Abilitare l'avvio attendibile nelle macchine virtuali di Azure esistenti

Articolo
10/15/2024

Si applica a: ✔️ macchina virtuale Linux ✔️ macchina virtuale Windows ✔️ macchina virtuale di seconda generazione

Le Macchine virtuali di Azure supportano l'abilitazione dell'Avvio attendibile di Azure nelle VM (VM) di seconda generazione di Azure esistenti eseguendo l'aggiornamento al tipo di sicurezza Avvio attendibile.

L'Avvio attendibile è un modo per abilitare la sicurezza di calcolo di base nelle VM di seconda generazione di Azure e protegge da tecniche di attacco avanzate e persistenti, ad esempio bootkit e rootkit. A tale scopo, combinare tecnologie dell'infrastruttura come avvio protetto, virtual Trusted Platform Module (vTPM) e il monitoraggio dell'integrità di avvio nella VM.

Importante

Il supporto per l'abilitazione dell'avvio attendibile nelle macchine virtuali di prima generazione esistenti è attualmente disponibile in anteprima privata. È possibile accedere all'anteprima usando il modulo di registrazione.

Prerequisiti

La macchina virtuale di seconda generazione di Azure è configurata con:
- Famiglia di dimensioni supportate per l'Avvio attendibile.
- Immagine del sistema operativo (SO) supportata dall'Avvio attendibile. Per le immagini o i dischi del sistema operativo personalizzati, l'immagine di base deve essere compatibile con l'Avvio attendibile.
La VM di seconda generazione di Azure non usa funzionalità attualmente non supportate con l'Avvio attendibile.
Le VM di seconda generazione di Azure devono essere arrestate e deallocate prima di abilitare il tipo di sicurezza Avvio attendibile.
Backup di Azure se abilitato per le VM deve essere configurato con i criteri di Backup avanzato. Non è possibile abilitare un tipo di sicurezza di Avvio attendibile per le VM di seconda generazione configurate con la protezione di backup con Criteri standard.
- È possibile eseguire la migrazione del backup di VM di Azure esistenti dal criterio Standard a quello Avanzato. Seguire la procedura contenuta in Eseguire la migrazione di backup di VM di Azure da criteri standard a criteri avanzati (anteprima).

Procedure consigliate

Abilitare l'Avvio attendibile in una VM di seconda generazione di test e determinare se siano necessarie modifiche per soddisfare i prerequisiti prima di abilitare l'Avvio attendibile nelle VM di seconda generazione associate ai carichi di lavoro di produzione.
Creare un punto di ripristino per le VM di seconda generazione di Azure associate ai carichi di lavoro di produzione prima di abilitare il tipo di sicurezza Avvio attendibile. È possibile usare i punti di ripristino per ricreare i dischi e la VM di seconda generazione con lo stato noto precedente.

Abilitare l'Avvio attendibile in una VM esistente

Nota

Dopo aver abilitato l'Avvio attendibile, attualmente non è possibile eseguire il rollback delle VM al tipo di sicurezza Standard (configurazione di Avvio non attendibile).
vTPM è abilitato per impostazione predefinita.
È consigliabile abilitare l'avvio protetto, se non si usano driver o kernel non firmati personalizzati. Non è abilitata per impostazione predefinita. L'Avvio protetto mantiene l'integrità dell'avvio e abilita la sicurezza di base per le VM.

Abilitare l'Avvio attendibile in una VM di seconda generazione di Azure esistente usando il portale di Azure.

Accedere al portale di Azure.
Verificare che la generazione della VM sia V2 e selezionare Stop per la VM.
Nella pagina Panoramica all'interno delle proprietà della VM, in Tipo di sicurezza selezionare Standard. Verrà visualizzata la pagina Configurazione per la VM.
Nella sezione Tipo di sicurezza della pagina Configurazione selezionare l'elenco a discesa Tipo di sicurezza.
Nell'elenco a discesa selezionare Avvio attendibile. Selezionare le caselle di controllo per abilitare Avvio protetto e vTPM. Dopo aver apportato le modifiche, selezionare Salva.
Nota
- Le VM di seconda generazione create con Raccolta di calcolo di Azure (ACG), Immagine gestita, Disco del sistema operativo non possono essere aggiornate all'Avvio attendibile tramite il portale. Verificare che la versione del sistema operativo sia supportata per l'Avvio attendibile. Usare PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per eseguire l'aggiornamento.
Al termine dell'aggiornamento, chiudere la pagina Configurazione. Nella pagina Panoramica all'interno delle proprietà della VM, confermare le impostazioni di Tipo di sicurezza.
Avviare la VM di Avvio attendibile aggiornata. Verificare di poter accedere alla VM usando Remote Desktop Protocol (RDP) per le VM Windows o Secure Shell Protocol (SSH) per le VM Linux.

Seguire la procedura per abilitare l'Avvio attendibile in una VM di prima generazione di Azure esistente usando l'interfaccia della riga di comando di Azure.

Assicurarsi di aver installato la versione più recente dell'interfaccia della riga di comando di Azure e di aver effettuato l'accesso a un account Azure con az login.

Accedere alla sottoscrizione di Azure della VM.

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

Deallocare la VM.

az vm deallocate \
   --resource-group myResourceGroup --name myVm

Abilitare Avvio attendibile impostando --security-type su TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

Convalidare l'output del comando precedente. Verificare che la configurazione securityProfile venga restituita con l'output del comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

Avviare la VM.

az vm start \
    --resource-group myResourceGroup --name myVm

Avviare la VM di Avvio attendibile aggiornata. Verificare che sia possibile accedere alla VM usando RDP (per le VM Windows) o SSH (per le VM Linux).

Seguire la procedura per abilitare l'Avvio attendibile in una VM di Azure Generation 2 esistente usando Azure PowerShell.

Assicurarsi di aver installato la versione più recente di Azure PowerShell e di aver effettuato l'accesso a un account Azure con Connect-AzAccount.

Accedere alla sottoscrizione di Azure della VM.

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

Deallocare la VM.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

Abilitare Avvio attendibile impostando -SecurityType su TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

Convalidare securityProfile nella configurazione aggiornata della VM.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

Avviare la VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

Avviare la VM di Avvio attendibile aggiornata. Verificare che sia possibile accedere alla VM usando RDP (per le VM Windows) o SSH (per le VM Linux).

Seguire la procedura per abilitare l'Avvio attendibile in una VM di Azure Generation 2 esistente usando un modello di ARM.

Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.

Esaminare il modello.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

Modificare il file JSON parameters con le VM da aggiornare con il tipo di sicurezza TrustedLaunch.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definizione del file dei parametri

Proprietà	Descrizione della proprietà	Valore di esempio del modello
vmName	Nome della VM di seconda generazione di Azure.	`myVm`
location	Posizione della VM di seconda generazione di Azure.	`westus3`
secureBootEnabled	Abilitare l'Avvio protetto con tipo di sicurezza Avvio attendibile.	`true`

Deallocare tutte le VM di seconda generazione di Azure da aggiornare.
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

Eseguire la distribuzione del modello di ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

Screenshot che mostra le proprietà di Avvio attendibile della VM.

Avviare la VM di Avvio attendibile aggiornata. Verificare che sia possibile accedere alla VM usando RDP (per le VM Windows) o SSH (per le VM Linux).

Raccomandazione di Azure Advisor

Azure Advisor popola una raccomandazione di eccellenza operativa Abilita l'eccellenza di base per l'Avvio attendibile e la sicurezza moderna per le VM di seconda generazione esistenti per adottare l'Avvio attendibile, un comportamento di sicurezza superiore per le VM di Azure senza costi aggiuntivi. Assicurarsi che la VM di seconda generazione disponga di tutti i prerequisiti per eseguire la migrazione all'Avvio attendibile, seguire tutte le procedure consigliate, tra cui la convalida dell'immagine del sistema operativo, le dimensioni della VM e la creazione di punti di ripristino. Per completare la raccomandazione di Advisor, seguire i passaggi descritti in Abilitare l'Avvio attendibile in una VM esistente per aggiornare il tipo di sicurezza delle VM e abilitare l'Avvio attendibile.

Cosa accade se sono presenti VM di seconda generazione, che non soddisfano i prerequisiti per l'Avvio attendibile?

Per una VM di seconda generazione che non ha soddisfatto i prerequisiti per l'aggiornamento all'Avvio attendibile, vedere come soddisfare i prerequisiti. Ad esempio, se si usano dimensioni di macchina virtuale non supportate, cercare una dimensione equivalente supportata per l'Avvio attendibile che supporta l'Avvio attendibile.

Nota

Ignorare la raccomandazione se la VM Gen2 è configurata con famiglie di dimensioni di VM attualmente non supportate con Avvio attendibile come la serie MSv2.

Abilitare Avvio attendibile per le nuove distribuzioni di macchine virtuali. Per altre informazioni, vedere Distribuire macchine virtuali di Avvio attendibile
Dopo gli aggiornamenti, è consigliabile abilitare il monitoraggio dell'integrità dell'avvio per monitorare l'integrità della VM usando Microsoft Defender per il cloud.
Altre informazioni su Avvio attendibile e le domande frequenti.

Condividi tramite

Abilitare l'avvio attendibile nelle macchine virtuali di Azure esistenti

Prerequisiti

Procedure consigliate

Abilitare l'Avvio attendibile in una VM esistente

Raccomandazione di Azure Advisor

Commenti e suggerimenti

Risorse aggiuntive

Condividi tramite

Abilitare l'avvio attendibile nelle macchine virtuali di Azure esistenti

Prerequisiti

Procedure consigliate

Abilitare l'Avvio attendibile in una VM esistente

Raccomandazione di Azure Advisor

Contenuto correlato

Commenti e suggerimenti

Risorse aggiuntive