Implementar uma máquina virtual com o Início Confiável habilitado
Aplica-se a: ✔️ VMs Linux ✔️ VMs Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes.
O Início Confiável é uma maneira de melhorar a segurança das máquinas virtuais (VMs) de geração 2. O Início Confiável protege contra técnicas de ataque avançadas e persistentes por meio da combinação de tecnologias de infraestrutura, como o Trusted Platform Module virtual (vTPM) com a inicialização segura.
Pré-requisitos
Recomendamos que você integre sua assinatura ao Microsoft Defender para Nuvem, se ainda não tiver feito isso. O Microsoft Defender para Nuvem tem uma camada gratuita que oferece insights úteis para vários recursos híbridos e do Azure. Na ausência do Defender para Nuvem, os usuários de uma VM de Início Confiável não podem monitorar a integridade da inicialização da VM.
Atribua iniciativas de políticas do Azure à sua assinatura. Essas iniciativas de política precisam ser atribuídas apenas uma vez por assinatura. As políticas irão ajudar a implantar e auditar máquinas virtuais de Início Confiável e, ao mesmo tempo, instalar automaticamente todas as extensões necessárias em todas as VMs com suporte.
- Configure a iniciativa de política interna de VMs de Início Confiável.
- Configure os pré-requisitos para ativar o Atestado de Convidado em VMs habilitadas para Início Confiável.
- Configure os computadores para instalar automaticamente os agentes do Azure Monitor e da Segurança do Azure em VMs.
Permita a marca de serviço
AzureAttestation
nas regras de saída do grupo de segurança de rede para permitir o tráfego para o Atestado do Azure. Para obter mais informações, confira Marcas de serviço de rede virtual.Verifique se as políticas de firewall permitem o acesso a
*.attest.azure.net
.
Observação
Se você estiver usando uma imagem do Linux e pressupor que a VM pode ter drivers de kernel não assinados ou não assinados pelo fornecedor de distribuição do Linux, convém considerar desativar a inicialização segura. No portal do Azure, na página Criar uma máquina virtual para o parâmetro Security type
com Máquinas Virtuais de Início Confiável selecionado, selecione Configurar recursos de segurança e desmarque a caixa de seleção Habilitar inicialização segura. Na CLI do Azure, no PowerShell ou no SDK, defina o parâmetro de inicialização segura como false
.
Implantar uma VM com Início Confiável
Crie uma VM com o Início Confiável habilitado. Escolha uma das opções a seguir.
Entre no Portal do Azure.
Procure máquinas virtuais.
Em Serviços, selecione Máquinas virtuais.
Na página Máquinas virtuais, selecione Adicionare, em seguida, Máquina virtual.
Em Detalhes do projeto, verifique se a assinatura correta está selecionada.
Em Grupo de recursos, selecione Criar. Insira um nome para o grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
Em Detalhes da instância, insira um nome para o nome da VM e escolha uma região que dê suporte ao Início Confiável.
Para o Tipo de segurança, selecione Máquinas virtuais de Início Confiável. Quando as opções Inicialização segura, vTPM e Monitoramento de Integridade aparecerem, selecione as opções apropriadas para sua implantação. Para obter mais informações, consulte Recursos de segurança habilitados para Início Confiável.
Em Imagem, selecione uma imagem em Imagens Gen2 recomendadas compatíveis com o Início Confiável. Para uma lista, confira Início Confiável.
Dica
Se você não vir a versão Gen2 da imagem desejada na lista suspensa, selecione Ver todas as imagens. Em seguida, altere o filtro Tipo de segurança para Início Confiável.
Selecione um tamanho de VM que ofereça suporte ao Início Confiável. Para obter mais informações, confira a lista de tamanhos com suporte.
Preencha as informações de conta do administrador e as regras de porta de entrada.
Na parte inferior da página, selecione Examinar + Criar.
Na página Criar uma máquina virtual, você pode ver os detalhes da VM que você está prestes a implantar. Quando a validação for aprovada, selecione Criar.
Levará alguns minutos para que sua VM seja implantada.
Implantar uma VM de Início Confiável de uma imagem da Galeria de Computação do Azure
As VMs de Início Confiável do Azure dão suporte à criação e ao compartilhamento de imagens personalizadas usando a Galeria de Computação do Azure. Há dois tipos de imagens que você pode criar, com base nos tipos de segurança da imagem:
- Recomendado: as imagens (
TrustedLaunchSupported
) de VM de Início Confiável com suporte são imagens em que a origem não tem informações de estado do convidado da VM e podem ser usadas para criar VMs de Geração 2 ou VMs de Início Confiável. - As imagens (
TrustedLaunch
) de VM de Início Confiável são imagens em que a origem geralmente tem informações de estado do convidado da VM e podem ser usadas para criar apenas VMs de Início Confiável.
Imagens com suporte na VM de Início Confiável
Para as seguintes origens de imagem, o tipo de segurança na definição da imagem deve ser definido como TrustedLaunchsupported
:
- VHD de disco do sistema operacional (SO) Gen2
- Imagem gerenciada Gen2
- Versão da Imagem de Galeria Gen2
Nenhuma informação de Estado de Convidado da VM deve ser incluída na origem da imagem.
Você pode usar a versão da imagem resultante para criar VMs do Azure Gen2 ou VMs de Início Confiável.
Essas imagens podem ser compartilhadas usando a Galeria de Computação do Azure — Galeria com Compartilhamento Direto e a Galeria de Computação do Azure — Galeria Comunitária.
Observação
O VHD do disco do SO, a imagem gerenciada ou a versão da imagem da galeria deve ser criada a partir de uma imagem Gen2 compatível com as VMs de Início Confiável.
- Entre no portal do Azure.
- Na barra de pesquisa, pesquise e selecione Versões da imagem da VM.
- Na página de versões de imagem da VM, selecione Criar.
- Na página Criar versão da imagem da VM, na guia Noções básicas:
- Selecione a Assinatura do Azure.
- Selecione um grupo de recursos existente ou crie um grupo de recursos.
- Selecione uma região do Azure.
- Insira um número de versão da imagem.
- Em Origem, selecione Blobs de armazenamento (VHD), Imagem Gerenciada ou outra Versão da Imagem de VM.
- Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado convidado da VM). Certifique-se de usar um VHD Gen2.
- Se você selecionou Imagem Gerenciada, selecione uma imagem gerenciada existente de uma VM Gen2.
- Se você selecionou Versão de Imagem de VM, selecione uma Versão de Imagem da Galeria existente de uma VM Gen2.
- Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
- Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do caso de uso. Se você estiver usando uma imagem gerenciada como a origem, sempre selecione Generalizado. Se você estiver usando um VHD (blob de armazenamento) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD do Linux ou generalizar um VHD do Windows antes de continuar. Se você estiver usando uma versão de imagem de VM existente, selecione Generalizada ou Especializada com base no que é usado na definição da imagem de VM de origem.
- Para a definição de imagem de VM de destino, selecione Criar novo.
- No painel Criar uma definição de imagem de VM, insira um nome para a definição. Verifique se o tipo de segurança está definido para Início confiável com suporte. Forneça as informações de editor, oferta e SKU. Em seguida, selecione OK.
- Na guia Replicação, insira o número de réplicas e regiões de destino para replicação da imagens, se necessário.
- Na guia Criptografia, insira as informações relacionadas à criptografia SSE, se necessário.
- Selecione Examinar + criar.
- Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
- Depois que a versão da imagem for criada, selecione Criar VM.
- Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo. Insira um nome para o grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
- Em Detalhes da instância, insira um nome para o nome da VM e escolha uma região que dê suporte ao Início Confiável.
- Para o Tipo de segurança, selecione Máquinas virtuais de Início Confiável. As caixas de seleção Inicialização Segura e vTPM estão habilitadas por padrão.
- Preencha as informações de conta do administrador e as regras de porta de entrada.
- Na página de validação, examine os detalhes da VM.
- Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.
Imagens de VM de Início Confiável
Para as seguintes origens de imagem, o tipo de segurança na definição da imagem deve ser definido como TrustedLaunch
:
- Captura da VM de Início Confiável
- Discos gerenciados do sistema operacional
- Instantâneo de disco do sistema operacional gerenciado
Você pode usar a versão de imagem resultante para criar somente VMs de Início Confiável do Azure.
- Entre no Portal do Azure.
- Para criar uma Imagem da Galeria de Computação do Azure a partir de uma VM, abra uma VM de Início Confiável existente e selecione Capturar.
- Na página Criar uma Imagem, permita que a imagem seja compartilhada na galeria como uma versão de imagem de VM. Não há suporte para a criação de imagens gerenciadas para VMs de Início Confiável.
- Crie uma galeria de computação do Azure de destino ou selecione uma galeria existente.
- Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar a VM para remover informações específicas do computador antes de selecionar essa opção. Se a criptografia baseada em Bitlocker estiver habilitada em sua VM Windows de Início Confiável, talvez você não consiga generalizá-la.
- Crie uma nova definição de imagem fornecendo um nome, um distribuidor, uma oferta e detalhes de SKU. O Tipo de segurança da definição da imagem deve já está definido como Início Confiável.
- Forneça um número de versão para a imagem.
- Modifique as opções de replicação, se necessário.
- Na parte inferior da página Criar uma Imagem, selecione Examinar + Criar. Quando a validação for aprovada, selecione Criar.
- Depois que a versão da imagem for criada, vá diretamente para a versão da imagem. Como alternativa, você pode navegar até a versão da imagem necessária por meio da definição de imagem.
- Na página Versão de imagem de VM, selecione + Criar VM para ir para a página Criar uma máquina virtual.
- Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo. Insira um nome para o grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
- Em Detalhes da instância, insira um nome para o nome da VM e escolha uma região que dê suporte ao Início Confiável.
- A imagem e o tipo de segurança já estão preenchidos com base na versão da imagem selecionada. As caixas de seleção Inicialização Segura e vTPM estão habilitadas por padrão.
- Preencha as informações de conta do administrador e as regras de porta de entrada.
- Na parte inferior da página, selecione Examinar + Criar.
- Na página de validação, examine os detalhes da VM.
- Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.
Se quiser usar um disco gerenciado ou um instantâneo de disco gerenciado como uma origem da versão de imagem (em vez de uma VM de Início Confiável), use as etapas a seguir.
- Entre no portal do Azure.
- Pesquise por Versões de Imagem de VM e selecione Criar.
- Forneça a assinatura, o grupo de recursos, a região e o número de versão da imagem.
- Selecione a origem como Discos e/ou Instantâneos.
- Selecione o disco do sistema operacional como um disco gerenciado ou um instantâneo de disco gerenciado na lista suspensa.
- Selecione uma Galeria de Computação do Azure de Destino para criar e compartilhar a imagem. Se nenhuma galeria existir, crie uma.
- Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar o disco ou o instantâneo para remover informações específicas do computador.
- Para a Definição da Imagem de VM de Destino, selecione Criar. Na janela que abrir, selecione um nome de definição de imagem e verifique se o Tipo de segurança está definido como Início confiável. Forneça as informações de fornecedor, oferta e SKU e selecione OK.
- A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação da imagem, se necessário.
- A guia Criptografia também pode ser usada para fornecer informações relacionadas à criptografia SSE, se necessário.
- Selecione Criar na guia Examinar + criar para criar a imagem.
- Quando a versão da imagem for criada com sucesso, selecione + Criar VM para ir para a página Criar uma máquina virtual.
- Siga as etapas de 12 a 18, conforme mencionado anteriormente, para criar uma VM de Início Confiável usando essa versão de imagem.
Políticas internas de Início Confiável
Para ajudar os usuários finais a adotarem o Início Confiável, há políticas do Azure disponíveis para ajudar os proprietários de recursos a adotar o Início Confiável. O objetivo principal é ajudar a converter VMs de Geração 1 e 2 compatíveis com o Início Confiável.
A política única de Máquina virtual deve ter o Início Confiável habilitado verifica se a máquina virtual está habilitada com configurações de segurança de Inicio Confiável no momento. A política Discos e o sistema operacional compatíveis com Início Confiável verifica se as VMs criadas anteriormente têm o tamanho de VM e SO Gen2 capazes de implantar uma VM de Início Confiável.
Essas duas políticas se reúnem para tornar a iniciativa de política de Início Confiável. Essa iniciativa permite que você agrupe várias definições de política relacionadas para simplificar atribuições e recursos de gerenciamento para incluir a configuração do Início Confiável.
Para saber mais e começar a implantação, confira Políticas internas do Início Confiável.
Verificar ou atualizar suas configurações
Para VMs criadas com o Início Confiável habilitado, é possível exibir a configuração de início confiável acessando a página Visão geral referente à VM no portal do Azure. A guia Propriedades mostrará o status dos recursos de Início Confiável.
Para alterar a configuração de início confiável, no menu à esquerda, na seção Configurações, selecione Configuração. Na seção Tipo de segurança, você pode habilitar ou desabilitar a Inicialização Segura, o vTPM e o Monitoramento de integridade. Quando terminar, selecione Salvar na parte superior da página.
Se a VM estiver em execução, você receberá uma mensagem informando que a VM será reiniciada. Selecione Sim e aguarde a VM ser reiniciada para que as alterações entrem em vigor.
Conteúdo relacionado
Saiba mais sobre VMs de início Confiável e monitoramento de integridade da inicialização.