Доверенный запуск для виртуальных машин Azure

  • Статья

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Azure предлагает доверенный запуск как простой способ повышения безопасности виртуальных машин 2-го поколения. Доверенный запуск защищает от сложных и постоянных атак. Доверенный запуск состоит из нескольких скоординированных инфраструктурных технологий, которые можно активировать независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз.

Важно!

  • Доверенный запуск выбран в качестве состояния по умолчанию для только что созданных виртуальных машин Azure. Если для новой виртуальной машины требуются функции, которые не поддерживаются доверенным запуском , см. часто задаваемые вопросы о доверенном запуске.
  • Существующие виртуальные машины поколения 2 Azure могут включать доверенный запуск после создания. Дополнительные сведения см. в разделе "Включение доверенного запуска" на существующих виртуальных машинах
  • Невозможно включить доверенный запуск в существующем масштабируемом наборе виртуальных машин (VMSS), который изначально был создан без него. Для доверенного запуска требуется создание новой виртуальной машины.

Льготы

  • Безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами ОС и драйверами.
  • Безопасная защита ключей, сертификатов и секретов на виртуальных машинах.
  • Получите аналитические сведения и уверенность в целостности всей цепочки загрузки.
  • Гарантирование того, что рабочие нагрузки являются доверенными и проверяемыми.

размеры Виртуальные машины

Тип Поддерживаемые семейства размеров В настоящее время не поддерживается семейства размеров Не поддерживается семейства размеров
Общего назначения Серии B, DCsv2 серии, DCsv3-series, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series,Серия Dldsv5 Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series Av2-series, Dv2-series, Dv3-series
Оптимизированные для вычислений Серия FX, Fsv2-series Все поддерживаемые размеры.
Оптимизированные для памяти Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series ,Edv5-series, Edsv5-series Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series Серия Ev3
Оптимизированные для хранилища Lsv2-series, Lsv3-series, Lasv3-series Все поддерживаемые размеры.
GPU NCv2-series, NCv3-series, NCasT4_v3-series, NVv3-series, NVv4-series, NDv2-series, NC_A100_v4-series, NVadsA10 v5-series серия NDasrA100_v4 NDm_A100_v4 Серии NC, серии NV, NP-серии
Высокопроизводительные вычисления HB-series, HBv2-series, HBv3-series, HBv4-series, HC-series, HX-series Все поддерживаемые размеры.

Примечание.

  • Установка драйверов CUDA и GRID на виртуальных машинах Windows с поддержкой безопасной загрузки не требует дополнительных действий.
  • Установка драйвера CUDA на виртуальных машинах с поддержкой безопасной загрузки Ubuntu требует дополнительных шагов, описанных при установке драйверов GPU NVIDIA на виртуальных машинах серии N под управлением Linux. Безопасная загрузка должна быть отключена для установки драйверов CUDA на других виртуальных машинах Linux.
  • Для установки драйвера GRID требуется отключить безопасную загрузку для виртуальных машин Linux.
  • Не поддерживаемые семейства размеров не поддерживают виртуальные машины поколения 2 . Измените размер виртуальной машины на эквивалентные семейства поддерживаемых размеров для включения доверенного запуска.

Поддерживаемые операционные системы

ОС Версия
AlmaLinux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Сервер Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Window Server (Выпуск Azure) 2022

* Поддерживаются варианты этой операционной системы.

Дополнительная информация:

Регионы

  • Все общедоступные регионы
  • Все Azure для государственных организаций регионы
  • Все регионы Azure Для Китая

Цены: доверенный запуск не увеличивает существующие затраты на виртуальную машину.

Неподдерживаемые функции

Примечание.

Следующие функции виртуальной машины в настоящее время не поддерживаются доверенным запуском.

  • Azure Site Recovery
  • Управляемый образ (клиентам рекомендуется использовать коллекцию вычислений Azure)
  • Вложенная виртуализация (большинство поддерживаемых семейств размеров виртуальных машин версии 5)

Безопасная загрузка

В основе доверенного запуска находится безопасная загрузка ВМ. Безопасная загрузка, реализованная в встроенном ПО платформы, защищает от установки вредоносных программ rootkits и загрузочных комплектов. Безопасная загрузка обеспечивает возможность загрузки только подписанных операционных систем и драйверов. При этом задается "корневое доверие" для стека программного обеспечения на виртуальной машине. При включенной безопасной загрузке все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) требуют подписывания доверенных издателей. Безопасная загрузка поддерживается как Windows, так и некоторыми дистрибутивами Linux. Если безопасная загрузка не проходит проверку подлинности, что образ подписан доверенным издателем, виртуальная машина не загрузится. Дополнительные сведения см. в статье Безопасная загрузка.

vTPM

Доверенный запуск также вводит vTPM для виртуальных машин Azure. VTPM — это виртуализированная версия аппаратного доверенного платформенного модуля, соответствующая спецификации TPM2.0. Он служит выделенным безопасным хранилищем для ключей и измерений. При доверенном запуске виртуальной машине предоставляется собственный выделенный экземпляр TPM, работающий в безопасной среде за пределами виртуальной машины. vTPM активирует аттестацию, измеряя всю цепочку загрузки виртуальной машины (UEFI, ОС, система и драйверы).

Доверенный запуск использует vTPM для выполнения удаленной аттестации через облако. Аттестации позволяют проверка работоспособности платформ и принимать решения на основе доверия. При проверке работоспособности доверенный запуск может криптографически сертифицировать правильность загрузки виртуальной машины. Если процесс завершается ошибкой, возможно, так как виртуальная машина выполняет несанкционированный компонент, Microsoft Defender для облака выдает оповещения о целостности. В оповещениях содержатся сведения о компонентах, которые не прошли проверку целостности.

Безопасность на основе виртуализации

Чтобы обеспечить безопасность на основе виртуализации (VBS), используется гипервизор для создания защищенной изолированной области памяти. ОС Windows использует эти области для реализации разных решений безопасности с повышенной защитой от уязвимостей и вредоносных эксплойтов. Доверенный запуск позволяет включить функцию целостности кода с гипервизором (HVCI) и Credential Guard в Защитнике Windows.

HVCI — это мощное средство обеспечения безопасности системы, защищающее процессы режима ядра Windows от внедрения и выполнения вредоносного или непроверенного кода. Оно проверяет драйверы и двоичные файлы режима ядра перед запуском и не допускает загрузки неподписанных файлов в память. Проверяет, не удается изменить исполняемый код после его загрузки. Дополнительные сведения о VBS и HVCI см. в статье Обеспечение безопасности на основе виртуализации (VBS) и обеспечение целостности кода с гипервизором (HVCI).

С помощью доверенного запуска и VBS можно включить Credential Guard в Защитнике Windows. Credential Guard изолирует и защищает секреты, чтобы к ним могли обращаться только привилегированные системные программы. Это позволяет предотвратить несанкционированный доступ к секретам и атаки для кражи учетных данных, например атаки Pass-the-Hash (PtH). Дополнительные сведения см. в статье Credential Guard.

Интеграция с Microsoft Defender для облака

Доверенный запуск интегрирован с Microsoft Defender для облака, чтобы убедиться, что виртуальные машины настроены правильно. Microsoft Defender для облака постоянно оценивает совместимые виртуальные машины и выдает соответствующие рекомендации.

  • Рекомендация по включению безопасной загрузки — рекомендация безопасной загрузки применяется только для виртуальных машин, поддерживающих доверенный запуск. Microsoft Defender для облака определяет виртуальные машины, которые могут включить безопасную загрузку, но отключить ее. Она выдает рекомендацию с низкой степенью серьезности, чтобы включить ее.
  • Рекомендация по включению vTPM. Если виртуальная машина включена, Microsoft Defender для облака может использовать ее для выполнения аттестации гостей и определения расширенных шаблонов угроз. Если Microsoft Defender для облака идентифицирует виртуальные машины, поддерживающие доверенный запуск и отключенные vTPM, она выдает рекомендацию с низкой степенью серьезности, чтобы включить ее.
  • Рекомендация по установке расширения аттестации гостей. Если у виртуальной машины включена безопасная загрузка и vTPM, но у нее нет установленного расширения аттестации гостей, Microsoft Defender для облака проблемы с рекомендациями по низкой серьезности для установки расширения аттестации гостей. Это расширение позволяет Microsoft Defender для облака заранее тестировать и отслеживать целостность загрузки виртуальных машин. Целостность загрузки будет подтверждаться с помощью удаленной аттестации.
  • Оценка работоспособности аттестации или мониторинг целостности загрузки. Если у виртуальной машины включена безопасная загрузка и vTPM, а также установлено расширение аттестации, Microsoft Defender для облака может удаленно проверить работоспособность загрузки виртуальной машины. Это называется мониторингом целостности загрузки. Microsoft Defender для облака выдает оценку, указывая состояние удаленной аттестации.

Если виртуальные машины настроены надлежащим образом, с доверенным запуском, Microsoft Defender для облака может обнаруживать проблемы с работоспособностью виртуальных машин и предупреждать о них.

  • Оповещение о сбое аттестации виртуальных машин: Microsoft Defender для облака периодически выполняет аттестацию на виртуальных машинах. Аттестация также происходит после загрузки виртуальной машины. Если аттестация завершается ошибкой, она активирует оповещение среднего уровня серьезности. Сбой аттестации ВМ может произойти по причинам, описанным ниже.

    • Аттестованная информация, включая журнал загрузки, отклоняется от доверенных базовых показателей. Любое отклонение может указывать на то, что ненадежные модули загружены, и ОС может быть скомпрометирована.
    • Кавычка аттестации не может быть проверена, чтобы она была получена из VTPM проверенной виртуальной машины. Неверифицированный источник может указать, что вредоносные программы присутствуют и могут перехватывать трафик в VTPM.

    Примечание.

    Оповещения доступны для виртуальных машин с включенным vTPM и установленным расширением аттестации. Для прохождения аттестации необходимо включить безопасную загрузку. Аттестация завершается ошибкой, если безопасная загрузка отключена. Если необходимо отключить безопасную загрузку, следует отключить это оповещение, чтобы избежать ложных срабатываний.

  • Оповещение о модуле ядра Linux: для доверенного запуска с включенной безопасной загрузкой виртуальная машина может загружаться, даже если драйвер ядра завершает проверку и запрещено загружать. В этом случае Microsoft Defender для облака выдает оповещения с низкой степенью серьезности. Хотя нет непосредственной угрозы, так как ненадежный драйвер не был загружен, эти события должны быть расследованы.

    • Какой драйвер ядра не удалось выполнить? Знаком ли мне этот драйвер? Предполагаю ли я, что он будет загружен?
    • Это точная версия драйвера, который я ожидаю? Не повреждены ли двоичные файлы драйвера? Если это сторонний драйвер, поставщик прошел тесты соответствия ОС, чтобы получить его подпись?

Следующие шаги

Развертывание виртуальной машины с доверенным запуском.