Nasazení virtuálního počítače s povoleným důvěryhodným spuštěním

Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ pro virtuální počítače s Windows ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️.

Důvěryhodné spuštění je způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2 . generace. Trusted Launch chrání před pokročilými a trvalými technikami útoku kombinováním technologií infrastruktury, jako jsou virtuální trusted Platform Module (vTPM) a zabezpečené spouštění.

Požadavky

  • Pokud ještě není, doporučujeme nasadit své předplatné do programu Microsoft Defender for Cloud . Defender for Cloud má bezplatnou úroveň, která nabízí užitečné přehledy pro různé prostředky Azure a hybridní prostředky. Vzhledem k absenci Defenderu pro cloud nemůžou uživatelé důvěryhodného spouštěcího virtuálního počítače monitorovat integritu spouštění virtuálního počítače.

  • Přiřaďte k předplatnému iniciativy Azure Policy. Tyto iniciativy zásad je potřeba přiřadit pouze jednou pro každé předplatné. Zásady vám pomůžou nasadit a auditovat virtuální počítače důvěryhodného spuštění při automatické instalaci všech požadovaných rozšíření na všechny podporované virtuální počítače.

    • Nakonfigurujte integrovanou iniciativu zásad důvěryhodného spuštění virtuálních počítačů.
    • Nakonfigurujte požadavky na povolení ověření hosta na virtuálních počítačích s podporou důvěryhodného spuštění.
    • Nakonfigurujte počítače tak, aby na virtuální počítače automaticky nainstalovaly agenty Azure Monitor a Azure Security.
  • Povolte značku AzureAttestation služby ve odchozích pravidlech skupiny zabezpečení sítě, aby se povolil provoz pro ověření identity Azure. Další informace najdete v tématu Značky služeb virtuální sítě.

  • Ujistěte se, že zásady brány firewall umožňují přístup k *.attest.azure.net.

Poznámka:

Pokud používáte image Linuxu a předpokládáte, že virtuální počítač může mít ovladače jádra nepodepsané nebo nepodepsané dodavatelem distribuce Linuxu, můžete zvážit vypnutí zabezpečeného spouštění. Na webu Azure Portal na stránce Vytvořit virtuální počítač pro Security type parametr s vybranou možností Trusted Launch Virtual Machines vyberte Konfigurovat funkce zabezpečení a zrušte zaškrtnutí políčka Povolit zabezpečené spouštění . V Azure CLI, PowerShellu nebo sadě SDK nastavte parametr zabezpečeného spouštění na falsehodnotu .

Nasazení důvěryhodného spouštěcího virtuálního počítače

Vytvoření virtuálního počítače s povoleným důvěryhodným spuštěním Zvolte jednu z následujících možností.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte virtuální počítače.

  3. V části Služby vyberte Virtuální počítače.

  4. Na stránce Virtuální počítače vyberte Přidat a pak vyberte Virtuální počítač.

  5. V části Podrobnosti projectu se ujistěte, že je vybrané správné předplatné.

  6. V části Skupina prostředků vyberte Vytvořit novou. Zadejte název skupiny prostředků nebo v rozevíracím seznamu vyberte existující skupinu prostředků.

  7. V části Podrobnosti o instanci zadejte název virtuálního počítače a zvolte oblast, která podporuje důvěryhodné spuštění.

  8. Jako typ zabezpečení vyberte Důvěryhodné spouštěcí virtuální počítače. Jakmile se zobrazí možnosti Zabezpečené spouštění, virtuální počítač vTPM a Monitorování integrity, vyberte příslušné možnosti pro vaše nasazení. Další informace naleznete v tématu Důvěryhodné funkce zabezpečení s podporou spuštění.

    Snímek obrazovky znázorňující možnosti důvěryhodného spuštění

  9. V části Image vyberte image z doporučených imagí Gen2 kompatibilních s důvěryhodným spuštěním. Seznam naleznete v tématu Důvěryhodné spuštění.

    Tip

    Pokud v rozevíracím seznamu nevidíte požadovanou verzi image Gen2, vyberte Zobrazit všechny image. Potom změňte filtr typu zabezpečení na Důvěryhodné spuštění.

  10. Vyberte velikost virtuálního počítače, která podporuje důvěryhodné spuštění. Další informace najdete v seznamu podporovaných velikostí.

  11. Vyplňte informace o účtu správce a pak pravidla portů pro příchozí spojení.

  12. V dolní části stránky vyberte Zkontrolovat a vytvořit.

  13. Na stránce Vytvořit virtuální počítač můžete zobrazit informace o virtuálním počítači, který chcete nasadit. Po úspěšném ověření vyberte Vytvořit.

Sceenshot, který zobrazuje ověřovací stránku s možnostmi důvěryhodného spuštění.

Nasazení virtuálního počítače trvá několik minut.

Virtuální počítače Azure Trusted Launch podporují vytváření a sdílení vlastních imagí pomocí Galerie výpočetních prostředků Azure. Existují dva typy imagí, které můžete vytvořit na základě typů zabezpečení image:

Podporované image důvěryhodného spouštěcího virtuálního počítače

U následujících zdrojů imagí by měl být typ zabezpečení definice image nastaven na TrustedLaunchsupported:

  • Virtuální pevný disk s operačním systémem Gen2
  • Spravovaná image Gen2
  • Verze image galerie Gen2

Do zdroje image nelze zahrnout žádné informace o stavu hosta virtuálního počítače.

Výslednou verzi image můžete použít k vytvoření virtuálních počítačů Azure Gen2 nebo důvěryhodných spouštěcích virtuálních počítačů.

Tyto image je možné sdílet pomocí Galerie výpočetních prostředků Azure – Přímá sdílená galerie a Galerie výpočetních prostředků Azure – Galerie komunity.

Poznámka:

Z image Gen2, která je kompatibilní s důvěryhodnými spouštěcími virtuálními počítači, by se měla vytvořit verze disku s operačním systémem, spravovanou imagí nebo imagí galerie.

  1. Přihlaste se k portálu Azure.
  2. Na panelu hledání vyhledejte a vyberte verze imagí virtuálních počítačů.
  3. Na stránce verze imagí virtuálního počítače vyberte Vytvořit.
  4. Na stránce Vytvořit verzi image virtuálního počítače na kartě Základy:
    1. Vyberte předplatné Azure.
    2. Vyberte existující skupinu prostředků nebo vytvořte novou skupinu prostředků.
    3. Vyberte oblast Azure.
    4. Zadejte číslo verze image.
    5. Jako zdroj vyberte buď objekty blob úložiště (VHD), nebo spravovanou image nebo jinou verzi image virtuálního počítače.
    6. Pokud jste vybrali objekty blob úložiště (VHD), zadejte diskový virtuální pevný disk s operačním systémem (bez stavu hosta virtuálního počítače). Ujistěte se, že používáte virtuální pevný disk Gen2.
    7. Pokud jste vybrali spravovanou image, vyberte existující spravovanou image virtuálního počítače Gen2.
    8. Pokud jste vybrali verzi image virtuálního počítače, vyberte existující verzi image galerie virtuálního počítače Gen2.
    9. V případě cílové výpočetní galerie Azure vyberte nebo vytvořte galerii pro sdílení image.
    10. V případě stavu operačního systému vyberte v závislosti na vašem případu použití možnost Generalized nebo Special. Pokud jako zdroj používáte spravovanou image, vždy vyberte Generalized . Pokud používáte objekt blob úložiště (VHD) a chcete vybrat Generalized, před pokračováním zobecnění virtuálního pevného disku s Linuxem nebo zobecnění virtuálního pevného disku s Windows. Pokud používáte existující verzi image virtuálního počítače, vyberte generalizovanou nebo specializovanou na základě toho, co se používá v definici image zdrojového virtuálního počítače.
    11. V části Definice image cílového virtuálního počítače vyberte Vytvořit novou.
    12. V podokně Vytvořit definici image virtuálního počítače zadejte název definice. Ujistěte se, že je typ zabezpečení nastavený na Trustedlaunch Supported. Zadejte informace o vydavateli, nabídce a SKU. Pak vyberte OK.
  5. Na kartě Replikace zadejte počet replik a cílové oblasti pro replikaci image v případě potřeby.
  6. Na kartě Šifrování zadejte v případě potřeby informace související s šifrováním SSE.
  7. Vyberte Zkontrolovat a vytvořit.
  8. Po úspěšném ověření konfigurace vyberte Vytvořit a dokončete vytváření image.
  9. Po vytvoření verze image vyberte Vytvořit virtuální počítač.
  10. Na stránce Vytvořit virtuální počítač v části Skupina prostředků vyberte Vytvořit nový. Zadejte název skupiny prostředků nebo v rozevíracím seznamu vyberte existující skupinu prostředků.
  11. V části Podrobnosti o instanci zadejte název virtuálního počítače a zvolte oblast, která podporuje důvěryhodné spuštění.
  12. Jako typ zabezpečení vyberte Důvěryhodné spouštěcí virtuální počítače. Ve výchozím nastavení jsou povolená zaškrtávací políčka Zabezpečené spouštění a vTPM .
  13. Vyplňte informace o účtu správce a pak pravidla portů pro příchozí spojení.
  14. Na stránce ověření zkontrolujte podrobnosti virtuálního počítače.
  15. Po úspěšném ověření vyberte Vytvořit a dokončete vytvoření virtuálního počítače.

Důvěryhodné spouštěcí image virtuálních počítačů

Typ zabezpečení v definici image by měl být nastaven na TrustedLaunchnásledující zdroje obrázků:

  • Zachytávání důvěryhodných spouštěcích virtuálních počítačů
  • Spravovaný disk operačního systému
  • Snímek disku spravovaného operačního systému

Výslednou verzi image můžete použít jenom k vytvoření virtuálních počítačů Azure Trusted Launch.

  1. Přihlaste se k portálu Azure.
  2. Pokud chcete vytvořit image galerie výpočetních prostředků Azure z virtuálního počítače, otevřete existující virtuální počítač s důvěryhodným spuštěním a vyberte Zachytit.
  3. Na stránce Vytvořit image povolte sdílení image do galerie jako verzi image virtuálního počítače. Vytváření spravovaných imagí není podporováno pro virtuální počítače důvěryhodného spuštění.
  4. Vytvořte novou cílovou galerii služby Azure Compute nebo vyberte existující galerii.
  5. Vyberte stav operačního systému jako generalizovaný nebo specializovaný. Pokud chcete vytvořit generalizovanou image, ujistěte se, že virtuální počítač zobecníte , abyste před výběrem této možnosti odebrali informace specifické pro počítač. Pokud je na virtuálním počítači s Windows s důvěryhodným spuštěním povolené šifrování založené na bitlockeru, možná nebudete moct zobecnit totéž.
  6. Vytvořte novou definici image zadáním názvu, vydavatele, nabídky a podrobností skladové položky. Typ zabezpečení pro definici image by už měl být nastavený na důvěryhodné spuštění.
  7. Zadejte číslo verze pro verzi image.
  8. V případě potřeby upravte možnosti replikace.
  9. V dolní části stránky Vytvořit obrázek vyberte Zkontrolovat a vytvořit. Po úspěšném ověření vyberte Vytvořit.
  10. Po vytvoření verze image přejděte přímo na verzi image. Případně můžete přejít k požadované verzi image prostřednictvím definice image.
  11. Na stránce verze image virtuálního počítače vyberte + Vytvořit virtuální počítač a přejděte na stránku Vytvořit virtuální počítač.
  12. Na stránce Vytvořit virtuální počítač v části Skupina prostředků vyberte Vytvořit nový. Zadejte název skupiny prostředků nebo v rozevíracím seznamu vyberte existující skupinu prostředků.
  13. V části Podrobnosti o instanci zadejte název virtuálního počítače a zvolte oblast, která podporuje důvěryhodné spuštění.
  14. Image a typ zabezpečení jsou už vyplněné na základě vybrané verze image. Ve výchozím nastavení jsou povolená zaškrtávací políčka Zabezpečené spouštění a vTPM .
  15. Vyplňte informace o účtu správce a pak pravidla portů pro příchozí spojení.
  16. V dolní části stránky vyberte Zkontrolovat a vytvořit.
  17. Na stránce ověření zkontrolujte podrobnosti virtuálního počítače.
  18. Po úspěšném ověření vyberte Vytvořit a dokončete vytvoření virtuálního počítače.

Pokud chcete jako zdroj verze image použít spravovaný disk nebo snímek spravovaného disku (místo virtuálního počítače důvěryhodného spuštění), postupujte takto.

  1. Přihlaste se k portálu Azure.
  2. Vyhledejte verze imagí virtuálních počítačů a vyberte Vytvořit.
  3. Zadejte číslo verze předplatného, skupiny prostředků, oblasti a image.
  4. Vyberte zdroj jako disky nebo snímky.
  5. V rozevíracím seznamu vyberte disk s operačním systémem jako spravovaný disk nebo snímek spravovaného disku.
  6. Výběrem cílové galerie výpočetních prostředků Azure vytvořte a nasdílejte image. Pokud žádná galerie neexistuje, vytvořte novou galerii.
  7. Vyberte stav operačního systému jako generalizovaný nebo specializovaný. Pokud chcete vytvořit generalizovanou image, ujistěte se, že disk nebo snímek zobecníte a odeberete informace specifické pro počítač.
  8. Pro definici image cílového virtuálního počítače vyberte Vytvořit novou. V okně, které se otevře, vyberte název definice image a ujistěte se, že je typ zabezpečení nastavený na Důvěryhodné spuštění. Zadejte informace o vydavateli, nabídce a SKU a vyberte OK.
  9. Na kartě Replikace lze v případě potřeby nastavit počet replik a cílové oblasti pro replikaci imagí.
  10. V případě potřeby můžete k poskytnutí informací souvisejících s šifrováním SSE použít také kartu Šifrování .
  11. Vyberte Vytvořit na kartě Zkontrolovat a vytvořit obrázek.
  12. Po úspěšném vytvoření verze image vyberte + Vytvořit virtuální počítač a přejděte na stránku Vytvořit virtuální počítač .
  13. Postupujte podle kroků 12 až 18, jak je uvedeno výše, a vytvořte virtuální počítač Důvěryhodné spuštění pomocí této verze image.

Předdefinované zásady Trusted Launch

Aby uživatelé mohli začít používat důvěryhodné spuštění, jsou k dispozici zásady Azure, které vlastníkům prostředků pomůžou přijmout důvěryhodné spuštění. Hlavním cílem je pomoct převést virtuální počítače generace 1 a 2, které jsou schopné důvěryhodného spuštění.

Virtuální počítač by měl mít povolené důvěryhodné spuštění s jednou zásadou, jestli je virtuální počítač aktuálně povolený s konfiguracemi zabezpečení Trusted Launch. Disky a operační systém podporované pro důvěryhodné zásady spouštění kontroluje, jestli mají dříve vytvořené virtuální počítače schopné operačního systému generace 2 a velikosti virtuálního počítače pro nasazení důvěryhodného spouštěcího virtuálního počítače.

Tyto dvě zásady se spojí a vytvoří iniciativu zásad důvěryhodného spuštění. Tato iniciativa umožňuje seskupit několik souvisejících definic zásad, které zjednodušují přiřazení a prostředky pro správu, aby zahrnovaly konfiguraci důvěryhodného spuštění.

Další informace a zahájení nasazování najdete v tématu Předdefinované zásady Trusted Launch.


Ověření nebo aktualizace nastavení

U virtuálních počítačů vytvořených s povoleným důvěryhodným spuštěním můžete zobrazit konfiguraci důvěryhodného spuštění tak, že přejdete na stránku Přehled virtuálního počítače na webu Azure Portal. Na kartě Vlastnosti se zobrazuje stav funkcí důvěryhodného spuštění.

Snímek obrazovky znázorňující vlastnosti důvěryhodného spuštění virtuálního počítače

Konfiguraci důvěryhodného spuštění změníte tak, že v nabídce vlevo v části Nastavení vyberete Možnost Konfigurace. V části Typ zabezpečení můžete povolit nebo zakázat monitorování zabezpečeného spouštění, virtuálního počítače vTPM a integrity. Až budete hotovi, vyberte Uložit v horní části stránky.

Snímek obrazovky se zaškrtávacími políčky pro změnu nastavení důvěryhodného spuštění

Pokud je virtuální počítač spuštěný, zobrazí se zpráva, že se virtuální počítač restartuje. Vyberte Ano a počkejte, až se virtuální počítač restartuje, aby se změny projevily.

Přečtěte si další informace o virtuálních počítačích pro monitorování integrity důvěryhodných spuštění a spouštění.