Avvio attendibile per le macchine virtuali di Azure

  • Articolo

Si applica a: ✔️ Macchine virtuali ✔️ Linux Macchine virtuali ✔️ Windows Set di scalabilità flessibili Set ✔️ di scalabilità uniformi

Azure offre un avvio affidabile come un modo semplice per migliorare la sicurezza delle macchine virtuali di seconda generazione . L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate.

Importante

  • L'opzione Avvio attendibile è selezionata come stato predefinito per le macchine virtuali di Azure appena create. Se la nuova macchina virtuale richiede funzionalità non supportate dall'avvio attendibile, vedere le domande frequenti sull'avvio attendibile
  • Le macchine virtuali di prima generazione di Azure esistenti possono avere l'avvio attendibile abilitato dopo la creazione. Per altre informazioni, vedere Abilitare l'avvio attendibile nelle macchine virtuali esistenti
  • Non è possibile abilitare l'avvio attendibile in un set di scalabilità di macchine virtuali esistente creato inizialmente senza di esso. L'avvio attendibile richiede la creazione di nuovi set di scalabilità di macchine virtuali.

Vantaggi

  • Distribuire in modo sicuro le macchine virtuali con caricatori di avvio verificati, kernel del sistema operativo e driver.
  • Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
  • Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
  • Verificare che i carichi di lavoro siano attendibili e verificabili.

dimensioni Macchine virtuali

Type Famiglie di dimensioni supportate Attualmente non sono supportate le famiglie di dimensioni Famiglie di dimensioni non supportate
Utilizzo generico Serie B, serie DCsv2, serie DCsv3, serie DCdsv3, serie Serie Dv4, serie Dsv4, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dlsv5-series,Serie Dldsv5 Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series Serie Av2, Serie Dv2, Serie Dv3
Con ottimizzazione per il calcolo Serie FX, serie Fsv2 Tutte le dimensioni supportate.
Ottimizzato per la memoria Serie Dsv2, serie Esv3, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series ,Edv5-series, Edsv5-series, Edsv5-series Serie Epsv5, Epdsv5- series, M-series, Msv2- series, Mdsv2 Medium Memory series, Mv2-series Serie Ev3
Con ottimizzazione per l'archiviazione Serie Lsv2, serie Lsv3, serie Lasv3 Tutte le dimensioni supportate.
GPU Serie NCv2, serie NCv3, serie NCasT4_v3, serie NVv3, serie NVv4, serie NDv2, serie NC_A100_v4, serie NVadsA10 v5 serie NDasrA100_v4, serie NDm_A100_v4 Serie NC, serie NV, serie NP
High Performance Compute Serie HB, serie HBv2, serie HBv3, serie HBv4, serie HC, serie HX Tutte le dimensioni supportate.

Nota

  • L'installazione dei driver CUDA & GRID nelle macchine virtuali Windows abilitate per l'avvio protetto non richiede passaggi aggiuntivi.
  • L'installazione del driver CUDA nelle macchine virtuali Ubuntu abilitate per l'avvio protetto richiede passaggi aggiuntivi documentati in Installare i driver GPU NVIDIA nelle macchine virtuali serie N che eseguono Linux. L'avvio protetto deve essere disabilitato per l'installazione dei driver CUDA in altre macchine virtuali Linux.
  • Per l'installazione del driver GRID è necessario disabilitare l'avvio protetto per le macchine virtuali Linux.
  • Le famiglie di dimensioni non supportate non supportano le macchine virtuali di seconda generazione . Modificare le dimensioni della macchina virtuale impostando le famiglie di dimensioni supportate equivalenti per l'abilitazione dell'avvio attendibile.

Sistemi operativi supportati

Sistema operativo Versione
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Window Server (Edizione di Azure) 2022

* Sono supportate le varianti di questo sistema operativo.

Informazioni aggiuntive

Aree di Azure:

  • Tutte le aree pubbliche
  • Tutte le aree Azure per enti pubblici
  • Tutte le aree di Azure Cina

Prezzi: l'avvio attendibile non aumenta i costi dei prezzi delle macchine virtuali esistenti.

Funzionalità non supportate

Nota

Le funzionalità di macchina virtuale seguenti non sono attualmente supportate con Avvio attendibile.

  • Azure Site Recovery
  • Immagine gestita (i clienti sono invitati a usare la raccolta di calcolo di Azure)
  • Virtualizzazione annidata (la maggior parte delle famiglie di dimensioni delle macchine virtuali v5 supportate)

Avvio protetto

Nella radice dell'avvio attendibile è Avvio protetto per la macchina virtuale. L'avvio protetto, implementato nel firmware della piattaforma, protegge dall'installazione di rootkit e kit di avvio basati su malware. L'avvio protetto funziona per garantire che solo i sistemi operativi e i driver firmati possano essere avviati. Stabilisce una "radice di attendibilità" per lo stack software nella macchina virtuale. Con l'avvio protetto abilitato, tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) richiedono la firma di autori attendibili. Sia Windows che le distribuzioni Linux supportano l'avvio protetto. Se l'avvio protetto non riesce a autenticare che l'immagine è firmata da un autore attendibile, l'avvio della macchina virtuale non riesce. Per altre informazioni, vedere Avvio protetto.

vTPM

L'avvio attendibile introduce anche vTPM per le macchine virtuali di Azure. vTPM è una versione virtualizzata di un modulo trusted platform hardware conforme alla specifica TPM2.0. Funge da insieme di credenziali sicuro dedicato per chiavi e misurazioni. L'avvio attendibile fornisce alla macchina virtuale una propria istanza TPM dedicata, in esecuzione in un ambiente sicuro all'esterno della copertura di qualsiasi macchina virtuale. VTPM abilita l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

L'avvio attendibile usa vTPM per eseguire l'attestazione remota tramite il cloud. Le attestazioni abilitano i controlli di integrità della piattaforma e per prendere decisioni basate sull'attendibilità. Come controllo dell'integrità, l'avvio attendibile può certificare crittograficamente che la macchina virtuale è stata avviata correttamente. Se il processo non riesce, probabilmente perché la macchina virtuale esegue un componente non autorizzato, Microsoft Defender per il cloud genera avvisi di integrità. Gli avvisi includono i dettagli sui componenti che non sono riusciti a superare i controlli di integrità.

Sicurezza basata su virtualizzazione

La sicurezza basata su virtualizzazione usa l'hypervisor per creare un'area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità e exploit dannosi. L'avvio attendibile consente di abilitare l'integrità del codice hypervisor (HVCI) e Windows Defender Credential Guard.

HVCI è una potente mitigazione del sistema che protegge i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell'esecuzione, impedendo il caricamento dei file non firmati in memoria. Verifica che il codice eseguibile non possa essere modificato dopo il caricamento. Per altre informazioni su VBS e HVCI, vedere Virtualization Based Security (VBS) e Hypervisor Enforced Code Integrity (HVCI).For more information about VBS and HVCI, see Virtualization Based Security (VBS) and Hypervisor Enforced Code Integrity (HVCI).For more information about VBS and HVCI, see Virtualization Based Security (VBS) and Hypervisor Enforced Code Integrity (HVCI).

Con l'avvio attendibile e la sicurezza basata su virtualizzazione è possibile abilitare Windows Defender Credential Guard. Credential Guard isola e protegge i segreti in modo che solo il software di sistema con privilegi possa accedervi. Consente di impedire l'accesso non autorizzato ai segreti e agli attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash (PtH). Per altre informazioni, vedere Credential Guard.

Integrazione di Microsoft Defender per il cloud

L'avvio attendibile è integrato con Microsoft Defender per il cloud per assicurarsi che le macchine virtuali siano configurate correttamente. Microsoft Defender per il cloud valuta continuamente le macchine virtuali compatibili e rilascia raccomandazioni pertinenti.

  • Raccomandazione per abilitare l'avvio protetto: la raccomandazione di avvio protetto si applica solo alle macchine virtuali che supportano l'avvio attendibile. Microsoft Defender per il cloud identifica le macchine virtuali che possono abilitare l'avvio protetto, ma hanno disabilitato. Invia una raccomandazione di gravità bassa per abilitarla.
  • Raccomandazione per abilitare vTPM: se la macchina virtuale ha vTPM abilitato, Microsoft Defender per il cloud può usarla per eseguire l'attestazione guest e identificare i modelli di minaccia avanzati. Se Microsoft Defender per il cloud identifica le macchine virtuali che supportano l'avvio attendibile e hanno vTPM disabilitato, genera una raccomandazione di gravità bassa per abilitarla.
  • Raccomandazione di installare l'estensione di attestazione guest: se la macchina virtuale ha l'avvio protetto e vTPM abilitato, ma non è installata l'estensione di attestazione guest, Microsoft Defender per il cloud genera raccomandazioni di gravità bassa per installare l'estensione di attestazione guest. Questa estensione consente Microsoft Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio delle macchine virtuali. L'integrità dell'avvio viene attestata tramite attestazione remota.
  • Valutazione dell'integrità dell'attestazione o Monitoraggio dell'integrità dell'avvio di avvio: se nella macchina virtuale è installata l'estensione di avvio protetto e vTPM e l'estensione di attestazione, Microsoft Defender per il cloud può verificare in remoto che la macchina virtuale sia stata avviata in modo integro. Questo è noto come monitoraggio dell'integrità dell'avvio. Microsoft Defender per il cloud esegue una valutazione, che indica lo stato dell'attestazione remota.

Se le macchine virtuali sono configurate correttamente con l'avvio attendibile, Microsoft Defender per il cloud è in grado di rilevare e segnalare problemi di integrità delle macchine virtuali.

  • Avviso per l'errore di attestazione della macchina virtuale: Microsoft Defender per il cloud esegue periodicamente l'attestazione nelle macchine virtuali. L'attestazione si verifica anche dopo l'avvio della macchina virtuale. Se l'attestazione ha esito negativo, attiva un avviso di gravità media. L'attestazione della macchina virtuale può avere esito negativo per i motivi seguenti:

    • Le informazioni attestate, che includono un log di avvio, deviano da una baseline attendibile. Qualsiasi deviazione può indicare che i moduli non attendibili sono stati caricati e che il sistema operativo potrebbe essere compromesso.
    • Non è stato possibile verificare che l'offerta di attestazione abbia origine dal vTPM della macchina virtuale con attestazione. Un'origine non verificata può indicare che il malware è presente e potrebbe intercettare il traffico verso vTPM.

    Nota

    Gli avvisi sono disponibili per le macchine virtuali con vTPM abilitato e l'estensione Attestazione installata. L'avvio protetto deve essere abilitato per il passaggio dell'attestazione. L'attestazione ha esito negativo se l'avvio protetto è disabilitato. Se è necessario disabilitare l'avvio protetto, è possibile eliminare questo avviso per evitare falsi positivi.

  • Avviso per il modulo Kernel Linux non attendibile: per l'avvio attendibile con avvio protetto abilitato, è possibile che una macchina virtuale venga avviata anche se un driver del kernel non riesce la convalida e non è consentito il caricamento. In questo caso, Microsoft Defender per il cloud genera avvisi con gravità bassa. Anche se non esiste alcuna minaccia immediata, perché il driver non attendibile non è stato caricato, questi eventi devono essere esaminati.

    • Quale driver del kernel non è riuscito? Ho familiarità con questo driver e mi aspetto che venga caricato?
    • Questa è la versione esatta del driver che mi aspetto? I file binari del driver sono intatti? Se si tratta di un driver di terze parti, il fornitore ha superato i test di conformità del sistema operativo per ottenere la firma?

Passaggi successivi

Distribuire una macchina virtuale di avvio attendibile.