Distribuire una macchina virtuale con avvio attendibile abilitato

Si applica a: ✔️ Macchine virtuali Linux ✔️ Macchine virtuali Windows ✔️ Set di scalabilità flessibili ✔️ Set di scalabilità uniformi.

Avvio attendibile è un modo per migliorare la sicurezza delle macchine virtuali di seconda generazione . Avvio attendibile protegge da tecniche di attacco avanzate e persistenti combinando tecnologie di infrastruttura come virtual Trusted Platform Module (vTPM) e avvio protetto.

Prerequisiti

  • È consigliabile eseguire l'onboarding della sottoscrizione per Microsoft Defender per il cloud, se non lo è già. Defender per il cloud ha un livello gratuito, che offre informazioni utili per varie risorse di Azure e ibride. Con l'assenza di Defender per il cloud, gli utenti delle macchine virtuali di avvio attendibili non possono monitorare l'integrità dell'avvio della macchina virtuale.

  • Assegnare le iniziative di Criteri di Azure alla sottoscrizione. Queste iniziative di criteri devono essere assegnate una sola volta per ogni sottoscrizione. I criteri consentono di distribuire e controllare le macchine virtuali di avvio attendibile durante l'installazione automatica di tutte le estensioni necessarie in tutte le macchine virtuali supportate.

    • Configurare l'iniziativa di criteri predefinita delle macchine virtuali di avvio attendibile.
    • Configurare i prerequisiti per abilitare l'attestazione guest nelle macchine virtuali abilitate per l'avvio attendibile.
    • Configurare i computer per installare automaticamente gli agenti di Monitoraggio di Azure e sicurezza di Azure nelle macchine virtuali.
  • Consentire il tag AzureAttestation del servizio nelle regole in uscita del gruppo di sicurezza di rete per consentire il traffico per attestazione di Azure. Per altre informazioni, vedere Tag del servizio di rete virtuale.

  • Assicurarsi che i criteri firewall consentano l'accesso a *.attest.azure.net.

Nota

Se si usa un'immagine Linux e si prevede che la macchina virtuale disponga di driver kernel non firmati o non firmati dal fornitore della distribuzione Linux, è consigliabile disattivare l'avvio protetto. Nella pagina Crea macchina virtuale del portale di Azure per il Security type parametro con Avvio attendibile Macchine virtuali selezionato selezionare Configura funzionalità di sicurezza e deselezionare la casella di controllo Abilita avvio protetto. Nell'interfaccia della riga di comando di Azure, PowerShell o SDK impostare il parametro di avvio protetto su false.

Distribuire una macchina virtuale di avvio attendibile

Creare una macchina virtuale con avvio attendibile abilitato. Selezionare una delle seguenti opzioni.

  1. Accedere al portale di Azure.

  2. Cercare Macchine virtuali.

  3. In Servizi selezionare Macchine virtuali.

  4. Nella pagina Macchine virtuali selezionare Aggiungi e quindi macchina virtuale.

  5. In Dettagli progetto verificare che sia selezionata la sottoscrizione corretta.

  6. In Gruppo di risorse selezionare Crea nuovo. Immettere un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente dall'elenco a discesa.

  7. In Dettagli istanza immettere un nome per il nome della macchina virtuale e scegliere un'area che supporti Avvio attendibile.

  8. In Tipo di sicurezza selezionare Macchine virtuali di avvio attendibile. Quando vengono visualizzate le opzioni Avvio protetto, vTPM e Monitoraggio dell'integrità, selezionare le opzioni appropriate per la distribuzione. Per altre informazioni, vedere Funzionalità di sicurezza abilitate per l'avvio attendibile.

    Screenshot che mostra le opzioni per Avvio attendibile.

  9. In Immagine selezionare un'immagine da Immagini di seconda generazione consigliate compatibili con l'avvio attendibile. Per un elenco, vedere Avvio attendibile.

    Suggerimento

    Se non viene visualizzata la versione Gen2 dell'immagine desiderata nell'elenco a discesa, selezionare Visualizza tutte le immagini. Modificare quindi il filtro Tipo di sicurezza su Avvio attendibile.

  10. Selezionare una dimensione di macchina virtuale che supporti l'avvio attendibile. Per altre informazioni, vedere l'elenco delle dimensioni supportate.

  11. Immettere le informazioni sull'account amministratore e quindi le regole delle porte in ingresso.

  12. Nella parte inferiore della pagina selezionare Rivedi e crea.

  13. Nella pagina Crea una macchina virtuale è possibile visualizzare le informazioni sulla macchina virtuale che si sta per distribuire. Dopo la convalida viene visualizzato come superato, selezionare Crea.

Sceenshot che mostra la pagina di convalida con le opzioni Avvio attendibile.

La distribuzione della macchina virtuale richiede alcuni minuti.

Le macchine virtuali di avvio attendibile di Azure supportano la creazione e la condivisione di immagini personalizzate usando Azure Compute Gallery. Esistono due tipi di immagini che è possibile creare, in base ai tipi di sicurezza dell'immagine:

Immagini supportate per la macchina virtuale di avvio attendibile

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su TrustedLaunchsupported:

  • Disco rigido virtuale del sistema operativo gen2
  • Immagine gestita Gen2
  • Versione dell'immagine della raccolta Gen2

Nessuna informazione sullo stato guest della macchina virtuale può essere inclusa nell'origine dell'immagine.

È possibile usare la versione dell'immagine risultante per creare macchine virtuali di Azure Gen2 o macchine virtuali di avvio attendibile.

Queste immagini possono essere condivise usando Azure Compute Gallery - Raccolta condivisa diretta e Raccolta di calcolo di Azure - Raccolta community.

Nota

Il disco rigido virtuale del sistema operativo, l'immagine gestita o la versione dell'immagine della raccolta deve essere creata da un'immagine gen2 compatibile con le macchine virtuali di avvio attendibili.

  1. Accedere al portale di Azure.
  2. Cercare e selezionare Le versioni delle immagini della macchina virtuale nella barra di ricerca.
  3. Nella pagina Versioni delle immagini della macchina virtuale selezionare Crea.
  4. Nella pagina Crea versione dell'immagine della macchina virtuale, all’interno della scheda Informazioni di base:
    1. Selezionare l’abbonamento di Azure.
    2. Selezionare un gruppo di risorse esistente o crearne uno nuovo.
    3. Selezionare l'area di Azure.
    4. Immettere un numero di versione dell'immagine.
    5. Per Origine selezionare BLOB di archiviazione (VHD) o Immagine gestita o un'altra versione dell'immagine della macchina virtuale.
    6. Se è stato selezionato BLOB di archiviazione (VHD),, immettere un disco VHD del sistema operativo (senza lo stato guest della macchina virtuale). Assicurarsi di usare un disco rigido virtuale Gen2.
    7. Se è stata selezionata l'immagine gestita, selezionare un'immagine gestita esistente di una macchina virtuale Gen2.
    8. Se è stata selezionata la versione dell'immagine della macchina virtuale, selezionare una versione dell'immagine della raccolta esistente di una macchina virtuale Gen2.
    9. In Raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta per condividere l'immagine.
    10. In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso. Se si usa un'immagine gestita come origine, selezionare sempre Generalizzata. Se si usa un BLOB di archiviazione (VHD) e si vuole selezionare Generalizzata, seguire la procedura per generalizzare un VHD Linux o generalizzare un VHD Windows prima di continuare. Se si usa una versione dell'immagine di macchina virtuale esistente, selezionare Generalizzata o Specializzata in base a quanto usato nella definizione dell'immagine della macchina virtuale di origine.
    11. In Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo.
    12. Nel riquadro Crea una definizione di immagine della macchina virtuale immettere un nome per la definizione. Assicurarsi che il tipo di sicurezza sia impostato su Trustedlaunch Supported. Immettere le informazioni sull'editore, sull'offerta e sullo SKU. Quindi, seleziona OK.
  5. Nella scheda Replica immettere il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
  6. Nella scheda Crittografia immettere le informazioni correlate alla crittografia SSE, se necessario.
  7. Selezionare Rivedi e crea.
  8. Dopo la convalida della configurazione, selezionare Crea per completare la creazione dell'immagine.
  9. Dopo aver creato la versione dell'immagine, selezionare Crea macchina virtuale.
  10. Nella pagina Crea una macchina virtuale, in Gruppo di risorse selezionare Crea nuovo. Immettere un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente dall'elenco a discesa.
  11. In Dettagli istanza immettere un nome per il nome della macchina virtuale e scegliere un'area che supporti Avvio attendibile.
  12. In Tipo di sicurezza selezionare Macchine virtuali di avvio attendibile. Le caselle di controllo Avvio protetto e vTPM sono abilitate per impostazione predefinita.
  13. Immettere le informazioni sull'account amministratore e quindi le regole delle porte in ingresso.
  14. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
  15. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

Immagini di vm di avvio attendibili

Il tipo di sicurezza nella definizione dell'immagine deve essere impostato su TrustedLaunchper le origini immagine seguenti:

  • Acquisizione di macchine virtuali di avvio attendibile
  • Disco del sistema operativo gestito
  • Snapshot del disco del sistema operativo gestito

È possibile usare la versione dell'immagine risultante per creare solo macchine virtuali di avvio attendibile di Azure.

  1. Accedere al portale di Azure.
  2. Per creare un'immagine della raccolta di calcolo di Azure da una macchina virtuale, aprire una macchina virtuale di avvio attendibile esistente e selezionare Acquisisci.
  3. Nella pagina Crea un'immagine consentire la condivisione dell'immagine alla raccolta come versione dell'immagine della macchina virtuale. La creazione di immagini gestite non è supportata per le macchine virtuali di avvio attendibile.
  4. Creare una nuova raccolta di calcolo di Azure di destinazione o selezionare una raccolta esistente.
  5. Selezionare lo stato del sistema operativo come Generalizzato o Specializzato. Se si vuole creare un'immagine generalizzata, assicurarsi di generalizzare la macchina virtuale per rimuovere le informazioni specifiche del computer prima di selezionare questa opzione. Se la crittografia basata su Bitlocker è abilitata nella macchina virtuale Windows di avvio attendibile, potrebbe non essere possibile generalizzare lo stesso.
  6. Creare una nuova definizione di immagine specificando un nome, un editore, un'offerta e i dettagli dello SKU. Il tipo di sicurezza per la definizione dell'immagine deve essere già impostato su Avvio attendibile.
  7. Specificare un numero di versione per la versione dell'immagine.
  8. Modificare le opzioni di replica, se necessario.
  9. Nella parte inferiore della pagina Crea un'immagine selezionare Rivedi e crea. Dopo la convalida viene visualizzato come superato, selezionare Crea.
  10. Dopo aver creato la versione dell'immagine, passare direttamente alla versione dell'immagine. In alternativa, è possibile passare alla versione dell'immagine richiesta tramite la definizione dell'immagine.
  11. Nella pagina versione dell'immagine della macchina virtuale selezionare + Crea macchina virtuale per passare alla pagina Crea macchina virtuale.
  12. Nella pagina Crea una macchina virtuale, in Gruppo di risorse selezionare Crea nuovo. Immettere un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente dall'elenco a discesa.
  13. In Dettagli istanza immettere un nome per il nome della macchina virtuale e scegliere un'area che supporti Avvio attendibile.
  14. L'immagine e il tipo di sicurezza sono già popolati in base alla versione dell'immagine selezionata. Le caselle di controllo Avvio protetto e vTPM sono abilitate per impostazione predefinita.
  15. Immettere le informazioni sull'account amministratore e quindi le regole delle porte in ingresso.
  16. Nella parte inferiore della pagina selezionare Rivedi e crea.
  17. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
  18. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

Se si vuole usare un disco gestito o uno snapshot del disco gestito come origine della versione dell'immagine (anziché una macchina virtuale di avvio attendibile), seguire questa procedura.

  1. Accedere al portale di Azure.
  2. Cercare Versioni immagine macchina virtuale e selezionare Crea.
  3. Specificare la sottoscrizione, il gruppo di risorse, l'area e il numero di versione dell'immagine.
  4. Selezionare l'origine come Dischi e/o Snapshot.
  5. Selezionare il disco del sistema operativo come disco gestito o uno snapshot del disco gestito dall'elenco a discesa.
  6. Selezionare una raccolta di calcolo di Azure di destinazione per creare e condividere l'immagine. Se non esiste alcuna raccolta, creare una nuova raccolta.
  7. Selezionare lo stato del sistema operativo come Generalizzato o Specializzato. Se si vuole creare un'immagine generalizzata, assicurarsi di generalizzare il disco o lo snapshot per rimuovere informazioni specifiche del computer.
  8. Per Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo. Nella finestra visualizzata selezionare un nome di definizione dell'immagine e assicurarsi che Tipo di sicurezza sia impostato su Avvio attendibile. Specificare le informazioni sull'editore, l'offerta e lo SKU e selezionare OK.
  9. La scheda Replica può essere usata per impostare il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
  10. La scheda Crittografia può essere usata anche per fornire informazioni correlate alla crittografia SSE, se necessario.
  11. Selezionare Crea nella scheda Rivedi e crea per creare l'immagine.
  12. Dopo aver creato correttamente la versione dell'immagine, selezionare + Crea macchina virtuale per passare alla pagina Crea macchina virtuale.
  13. Seguire i passaggi da 12 a 18 come indicato in precedenza per creare una macchina virtuale di avvio attendibile usando questa versione dell'immagine.

Criteri predefiniti di avvio attendibili

Per aiutare gli utenti ad adottare l'avvio attendibile, i criteri di Azure sono disponibili per aiutare i proprietari di risorse ad adottare Avvio attendibile. L'obiettivo principale è quello di convertire le macchine virtuali di prima e 2 generazione che sono in grado di supportare l'avvio attendibile.

La macchina virtuale deve avere un singolo criterio abilitato per l'avvio attendibile verifica se la macchina virtuale è attualmente abilitata con configurazioni di sicurezza di avvio attendibile. I dischi e il sistema operativo supportati per i criteri di avvio attendibili controllano se le macchine virtuali create in precedenza hanno le dimensioni del sistema operativo e della macchina virtuale di seconda generazione per distribuire una macchina virtuale di avvio attendibile.

Questi due criteri si riuniscono per rendere l'iniziativa dei criteri di avvio attendibile. Questa iniziativa consente di raggruppare diverse definizioni di criteri correlate per semplificare le assegnazioni e le risorse di gestione per includere la configurazione Avvio attendibile.

Per altre informazioni e per iniziare la distribuzione, vedere Criteri predefiniti di avvio attendibile.


Verificare o aggiornare le impostazioni

Per le macchine virtuali create con avvio attendibile abilitato, è possibile visualizzare la configurazione Avvio attendibile passando alla pagina Panoramica per la macchina virtuale nel portale di Azure. La scheda Proprietà mostra lo stato delle funzionalità di avvio attendibile.

Screenshot che mostra le proprietà Avvio attendibile della macchina virtuale.

Per modificare la configurazione Avvio attendibile, nel menu a sinistra, in Impostazioni selezionare Configurazione. Nella sezione Tipo di sicurezza è possibile abilitare o disabilitare il monitoraggio di avvio protetto, vTPM e integrità. Al termine, selezionare Salva nella parte superiore della pagina.

Screenshot che mostra le caselle di controllo per modificare le impostazioni di avvio attendibile.

Se la macchina virtuale è in esecuzione, viene visualizzato un messaggio che informa che la macchina virtuale verrà riavviata. Selezionare e attendere il riavvio della macchina virtuale per rendere effettive le modifiche.

Altre informazioni su Avvio attendibile e monitoraggio dell'integrità dell'avvio .