaması	Örnek şablon değeri
vmName	Azure 2. Nesil VM'nin adı.	`myVm`
konum	Azure 2. Nesil VM'nin konumu.	`westus3`
secureBootEnabled	Güvenli Önyükleme'yi Güvenilen başlatma güvenlik türüyle etkinleştirin.	`true`

Güncelleştirilecek tüm Azure 2. Nesil VM'leri serbest bırakma.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

ARM şablonu dağıtımını çalıştırın.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

VM'nin Güvenilen başlatma özelliklerini gösteren ekran görüntüsü.

Yükseltilen Güvenilen başlatma VM'sini başlatın. RDP (Windows VM'leri için) veya SSH (Linux VM'leri için) kullanarak VM'de oturum açabildiğinizi doğrulayın.

Azure Danışmanı Önerisi

Azure Danışmanı, Sizin için ek ücret ödemeden Azure VM'leri için daha yüksek bir güvenlik duruşu olan Güvenilen başlatmayı benimsemek üzere mevcut 2. Nesil VM'ler için Güvenilir başlatma temel mükemmelliği ve mevcut 2. Nesil VM'ler için modern güvenlik önerisini doldurur. 2. Nesil VM'nin Güvenilen başlatmaya geçiş için tüm önkoşullara sahip olduğundan emin olun, işletim sistemi görüntüsünü doğrulama, VM Boyutu ve geri yükleme noktaları oluşturma gibi en iyi yöntemleri izleyin. Danışman önerisinin tamamlanmış olarak kabul edilmesi için, sanal makinelerin güvenlik türünü yükseltmek ve Güvenilen başlatmayı etkinleştirmek için Mevcut bir VM'de Güvenilen başlatmayı etkinleştir bölümünde açıklanan adımları izleyin.

Güvenilen başlatma önkoşullarına uymayan 2. Nesil VM'ler varsa ne olur?

Güvenilen başlatmaya yükseltme önkoşullarını karşılamayan 2. Nesil VM için önkoşulları nasıl yerine getirebilirsiniz? Örneğin, sanal makine boyutu kullanılıyorsa, Güvenilen başlatmayı destekleyen eşdeğer bir Güvenilen başlatma desteklenen boyutu arayın.

Not

2. Nesil sanal makine şu anda MSv2 serisi gibi Güvenilir başlatma ile desteklenmeyen VM boyutu aileleri ile yapılandırılmışsa lütfen öneriyi kapatın.

Yeni sanal makine ve ölçek kümesi dağıtımlarında Güvenilen başlatmayı etkinleştirmek için Güvenilen başlatma sanal makinelerini dağıtma bölümüne bakın.
Önyükleme bütünlüğünü izlemeyi etkinleştirmek için önyükleme bütünlüğü izleme bölümüne bakın ve Bulut için Microsoft Defender kullanarak VM'nin durumunu izleyin.
Güvenilen başlatma hakkında daha fazla bilgi edinin ve sık sorulan soruları gözden geçirin.

Aracılığıyla paylaş

Mevcut Azure 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme

Önkoşullar

En iyi yöntemler

Mevcut bir VM'de Güvenilen başlatmayı etkinleştirme

Azure Danışmanı Önerisi

Geri Bildirim

Ek kaynaklar

Aracılığıyla paylaş

Mevcut Azure 2. Nesil VM'lerde Güvenilen başlatmayı etkinleştirme

Önkoşullar

En iyi yöntemler

Mevcut bir VM'de Güvenilen başlatmayı etkinleştirme

Azure Danışmanı Önerisi

İlgili içerik

Geri Bildirim

Ek kaynaklar