Início Confiável para máquinas virtuais do Azure

  • Artigo

Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes

O Azure oferece o Início Confiável como uma maneira simples de melhorar a segurança de máquinas virtuais (VMs) da Geração 2. O Início Confiável protege contra técnicas de ataque avançadas e persistentes. O Início Confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas.

Importante

Benefícios

  • Implantar VMs de forma segura com carregadores de inicialização verificados, kernels do sistema operacional (SO) e drivers.
  • Proteger chaves, certificados e segredos com segurança nas VMs.
  • Obter informações e confiança da integridade da cadeia de inicialização inteira.
  • Garantir que as cargas de trabalho sejam confiáveis e verificáveis.

Tamanhos de máquinas virtuais

Tipo Famílias de tamanho com suporte Famílias de tamanho sem suporte no momento Famílias de tamanho sem suporte
Uso geral B-series, DCsv2-series, DCsv3-series, DCdsv3-series, Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Ddsv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series, Dldsv5-series Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series Av2-series, Dv2-series, Dv3-series
Computação otimizada FX-series, Fsv2-series Todos os tamanhos com suporte.
Memória otimizada Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series, Edv5-series, Edsv5-series Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series Ev3-series
Armazenamento otimizado Lsv2-series, Lsv3-series, Lasv3-series Todos os tamanhos com suporte.
GPU NCv2-series, NCv3-series, NCasT4_v3-series, NVv3-series, NVv4-series, NDv2-series, NC_A100_v4-series, NVadsA10 v5-series NDasrA100_v4-series, NDm_A100_v4-series NC-series, NV-series, NP-series
Computação de Alto Desempenho HB-series, HBv2-series, HBv3-series, HBv4-series, HC-series, HX-series Todos os tamanhos com suporte.

Observação

  • A instalação dos drivers CUDA e GRID em VMs do Windows habilitadas para Inicialização Segura não exige etapas adicionais.
  • A instalação do driver CUDA em VMs do Ubuntu habilitadas para Inicialização Segura exige etapas adicionais. Para obter mais informações, confira Instalar drivers NVIDIA de GPU em VMs da série N que executam o Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs do Linux.
  • A instalação do driver GRID exige que a Inicialização Segura seja desabilitada para VMs do Linux.
  • Famílias de tamanho sem suporte não são compatíveis com VMs da Geração 2. Mude o Tamanho da VM para famílias de tamanhos compatíveis equivalentes para habilitar o Início Confiável.

Sistemas operacionais com suporte

Sistema operacional Versão
Alma Linux 8.7, 8.8, 9.0
Azure Linux 1.0, 2.0
Debian 11, 12
Oracle Linux 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM
RedHat Enterprise Linux 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2
SUSE Enterprise Linux 15SP3, 15SP4, 15SP5
Ubuntu Server 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10
Windows 10 Pro, Enterprise, Enterprise Multi-Session *
Windows 11 Pro, Enterprise, Enterprise Multi-Session *
Windows Server 2016, 2019, 2022 *
Windows Server (Azure Edition) 2022

* Há suporte para variações desse SO.

Mais informações

Regiões:

  • Todas as regiões públicas
  • Regiões do Azure Governamental
  • Todas as regiões do Azure China

Preços: o Início Confiável não aumenta os custos de preços de VM existentes.

Recursos sem suporte

No momento, os seguintes recursos de VM não são compatíveis com o Início Confiável:

Inicialização Segura

Na raiz de Início Confiável está a Inicialização Segura para a sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam ser inicializados. Ela estabelece uma "raiz de confiança" para a pilha de software da VM.

Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) exigem assinatura de editores confiáveis. O Windows e algumas distribuições do Linux oferecem suporte à Inicialização Segura. Se a Inicialização Segura falhar ao autenticar que a imagem é assinada por um editor confiável, a VM não é inicializada. Para saber mais, confira Inicialização Segura.

vTPM

O Início Confiável também apresenta o módulo vTPM (Trusted Platform Module virtual) para VMs no Azure. Essa versão virtualizada de um hardware Trusted Platform Module, está em conformidade com a especificação TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medidas.

O Início Confiável fornece à VM uma instância de TPM dedicada, em execução em um ambiente seguro, inacessível por qualquer outra VM. O vTPM habilita o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).

O Início Confiável usa o vTPM para executar o atestado remoto por meio da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para a tomada de decisões baseadas em confiança. Como uma verificação de integridade, o Início Confiável pode certificar criptograficamente que sua VM foi inicializada corretamente.

Em caso de falha do processo, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender para Nuvem emite alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.

Segurança com base em virtualização

A segurança baseada em virtualização (SVB) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações mal-intencionadas. O Início Confiável permite habilitar a HVCI (integridade de código aplicada pelo hipervisor) e o Windows Defender Credential Guard.

O HVCI é uma mitigação de sistema poderosa que protege os processos do modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado. Ele verifica os drivers e os binários do modo kernel antes de executá-los, impedindo que arquivos não assinados sejam carregados na memória. As verificações garantem que o código executável não pode ser modificado após receber permissão para carregar. Para obter mais informações sobre SVB e HVCI, confira o tópico Segurança baseada em virtualização e integridade de código aplicada pelo hipervisor.

Com o Início Confiável e a SVB você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas o software do sistema privilegiado possa acessá-los. Isso ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques do tipo Pass-the-hash. Para obter mais informações, consulte Credential Guard.

Integração do Microsoft Defender para Nuvem

O Início Confiável é integrado ao Defender para Nuvem para garantir que as VMs serão configuradas corretamente. O Defender para Nuvem avalia continuamente VMs compatíveis e emite recomendações relevantes:

  • Recomendação para habilitar a Inicialização Segura: a recomendação de Inicialização Segura aplica-se apenas a VMs que dão suporte ao Início Confiável. O Defender para Nuvem identifica VMs que podem habilitar a Inicialização Segura, mas que a desabilitam. Ele emite uma recomendação de baixa gravidade para habilitá-la.

  • Recomendação para habilitar o vTPM: se a VM tiver o vTPM habilitado, o Defender para Nuvem poderá usá-lo na execução de atestado de convidado e identificar padrões avançados de ameaças. Se o Defender para Nuvem identificar VMs que dão suporte ao Início Confiável e estiverem com o vTPM desabilitado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.

  • Recomendação para instalar a extensão de atestado de convidado: se a VM tiver Inicialização Segura e vTPM habilitados, mas não tiver a extensão de atestado de convidado instalada, o Defender para Nuvem emitirá recomendações de baixa gravidade para instalar a extensão de atestado de convidado nela. Essa extensão possibilita que o Defender para Nuvem ateste e monitore proativamente a integridade de início das VMs. A integridade da inicialização é atestada por meio do atestado remoto.

  • Avaliação de integridade de atestado ou monitoramento de integridade da inicialização: se a VM tiver Inicialização Segura e vTPM habilitados, e também contar a extensão de atestado instalada, o Defender para Nuvem poderá validar de forma remota se a inicialização foi feita de maneira íntegra. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender para Nuvem emite uma avaliação que indica o status do atestado remoto.

    Se as VMs estiverem configuradas corretamente com o Início Confiável, o Defender para Nuvem poderá detectar e alertar sobre problemas de integridade nelas.

  • Alerta para falha de atestado de VM: o Defender para Nuvem executa periodicamente o atestado em suas VMs. O atestado também ocorre após a inicialização da VM. Se o atestado falhar, ele disparará um alerta de gravidade média. O atestado da VM pode falhar pelos seguintes motivos:

    • As informações atestadas, que incluem um log de inicialização, se desviam de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.

    • A cotação de atestado não pôde ser verificada para se originar do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar interceptando o tráfego para o vTPM.

      Observação

      Os alertas estão disponíveis para VMs com o vTPM habilitado e a extensão atestado instalada. A Inicialização Segura deve ser habilitada para que o atestado passe. O atestado falhará se a Inicialização Segura estiver desabilitada. Se você precisar desabilitar a Inicialização Segura, poderá suprimir esse alerta para evitar falsos positivos.

  • Alerta para o módulo kernel do Linux não confiável: para o Início Confiável com a Inicialização Segura habilitada, é possível que uma VM seja inicializada mesmo se um driver de kernel falhar na validação e o carregamento não for permitido. Se esse cenário acontecer, o Defender para Nuvem emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados. Pergunte a si mesmo:

    • Qual driver de kernel falhou? Eu conheço esse driver e devo esperar que ele seja carregado?
    • Esta é a versão exata do driver que estou esperando? Os binários de driver estão intactos? Se esse for um driver de terceiros, o fornecedor passou nos testes de conformidade do SO para conseguir a assinatura?

Conteúdo relacionado

Implantar uma VM com Início Confiável.