Avvio attendibile per le macchine virtuali di Azure

  • Articolo

Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi

Azure offre l’avvio attendibile come un modo semplice per migliorare la sicurezza delle macchine virtuali di Seconda generazione. L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate.

Importante

Vantaggi

  • Distribuire in modo sicuro le macchine virtuali con caricatori di avvio, kernel del sistema operativo e driver verificati.
  • Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
  • Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
  • Assicurarsi che i carichi di lavoro siano attendibili e verificabili.

Dimensioni delle macchine virtuali

Type Famiglie di dimensioni supportate Attualmente non sono supportate le famiglie di dimensioni Famiglie di dimensioni non supportate
Utilizzo generico Serie B, Serie DCsv2, Serie DCsv3, Serie DCdsv3, Serie Dv4, Serie Dsv4, Serie Dsv3, Serie Dsv2, Serie Dav4, Serie Dasv4, Serie Ddv4, Serie Ddsv4, Serie Dv5, Serie Dsv5, Serie Ddv5, Serie Ddsv5, Serie Dasv5, Serie Dadsv5, Serie Dlsv5, Serie Dldsv5 Serie Dpsv5, Serie Dpdsv5, Serie Dplsv5, Serie Dpldsv5 Serie Av2, Serie Dv2, Serie Dv3
Con ottimizzazione per il calcolo Serie FX, Serie Fsv2 Tutte le dimensioni supportate.
Ottimizzato per la memoria serie Dsv2, serie Esv3, serie Ev4, serie Esv4, serie Edv4, serie Edsv4, serie Eav4, serie Easv4, serie Easv5, serie Eadsv5, serie Ebsv5, serie Ebdsv5, serie Edv5, Edsv5 Serie Epsv5, Serie Epdsv5, Serie M, Serie Msv2, Serie Mdsv2 Medium Memory, Serie Mv2 Serie Ev3
Con ottimizzazione per l'archiviazione Serie Lsv2, Serie Lsv3, Serie Lasv3 Tutte le dimensioni supportate.
GPU Serie NCv2, Serie NCv3, Serie NCasT4_v3, Serie NVv3, Serie NVv4, Serie NDv2, Serie NC_A100_v4, Serie NVadsA10 v5 Serie NDasrA100_v4, Serie NDm_A100_v4 Serie NC, Serie NV, Serie NP
Calcolo con prestazioni elevate Serie HB, Serie HBv2, Serie HBv3, Serie HBv4, Serie HC, Serie HX Tutte le dimensioni supportate.

Nota

  • L'installazione dei driver CUDA e GRID nelle macchine virtuali Windows abilitate per l'avvio sicuro non richiede passaggi aggiuntivi.
  • L'installazione del driver CUDA nelle macchine virtuali Ubuntu abilitate per l'avvio sicuro richiede passaggi aggiuntivi. Per altre informazioni vedere Installare i driver GPU NVIDIA nelle macchine virtuali della serie N che eseguono Linux. L'avvio sicuro deve essere disabilitato per l'installazione dei driver CUDA in altre macchine virtuali Linux.
  • Per l'installazione del driver GRID è necessario disabilitare l'avvio sicuro per le macchine virtuali Linux.
  • Le famiglie di dimensioni non supportate non supportano le macchine virtuali di seconda generazione. Modificare la dimensione della macchine virtuale in famiglie di dimensioni supportate equivalenti per abilitare l'avvio attendibile.

Sistemi operativi supportati

Sistema operativo Versione
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Server Windows 2016, 2019, 2022 *
Window Server (Edizione Azure) 2022

* Le varianti di questo sistema operativo sono supportate.

Ulteriori informazioni

Aree di Azure:

  • Tutte le aree pubbliche
  • Tutte le aree di Azure per enti pubblici
  • Tutte le aree di Azure Cina

Prezzi: l'avvio attendibile non aumenta i prezzi delle macchine virtuali esistenti.

Funzionalità non supportate

Attualmente le seguenti funzionalità delle macchine virtuali non sono supportate con Avvio attendibile:

Avvio protetto

Nella radice dell'avvio attendibile si trova l’avvio sicuro per la macchina virtuale. L'avvio sicuro, implementato nel firmware della piattaforma, protegge dall'installazione di kit avvio e rootkit basati su malware. L'avvio sicuro funziona per garantire che solo i sistemi operativi e i driver firmati possano essere avviati. Stabilisce una "radice di attendibilità" per lo stack software nella macchina virtuale.

Con l'avvio sicuro abilitato, tutti i componenti di avvio del sistema operativo (driver kernel, kernel, caricatore avvio) richiedono la firma di autori attendibili. Sia Windows che alcune distribuzioni Linux supportano l'avvio sicuro. Se l'avvio sicuro non riesce ad autenticare che l'immagine è firmata da un autore attendibile, l'avvio della macchina virtuale non riesce. Per altre informazioni, vedere Avvio protetto.

vTPM

Avvio attendibile introduce anche virtual Trusted Platform Module (vTPM) per le macchine virtuali di Azure. Questa versione virtualizzata di un Trusted Platform Module hardware è conforme alla specifica TPM2.0. Serve come insieme di credenziali sicuro dedicato per chiavi e misure.

L'avvio attendibile fornisce alla macchina virtuale una propria istanza dedicata del modulo TPM, che viene eseguita in un ambiente sicuro al di fuori della portata di altre macchine virtuali. vTPM abilita l’attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

L'avvio attendibile usa vTPM per eseguire l'attestazione remota tramite il cloud. Le attestazioni abilitano i controlli integrità della piattaforma e vengono usate per prendere decisioni basate sull'attendibilità. Come controllo integrità, l'avvio attendibile può certificare tramite crittografia che la macchina virtuale è stata avviata correttamente.

Se il processo ha esito negativo, probabilmente perché la macchina virtuale esegue un componente non autorizzato, Microsoft Defender per il cloud genera avvisi di integrità. Gli avvisi includono i dettagli sui componenti che non sono riusciti a superare i controlli di integrità.

Sicurezza basata sulla virtualizzazione

La Sicurezza basata su virtualizzazione (VBS) usa l'hypervisor per creare un'area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità ed exploit dannosi. L'avvio attendibile consente di abilitare l'integrità del codice hypervisor (HVCI) e Windows Defender Credential Guard.

HVCI è una potente mitigazione del sistema che protegge i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell'esecuzione, impedendo il caricamento dei file non firmati in memoria. I controlli garantiscono che il codice eseguibile non venga modificato dopo che è stato abilitato il caricamento. Per altre informazioni su VBS e HVCI vedere Sicurezza basata su virtualizzazione (VBS) e Integrità del codice applicata dall’hypervisor (HVCI).

Con l'avvio attendibile e la sicurezza basata su virtualizzazione è possibile abilitare Windows Defender Credential Guard. Credential Guard isola e protegge i segreti in modo che solo il software di sistema con privilegi possa accedervi. Consente di impedire l'accesso non autorizzato ai segreti, oltre a impedire attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash. Per altre informazioni, vedere Credential Guard.

Integrazione di Microsoft Defender per il cloud

L'avvio attendibile è integrato con Microsoft Defender per il cloud al fine di garantire la corretta configurazione delle macchine virtuali. Microsoft Defender per il cloud valuta continuamente le macchine virtuali compatibili e genera raccomandazioni pertinenti.

  • Raccomandazione per abilitare l’avvio sicuro:la raccomandazione di avvio sicuro si applica solo alle macchine virtuali che supportano l'avvio attendibile. Microsoft Defender per il cloud identifica le macchine virtuali che possono abilitare l'avvio sicuro, ma lo hanno disabilitato. Genera una raccomandazione di gravità bassa al fine di abilitarlo.

  • Raccomandazione per abilitare vTPM: se la macchina virtuale ha il modulo vTPM abilitato, Microsoft Defender per il cloud può usarla per eseguire l'attestazione guest e identificare modelli di minaccia avanzati. Se Defender per il cloud identifica macchine virtuali che supportano l'avvio attendibile, ma hanno il modulo vTPM disabilitato, genera una raccomandazione di gravità bassa al fine di abilitarlo.

  • Raccomandazione per installare l'estensione di attestazione guest: se la macchina virtuale ha l'avvio sicuro e il modulo vTPM abilitato, ma non ha l'estensione di attestazione guest installata, Defender per il cloud genera raccomandazioni di gravità bassa al fine di installare l'estensione di attestazione guest. Questa estensione consente a Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio delle macchine virtuali. L'integrità dell'avvio viene attestata tramite attestazione remota.

  • Valutazione integrità dell'attestazione o Monitoraggio dell'integrità dell’avvio: se la macchina virtuale ha abilitato l’Avvio sicuro e il modulo vTPM e l’estensione di attestazione installata, Defender per il cloud può convalidare in remoto che la macchina virtuale è stata avviata in modo integro. Questa procedura è nota come monitoraggio dell'integrità dell'avvio. Defender per Cloud genera una valutazione che indica lo stato dell'attestazione remota.

    Se le macchine virtuali sono configurate correttamente con l'avvio attendibile, Defender per il cloud può rilevare e segnalare problemi di integrità delle macchine virtuali.

  • Avviso di errore di attestazione della macchina virtuale: Defender per il cloud esegue periodicamente l'attestazione nelle macchine virtuali. L'attestazione si verifica anche dopo gli avvii della macchina virtuale. Se l'attestazione ha esito negativo, viene generato un avviso di gravità media. L'attestazione della macchina virtuale può avere esito negativo per i motivi seguenti:

    • Le informazioni attestate, che includono un log di avvio, deviano da una baseline attendibile. Qualsiasi deviazione può indicare che i moduli non attendibili sono stati caricati e che il sistema operativo potrebbe essere compromesso.

    • Non è stato possibile verificare che l'offerta di attestazione abbia origine dal vTPM della macchina virtuale con attestazione. Un'origine non verificata può indicare che il malware è presente e potrebbe intercettare il traffico verso vTPM.

      Nota

      Gli avvisi sono disponibili per le macchine virtuali con vTPM abilitato e l'estensione Attestazione installata. L'avvio sicuro deve essere abilitato per il passaggio dell'attestazione. L'attestazione ha esito negativo se l'avvio sicuro è disabilitato. Se è necessario disabilitare l'avvio sicuro, è possibile eliminare questo avviso per evitare falsi positivi.

  • Avviso di modulo kernel Linux non attendibile: l'avvio attendibile con avvio sicuro abilitato consente di avviare una macchina virtuale, anche se la convalida di un driver del kernel ha esito negativo e non è consentito il caricamento. Se si verifica questo scenario, Defender for Cloud genera avvisi con gravità bassa. Anche se non esiste alcuna minaccia immediata, perché il driver non attendibile non è stato caricato, questi eventi devono essere esaminati. Chiediti:

    • Quale driver del kernel non è riuscito? Si conosce questo driver e ci si aspetta che venga caricato?
    • Questa è la versione esatta del driver che mi aspetto? I file binari del driver sono intatti? In caso di driver di terze parti, il fornitore ha superato i test di conformità del sistema operativo per ottenere la firma?

Contenuto correlato

Distribuire una macchina virtuale con avvio attendibile.