Visão geral do monitoramento da integridade da inicialização

Para ajudar o Azure Trusted Launch a prevenir melhor ataques mal-intencionados de rootkit em máquinas virtuais (VMs), o atestado de convidado por meio de um ponto de extremidade de Atestado do Azure é usado para monitorar a integridade da sequência de inicialização. Este atestado é fundamental para fornecer a validade dos estados de uma plataforma.

Sua VM de inicialização confiável precisa que a Inicialização Segura e o vTPM (Trusted Platform Module) virtual sejam habilitados para que as extensões de atestado possam ser instaladas. O Microsoft Defender for Cloud oferece relatórios com base no status de verificação do Atestado de Convidado e se a integridade de inicialização da sua VM está configurada corretamente. Para saber mais sobre a integração do Microsoft Defender for Cloud, consulte Integração de inicialização confiável com o Microsoft Defender for Cloud.

Importante

A Atualização Automática de Extensão está agora disponível para a extensão Boot Integrity Monitoring - Guest Attestation. Para obter mais informações, consulte Atualização automática de extensão.

Pré-requisitos

Você precisa de uma assinatura ativa do Azure e de uma VM de Inicialização Confiável.

Habilite o monitoramento de integridade

Para habilitar o monitoramento de integridade, siga as etapas nesta seção.

  1. Inicie sessão no portal do Azure.

  2. Selecione o recurso (Máquinas Virtuais).

  3. Em Definições, selecione Configuração. No painel Tipo de segurança, selecione Monitoramento de integridade.

    Captura de tela que mostra o monitoramento de integridade selecionado.

  4. Guarde as alterações.

Na página Visão Geral da VM, o tipo de segurança para monitoramento de integridade deve aparecer como Habilitado.

Esta ação instala a extensão Atestado de Convidado, à qual você pode consultar por meio das configurações na guia Extensões + Aplicativos .

Guia de solução de problemas para instalação da extensão Guest Attestation

Esta seção aborda erros e soluções de atestado.

Sintomas

A extensão de Atestado do Azure não funcionará corretamente quando você configurar um grupo de segurança de rede (NSG) ou um proxy. Aparece um erro semelhante a "Microsoft.Azure.Security.WindowsAttestation.GuestAttestation falha no provisionamento".

Captura de tela que mostra um erro resultante de uma extensão de Atestado de Convidado com falha.

Soluções

No Azure, os NSGs são usados para ajudar a filtrar o tráfego de rede entre os recursos do Azure. Os NSGs contêm regras de segurança que permitem ou negam o tráfego de rede de entrada ou o tráfego de rede de saída de vários tipos de recursos do Azure. O ponto de extremidade do Atestado do Azure deve ser capaz de se comunicar com a extensão Atestado Convidado. Sem esse ponto de extremidade, o Trusted Launch não pode acessar o atestado de convidado, o que permite que o Microsoft Defender for Cloud monitore a integridade da sequência de inicialização de suas VMs.

Para desbloquear o tráfego de Atestado do Azure em NSGs usando tags de serviço:

  1. Vá para a VM que você deseja permitir o tráfego de saída.

  2. No painel mais à esquerda, em Rede, selecione Configurações de rede.

  3. Em seguida, selecione Criar regra>de porta Regra de porta de saída.

    Captura de tela que mostra a adição da regra de porta de saída.

  4. Para permitir o Atestado do Azure, torne o destino uma marca de serviço. Essa configuração permite que o intervalo de endereços IP seja atualizado e defina automaticamente regras que permitem o Atestado do Azure. Defina a tag de serviço de destino como AzureAttestation e defina Action como Allow.

    Captura de tela que mostra como tornar o destino uma tag de serviço.

Os firewalls protegem uma rede virtual, que contém várias VMs de inicialização confiável. Para desbloquear o tráfego de Atestado do Azure em um firewall usando uma coleção de regras de aplicativo:

  1. Vá para a instância do Firewall do Azure que tem o tráfego bloqueado do recurso VM de Inicialização Confiável.

  2. Em Configurações, selecione Regras (clássicas) para começar a desbloquear o atestado de convidado atrás do firewall.

  3. Em Coleção de regras de rede, selecione Adicionar coleção de regras de rede.

    Captura de tela que mostra a adição de uma regra de aplicativo.

  4. Configure o nome, a prioridade, o tipo de origem e as portas de destino com base nas suas necessidades. Defina Nome da marca de serviço como AzureAttestation e defina Action como Allow.

Para desbloquear o tráfego de Atestado do Azure em um firewall usando uma coleção de regras de aplicativo:

  1. Vá para a instância do Firewall do Azure que tem o tráfego bloqueado do recurso VM de Inicialização Confiável.

    Captura de tela que mostra a adição de tráfego para a rota da regra do aplicativo.

    A coleção de regras deve conter pelo menos uma regra destinada a FQDNs (nomes de domínio totalmente qualificados).

  2. Selecione a coleção de regras de aplicativo e adicione uma regra de aplicativo.

  3. Selecione um nome e uma prioridade numérica para suas regras de aplicativo. Defina Action para a coleção de regras como Allow.

    Captura de tela que mostra a adição da rota da regra do aplicativo.

  4. Configure o nome, a origem e o protocolo. O tipo de origem é para um único endereço IP. Selecione o grupo IP para permitir vários endereços IP através do firewall.

Fornecedores regionais partilhados

O Atestado do Azure fornece um provedor compartilhado regional em cada região disponível. Você pode optar por usar o provedor compartilhado regional para atestado ou criar seus próprios provedores com políticas personalizadas. Qualquer usuário do Microsoft Entra pode acessar provedores compartilhados. A política associada a ele não pode ser alterada.

Nota

Você pode configurar o tipo de origem, o serviço, os intervalos de portas de destino, o protocolo, a prioridade e o nome.

Saiba mais sobre a Inicialização Confiável e a implantação de uma VM de Inicialização Confiável.