Déployer une machine virtuelle avec le lancement fiable activé

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes.

Le lancement fiable est un moyen d’améliorer la sécurité des machines virtuelles (VM) de génération 2. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure telles que le module de plateforme sécurisée (vTPM) virtuel et le démarrage sécurisé.

Prérequis

  • Nous vous recommandons d’intégrer votre abonnement à Microsoft Defender pour le cloud si ce n’est déjà fait. Defender pour le cloud dispose d’un niveau gratuit qui offre des insights très utiles pour diverses ressources Azure et hybrides. En l’absence de Defender pour le cloud, les utilisateurs de machine virtuelle avec lancement fiable ne peuvent pas surveiller l’intégrité du démarrage de la machine virtuelle.

  • Attribuez des initiatives de stratégie Azure à votre abonnement. Ces initiatives de stratégie ne doivent être attribuées qu’une seule fois par abonnement. Les stratégies permettent de déployer et d’auditer les machines virtuelles avec lancement fiable tout en installant automatiquement toutes les extensions requises sur toutes les machines virtuelles prises en charge.

    • Configurez l’initiative de stratégie intégrée sur les machines virtuelles avec lancement fiable.
    • Configurez les prérequis pour activer l’Attestation d’invité sur les machines virtuelles compatibles avec le lancement fiable.
    • Configurez des machines de manière à installer automatiquement les agents Azure Monitor et Azure Security sur des machines virtuelles.
  • Autorisez l’étiquette de service AzureAttestation dans les règles de trafic sortant du groupe de sécurité réseau afin d’autoriser le trafic pour Azure Attestation. Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.

  • Vérifiez que les stratégies de pare-feu autorisent l’accès à *.attest.azure.net.

Remarque

Si vous utilisez une image Linux et que vous prévoyez la possibilité que la machine virtuelle ait des pilotes de noyau non signés ou non signés par le fournisseur de distribution Linux, vous pouvez envisager de désactiver le démarrage sécurisé. Dans le Portail Azure, sur la page Créer une machine virtuelle pour le paramètre Security type avec l’option Machines virtuelles de lancement fiable sélectionnée, sélectionnez Configurer les fonctionnalités de sécurité et décochez la case Activer le démarrage sécurisé. Dans Azure CLI, PowerShell ou SDK, définissez le paramètre de démarrage sécurisé sur false.

Déployer une machine virtuelle avec lancement fiable

Créez une machine virtuelle avec le lancement fiable activé. Choisissez l'une des options suivantes.

  1. Connectez-vous au portail Azure.

  2. Recherchez Machines virtuelles.

  3. Sous Services, sélectionnez Machines virtuelles.

  4. Sur la page Machines virtuelles, sélectionnez Ajouter, puis Machine virtuelle.

  5. Sous Détails du projet, vérifiez que l’abonnement approprié est sélectionné.

  6. Sous Groupe de ressources, sélectionnez Créer. Entrez un nom pour votre groupe de ressources ou sélectionnez un groupe de ressources existant dans la liste déroulante.

  7. Sous Détails de l’instance, spécifiez un nom pour la machine virtuelle et choisissez une région qui prend en charge le lancement fiable.

  8. Pour Type de sécurité, sélectionnez Machines virtuelles de lancement fiable. Lorsque les options Démarrage sécurisé, vTPM et Surveillance de l’intégrité apparaissent, sélectionnez les options appropriées pour votre déploiement. Pour plus d’informations, consultez Fonctionnalités de sécurité avec lancement fiable.

    Capture d’écran montrant les options de lancement fiable.

  9. Sous Image, sélectionnez une image parmi les images de génération 2 recommandées compatibles avec le lancement fiable. Pour une liste, consultez Lancement fiable.

    Conseil

    Si vous ne voyez pas la version de génération 2 de l’image souhaitée dans la liste déroulante, sélectionnez Afficher toutes les images. Modifiez ensuite le filtre Type de sécurité sur Lancement fiable.

  10. Sélectionnez une taille de machine virtuelle qui prend en charge le lancement fiable. Pour plus d’informations, consultez la liste des tailles prises en charge.

  11. Renseignez les informations du Compte d’administrateur, puis les Règles de port entrant.

  12. Au bas de la page, sélectionnez Vérifier + créer.

  13. Sur la page Créer une machine virtuelle, vous pouvez voir les informations concernant la machine virtuelle que vous allez déployer. Une fois la validation réussie, sélectionnez Créer.

Capture d’écran qui affiche la page de validation avec les options de lancement fiable.

Quelques minutes sont nécessaires pour le déploiement de votre machine virtuelle.

Les machines virtuelles de lancement fiable Azure prennent en charge la création et le partage d’images personnalisées à l’aide de Azure Compute Gallery. Vous pouvez créer deux types d’images, en fonction des types de sécurité de l’image :

Images prises en charge par les machines virtuelles de Lancement fiable

Pour les sources d’images suivantes, le type de sécurité sur la définition d’image doit être défini sur TrustedLaunchsupported :

  • Disque dur virtuel du système d’exploitation de génération 2
  • Image managée Gen2
  • Obtenir la version de l’image Gallery de génération 2

Aucune information d’état Invité de machine virtuelle ne peut être incluse dans la source de l’image.

Vous pouvez utiliser la version d’image obtenue pour créer des machines virtuelles Azure Gen2 ou des machines virtuelles de Lancement fiable.

Ces images peuvent être partagées à l’aide d’Azure Compute Gallery – Galerie partagée directe et Azure Compute Gallery – Galerie de la communauté.

Remarque

Vous devez créer le disque dur virtuel du système d’exploitation, l’image managée ou la version d’image de galerie à partir d’une image de génération 2 compatible avec les machines virtuelles de lancement fiable.

  1. Connectez-vous au portail Azure.
  2. Dans la barre de recherche, recherchez et sélectionnez Versions d’image de machine virtuelle.
  3. Sur la page Versions d’image de machine virtuelle, sélectionnez Créer.
  4. Sur la page Créer une version d’image de machine virtuelle, sous l’onglet De base :
    1. Sélectionnez l’abonnement Azure.
    2. Sélectionnez ou créez un groupe de ressources.
    3. Sélectionnez la région Azure.
    4. Entrez un numéro de version d’image.
    5. Pour Source, sélectionnez Objets blob de stockage (VHD) ou Image managée, ou une autre version d’image de machine virtuelle.
    6. Si vous avez sélectionné Blobs de stockage (VHD),, entrez un disque dur virtuel de système d’exploitation (sans l’état invité de machine virtuelle). Veillez à utiliser un disque dur virtuel de génération 2.
    7. Si vous avez sélectionné Image managée, sélectionnez une image managée existante d’une machine virtuelle de génération 2.
    8. Si vous avez sélectionné Version de l’image de machine virtuelle, sélectionnez une version d’image de galerie existante d’une machine virtuelle de génération 2.
    9. Pour Azure Compute Gallery cible, sélectionnez ou créez une galerie pour partager l’image.
    10. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé, selon votre cas d’usage. Si vous utilisez une image managée comme source, sélectionnez toujours Généralisé. Si vous utilisez un objet blob de stockage (VHD) et que vous souhaitez sélectionner Généralisé, suivez la procédure pour généraliser un disque dur virtuel Linux ou généraliser un disque dur virtuel Windows avant de continuer. Si vous utilisez une version d’image de machine virtuelle existante, sélectionnez Généralisé ou Spécialisé en fonction de ce qui est utilisé dans la définition de l’image de machine virtuelle source.
    11. Pour Définition d’image de machine virtuelle cible, sélectionnez Créer nouveau.
    12. Sur le volet Créer une définition d’image de machine virtuelle, entrez un nom pour la définition. Vérifiez que le type de sécurité est défini sur Lancement fiable pris en charge. Entrez les informations sur l’éditeur, l’offre et la référence SKU. Sélectionnez ensuite OK.
  5. Sous l’onglet Réplication, entrez le nombre de réplicas et les régions cibles pour la réplication de l’image, si besoin.
  6. Sous l’onglet Chiffrement, entrez les informations relatives au chiffrement SSE, si nécessaire.
  7. Sélectionnez Vérifier + créer.
  8. Une fois la configuration validée, sélectionnez Créer pour terminer la création de l’image.
  9. Une fois la version de l’image créée, sélectionnez Créer une machine virtuelle.
  10. Sur la page Créer une machine virtuelle, sous groupe de ressources, sélectionnez Créer. Entrez un nom pour votre groupe de ressources ou sélectionnez un groupe de ressources existant dans la liste déroulante.
  11. Sous Détails de l’instance, spécifiez un nom pour la machine virtuelle et choisissez une région qui prend en charge le lancement fiable.
  12. Pour Type de sécurité, sélectionnez Machines virtuelles de lancement fiable. Les cases à cocher Démarrage sécurisé et vTPM sont cochées par défaut.
  13. Renseignez les informations du Compte d’administrateur, puis les Règles de port entrant.
  14. Sur la page de validation, vérifiez les détails de la machine virtuelle.
  15. Après la réussite de la validation de l’image, sélectionnez Créer pour terminer la création de l’image.

Images de machine virtuelle de lancement fiable

Le type de sécurité sur la définition d’image doit être défini sur TrustedLaunch pour les sources d’images suivantes :

  • Capture de machine virtuelle de lancement fiable
  • Disque de système d’exploitation managé
  • Capture instantanée de disque de système d’exploitation managé

Vous ne pouvez utiliser la version d’image obtenue que pour créer des machines virtuelles de lancement fiable Azure.

  1. Connectez-vous au portail Azure.
  2. Pour créer une image de Azure Compute Gallery à partir d’une machine virtuelle, ouvrez une machine virtuelle de lancement fiable existante, puis sélectionnez Capturer.
  3. Sur la page Créer une image, autorisez le partage de l’image dans la galerie en tant que version d’image de machine virtuelle. La création d’images managées n’est pas prise en charge pour les machines virtuelles avec lancement fiable.
  4. Créez une nouvelle cible Azure Compute Gallery ou sélectionnez une galerie existante.
  5. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé. Si vous souhaitez créer une image généralisée, veillez à généraliser la machine virtuelle pour supprimer des informations spécifiques de la machine avant de sélectionner cette option. Si le chiffrement basé sur Bitlocker est activé sur votre machine virtuelle Windows à lancement fiable, sa généralisation ne sera peut-être pas possible.
  6. Créez une définition d’image en fournissant un nom, un éditeur, une offre et des détails de référence SKU. Le type de sécurité pour la définition d’image doit être déjà défini sur Lancement fiable.
  7. Indiquez un numéro de version pour la version de l’image.
  8. Modifiez les options de réplication, si nécessaire.
  9. En bas de la page Créer une image, sélectionnez Vérifier + créer. Une fois la validation réussie, sélectionnez Créer.
  10. Une fois la version de l’image créée, accédez directement à la version de l’image. Vous pouvez également accéder à la version d’image requise via la définition d’image.
  11. Dans la page Version de l’image de machine virtuelle, sélectionnez + Créer une machine virtuelle pour accéder à la page Créer une machine virtuelle.
  12. Sur la page Créer une machine virtuelle, sous groupe de ressources, sélectionnez Créer. Entrez un nom pour votre groupe de ressources ou sélectionnez un groupe de ressources existant dans la liste déroulante.
  13. Sous Détails de l’instance, spécifiez un nom pour la machine virtuelle et choisissez une région qui prend en charge le lancement fiable.
  14. L’image et le type de sécurité sont déjà remplis en fonction de la version d’image sélectionnée. Les cases à cocher Démarrage sécurisé et vTPM sont cochées par défaut.
  15. Renseignez les informations du Compte d’administrateur, puis les Règles de port entrant.
  16. Au bas de la page, sélectionnez Vérifier + créer.
  17. Sur la page de validation, vérifiez les détails de la machine virtuelle.
  18. Après la réussite de la validation de l’image, sélectionnez Créer pour terminer la création de l’image.

Si vous souhaitez utiliser un disque managé ou un instantané de disque managé comme source de version d’image (plutôt qu’une machine virtuelle avec lancement fiable), procédez comme suit.

  1. Connectez-vous au portail Azure.
  2. Recherchez des versions d’image de machine virtuelle et sélectionnez Créer.
  3. Indiquez l’abonnement, le groupe de ressources, la région et le numéro de version d’image.
  4. Sélectionnez la source en tant que disques et/ou instantanés.
  5. Sélectionnez le disque du système d’exploitation en tant que disque managé ou capture instantanée de disque managé dans la liste déroulante.
  6. Sélectionnez une instance Azure Compute Gallery cible pour créer et partager l’image. En l’absence de galerie, créez-en une.
  7. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé. Si vous souhaitez créer une image généralisée, veillez à généraliser le disque ou l’instantané pour supprimer des informations spécifiques de la machine.
  8. Pour la définition d’image de machine virtuelle cible , sélectionnez Créer nouveau. Dans la fenêtre qui s’ouvre, sélectionnez un nom de définition d’image et vérifiez que le type de sécurité est défini sur Lancement fiable. Fournissez les informations sur l’éditeur, l’offre et la référence SKU, puis sélectionnez OK.
  9. L’onglet Réplication peut être utilisé pour définir le nombre de réplicas et les régions cibles pour la réplication d’images, si besoin.
  10. L’onglet Chiffrement peut également être utilisé pour fournir des informations relatives au chiffrement SSE, si besoin.
  11. Sélectionnez Créer sur l’onglet Vérifier + créer pour créer l’image.
  12. Une fois la version de l’image créée, sélectionnez + Créer une machine virtuelle pour accéder à la page Créer une machine virtuelle.
  13. Suivez les étapes 12 à 18 comme indiqué précédemment pour créer une machine virtuelle à lancement fiable à l’aide de cette version d’image.

Stratégies intégrées de lancement fiable

Pour aider les utilisateurs à adopter le lancement fiable, des stratégies Azure sont disponibles pour aider les propriétaires de ressources à adopter le lancement fiable. Le principal objectif est d’aider à convertir des machines virtuelles de génération 1 et 2 compatibles avec le lancement fiable.

La stratégie unique La machine virtuelle doit avoir le lancement fiable activé vérifie si la machine virtuelle est actuellement activée avec les configurations de sécurité de lancement fiable. La stratégie Disques et le système d’exploitation pris en charge pour le lancement fiable vérifie si les machines virtuelles créées précédemment disposent du système d’exploitation et de la taille de machine virtuelle de génération 2 compatibles pour déployer une machine virtuelle de lancement fiable.

Ces deux stratégies se réunissent pour rendre l’initiative de stratégie de lancement fiable. Cette initiative vous permet de regrouper plusieurs définitions de stratégie associées pour simplifier les attributions et les ressources de gestion afin d’inclure la configuration de lancement fiable.

Pour en savoir plus et commencer à déployer, consultez Stratégies intégrées de lancement fiable.


Vérifier ou mettre à jour vos paramètres

Pour les machines virtuelles créées avec l’option de lancement fiable activée, vous pouvez afficher la configuration du lancement fiable en consultant la page Vue d’ensemble de la machine virtuelle dans le portail Azure. L’onglet Propriétés affiche l’état des fonctionnalités de lancement fiable.

Capture d’écran montrant les propriétés du lancement fiable de la machine virtuelle.

Pour modifier la configuration de lancement fiable, dans le menu de gauche, sous Paramètres, sélectionnez Configuration. Dans la section Type de sécurité, vous pouvez activer ou désactiver le Démarrage sécurisé, vTPM et la Surveillance de l’intégrité. Lorsque vous avez terminé, sélectionnez Enregistrer en haut de la page.

Capture d’écran montrant les cases à cocher pour modifier les paramètres de lancement fiable.

Si la machine virtuelle est en cours d’exécution, vous recevez un message indiquant que la machine virtuelle va redémarrer. Sélectionnez Oui, puis attendez que la machine virtuelle redémarre pour que les modifications prennent effet.

En savoir plus sur les machines virtuelles avec Lancement fiable et surveillance de l’intégrité du démarrage.