Distribuera en virtuell dator med betrodd start aktiverat

Gäller för: ✔️ Virtuella Linux-datorer med virtuella Windows-datorer ✔️ ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar.

Betrodd start är ett sätt att förbättra säkerheten för virtuella datorer i generation 2 . Trusted Launch skyddar mot avancerade och beständiga attacktekniker genom att kombinera infrastrukturtekniker som vTPM (Virtual Trusted Platform Module) och säker start.

Förutsättningar

  • Vi rekommenderar att du registrerar din prenumeration på Microsoft Defender för molnet om den inte redan är det. Defender for Cloud har en kostnadsfri nivå som ger användbara insikter för olika Azure- och hybridresurser. Eftersom Defender för molnet saknas kan betrodda användare av virtuella datorer för start inte övervaka startintegriteten för den virtuella datorn.

  • Tilldela Azure Policy-initiativ till din prenumeration. Dessa principinitiativ behöver bara tilldelas en gång per prenumeration. Principer hjälper till att distribuera och granska virtuella datorer med betrodd start samtidigt som alla nödvändiga tillägg installeras automatiskt på alla virtuella datorer som stöds.

    • Konfigurera de betrodda virtuella startdatorernas inbyggda principinitiativ.
    • Konfigurera förutsättningar för att aktivera gästattestering på betrodda startaktiverade virtuella datorer.
    • Konfigurera datorer för att automatiskt installera Azure Monitor- och Azure Security-agenterna på virtuella datorer.
  • Tillåt tjänsttaggen AzureAttestation i utgående regler för nätverkssäkerhetsgruppen för att tillåta trafik för Azure-attestering. Mer information finns i Tjänsttaggar för virtuellt nätverk.

  • Kontrollera att brandväggsprinciperna tillåter åtkomst till *.attest.azure.net.

Kommentar

Om du använder en Linux-avbildning och förväntar dig att den virtuella datorn kan ha kerneldrivrutiner som antingen är osignerade eller inte signerade av Linux-distributionsleverantören kan du överväga att inaktivera säker start. I Azure-portalen går du till sidan Skapa en virtuell dator för parametern Security type med Betrodda virtuella startdatorer markerat, väljer Konfigurera säkerhetsfunktioner och avmarkerar kryssrutan Aktivera säker start . I Azure CLI, PowerShell eller SDK anger du den säkra startparametern till false.

Distribuera en betrodd virtuell startdator

Skapa en virtuell dator med betrodd start aktiverat. Välj något av följande alternativ:

  1. Logga in på Azure-portalen.

  2. Sök efter virtuella datorer.

  3. Under Tjänster väljer du Virtuella datorer.

  4. På sidan Virtuella datorer väljer du Lägg till och sedan Virtuell dator.

  5. Under Projektinformation kontrollerar du att rätt prenumeration har valts.

  6. Välj Skapa ny under Resursgrupp. Ange ett namn för resursgruppen eller välj en befintlig resursgrupp i listrutan.

  7. Under Instansinformation anger du ett namn för namnet på den virtuella datorn och väljer en region som stöder betrodd start.

  8. Som Säkerhetstyp väljer du Betrodda starta virtuella datorer. När alternativen Säker start, vTPM och integritetsövervakning visas väljer du lämpliga alternativ för distributionen. Mer information finns i Betrodda startaktiverade säkerhetsfunktioner.

    Skärmbild som visar alternativen för Betrodd start.

  9. Under Bild väljer du en bild från Rekommenderade Gen 2-avbildningar som är kompatibla med betrodd start. En lista finns i Betrodd start.

    Dricks

    Om du inte ser Gen2-versionen av avbildningen som du vill använda i listrutan väljer du Visa alla bilder. Ändra sedan filtret Säkerhetstyp till Betrodd start.

  10. Välj en VM-storlek som stöder betrodd start. Mer information finns i listan över storlekar som stöds.

  11. Fyll i administratörskontoinformationen och sedan regler för inkommande portar.

  12. Längst ned på sidan väljer du Granska + Skapa.

  13. På sidan Skapa en virtuell dator kan du se information om den virtuella dator som du ska distribuera. När verifieringen visas som godkänd väljer du Skapa.

Sceenshot som visar valideringssidan med alternativen För betrodd start.

Det tar några minuter innan den virtuella datorn distribueras.

Virtuella Azure Trusted Launch-datorer stöder skapande och delning av anpassade avbildningar med hjälp av Azure Compute Gallery. Det finns två typer av bilder som du kan skapa baserat på avbildningens säkerhetstyper:

Avbildningar som stöds av en betrodd virtuell startdator

För följande bildkällor ska säkerhetstypen för bilddefinitionen anges till TrustedLaunchsupported:

  • VHD för operativsystemet Gen2 (OS)
  • Gen2-hanterad avbildning
  • Gen2-galleribildversion

Ingen information om vm-gästtillstånd kan tas med i avbildningskällan.

Du kan använda den resulterande avbildningsversionen för att skapa virtuella Azure Gen2-datorer eller virtuella datorer med betrodd start.

Dessa avbildningar kan delas med hjälp av Azure Compute Gallery – Direkt delat galleri och Azure Compute Gallery – Community Gallery.

Kommentar

Den virtuella hårddisken för operativsystemdisken, den hanterade avbildningen eller galleriavbildningen ska skapas från en Gen2-avbildning som är kompatibel med betrodda virtuella startdatorer.

  1. Logga in på Azure-portalen.
  2. Sök efter och välj VM-avbildningsversioner i sökfältet.
  3. På sidan VM-avbildningsversioner väljer du Skapa.
  4. På sidan Skapa vm-avbildningsversionfliken Grundläggande:
    1. Välj Azure-prenumerationen.
    2. Välj en befintlig resursgrupp eller skapa en ny resursgrupp.
    3. Välj Azure-regionen.
    4. Ange ett avbildningsversionsnummer.
    5. För Källa väljer du antingen Lagringsblobar (VHD) eller Hanterad avbildning eller en annan version av vm-avbildningen.
    6. Om du har valt Storage Blobs (VHD) anger du en virtuell hårddisk för os-disk (utan gästtillståndet för den virtuella datorn). Se till att använda en VHD för Gen2.
    7. Om du har valt Hanterad avbildning väljer du en befintlig hanterad avbildning av en virtuell Gen2-dator.
    8. Om du har valt vm-avbildningsversion väljer du en befintlig galleriavbildningsversion av en virtuell Gen2-dator.
    9. För Target Azure Compute Gallery väljer eller skapar du ett galleri för att dela avbildningen.
    10. För Operativsystemtillstånd väljer du antingen Generaliserad eller Specialiserad beroende på ditt användningsfall. Om du använder en hanterad avbildning som källa väljer du alltid Generaliserad. Om du använder en lagringsblob (VHD) och vill välja Generaliserad följer du stegen för att generalisera en virtuell Linux-hårddisk eller generalisera en virtuell Windows-hårddisk innan du fortsätter. Om du använder en befintlig version av vm-avbildningen väljer du antingen Generaliserad eller Specialiserad baserat på vad som används i definitionen av vm-källavbildningen.
    11. För Avbildningsdefinition för virtuell måldator väljer du Skapa ny.
    12. I fönstret Skapa en VM-avbildningsdefinition anger du ett namn för definitionen. Kontrollera att säkerhetstypen är inställd på Trustedlaunch Supported (Betroddstart stöds). Ange information om utgivare, erbjudande och SKU. Välj sedan OK.
  5. På fliken Replikering anger du antalet replikerings- och målregioner för bildreplikering om det behövs.
  6. På fliken Kryptering anger du SSE-krypteringsrelaterad information om det behövs.
  7. Välj Granska + skapa.
  8. När konfigurationen har verifierats väljer du Skapa för att slutföra skapandet av avbildningen.
  9. När avbildningsversionen har skapats väljer du Skapa virtuell dator.
  10. På sidan Skapa en virtuell dator går du till Resursgrupp och väljer Skapa ny. Ange ett namn för resursgruppen eller välj en befintlig resursgrupp i listrutan.
  11. Under Instansinformation anger du ett namn för namnet på den virtuella datorn och väljer en region som stöder betrodd start.
  12. Som Säkerhetstyp väljer du Betrodda starta virtuella datorer. Kryssrutan Säker start och vTPM är aktiverade som standard.
  13. Fyll i administratörskontoinformationen och sedan regler för inkommande portar.
  14. Granska informationen om den virtuella datorn på verifieringssidan.
  15. När valideringen har slutförts väljer du Skapa för att slutföra skapandet av den virtuella datorn.

Betrodda vm-avbildningar för start

Säkerhetstypen för bilddefinitionen ska anges till TrustedLaunchför följande bildkällor:

  • Avbildning av betrodd start-VM
  • Hanterad OS-disk
  • Ögonblicksbild av hanterad OS-disk

Du kan använda den resulterande avbildningsversionen för att endast skapa virtuella Azure-datorer med betrodd start.

  1. Logga in på Azure-portalen.
  2. Om du vill skapa en Azure Compute-galleriavbildning från en virtuell dator öppnar du en befintlig betrodd startdator och väljer Avbilda.
  3. På sidan Skapa en avbildning tillåter du att avbildningen delas till galleriet som en vm-avbildningsversion. Skapande av hanterade avbildningar stöds inte för betrodda virtuella startdatorer.
  4. Skapa ett nytt Azure Compute-målgalleri eller välj ett befintligt galleri.
  5. Välj operativsystemets tillstånd som generaliserad eller specialiserad. Om du vill skapa en generaliserad avbildning kontrollerar du att du generaliserar den virtuella datorn för att ta bort datorspecifik information innan du väljer det här alternativet. Om Bitlocker-baserad kryptering är aktiverad på den virtuella Windows-datorn för betrodd start kanske du inte kan generalisera samma sak.
  6. Skapa en ny avbildningsdefinition genom att ange information om namn, utgivare, erbjudande och SKU. Säkerhetstyp för avbildningsdefinitionen bör redan vara inställd på Betrodd start.
  7. Ange ett versionsnummer för avbildningsversionen.
  8. Ändra replikeringsalternativ om det behövs.
  9. Längst ned på sidan Skapa en bild väljer du Granska + Skapa. När verifieringen visas som godkänd väljer du Skapa.
  10. När avbildningsversionen har skapats går du direkt till avbildningsversionen. Du kan också gå till den avbildningsversion som krävs via bilddefinitionen.
  11. På sidan version av vm-avbildning väljer du + Skapa virtuell dator för att gå till sidan Skapa en virtuell dator .
  12. På sidan Skapa en virtuell dator går du till Resursgrupp och väljer Skapa ny. Ange ett namn för resursgruppen eller välj en befintlig resursgrupp i listrutan.
  13. Under Instansinformation anger du ett namn för namnet på den virtuella datorn och väljer en region som stöder betrodd start.
  14. Avbildningen och säkerhetstypen är redan ifyllda baserat på den valda avbildningsversionen. Kryssrutan Säker start och vTPM är aktiverade som standard.
  15. Fyll i administratörskontoinformationen och sedan regler för inkommande portar.
  16. Längst ned på sidan väljer du Granska + Skapa.
  17. Granska informationen om den virtuella datorn på verifieringssidan.
  18. När valideringen har slutförts väljer du Skapa för att slutföra skapandet av den virtuella datorn.

Om du vill använda antingen en hanterad disk eller en ögonblicksbild av en hanterad disk som källa till avbildningsversionen (i stället för en betrodd virtuell startdator) följer du dessa steg.

  1. Logga in på Azure-portalen.
  2. Sök efter VM-avbildningsversioner och välj Skapa.
  3. Ange versionsnumret för prenumeration, resursgrupp, region och bild.
  4. Välj källan som Diskar och/eller Ögonblicksbilder.
  5. Välj OS-disken som en hanterad disk eller en ögonblicksbild av en hanterad disk i listrutan.
  6. Välj ett Azure Compute-målgalleri för att skapa och dela avbildningen. Om det inte finns något galleri skapar du ett nytt galleri.
  7. Välj operativsystemets tillstånd som generaliserad eller specialiserad. Om du vill skapa en generaliserad avbildning kontrollerar du att du generaliserar disken eller ögonblicksbilden för att ta bort datorspecifik information.
  8. För Avbildningsdefinition för virtuell måldator väljer du Skapa ny. I fönstret som öppnas väljer du ett bilddefinitionsnamn och ser till att säkerhetstypen är inställd på Betrodd start. Ange information om utgivare, erbjudande och SKU och välj OK.
  9. Fliken Replikering kan användas för att ange antal replikering och målregioner för bildreplikering om det behövs.
  10. Fliken Kryptering kan också användas för att tillhandahålla SSE-krypteringsrelaterad information om det behövs.
  11. Välj Skapafliken Granska + skapa för att skapa avbildningen.
  12. När avbildningsversionen har skapats väljer du + Skapa virtuell dator för att gå till sidan Skapa en virtuell dator .
  13. Följ steg 12 till 18 som tidigare nämnts för att skapa en betrodd virtuell dator för start med hjälp av den här avbildningsversionen.

Inbyggda principer för betrodd start

För att hjälpa användare att använda betrodd start är Azure-principer tillgängliga för att hjälpa resursägare att införa betrodd start. Huvudsyftet är att konvertera virtuella datorer i generation 1 och 2 som är betrodda startkompatibla.

Den virtuella datorn bör ha en betrodd start aktiverad enskild principkontroll om den virtuella datorn för närvarande är aktiverad med säkerhetskonfigurationer för betrodd start. De diskar och operativsystem som stöds för principkontroller för betrodd start om tidigare skapade virtuella datorer har den kompatibla operativsystems- och VM-storleken för generation 2 för att distribuera en betrodd virtuell dator för start.

Dessa två principer samlas för att göra principinitiativet Betrodd start. Med det här initiativet kan du gruppera flera relaterade principdefinitioner för att förenkla tilldelningar och hanteringsresurser så att de inkluderar konfiguration av betrodd start.

Mer information och börja distribuera finns i Inbyggda principer för betrodd start.


Verifiera eller uppdatera inställningarna

För virtuella datorer som skapats med betrodd start aktiverat kan du visa konfigurationen Betrodd start genom att gå till sidan Översikt för den virtuella datorn i Azure-portalen. Fliken Egenskaper visar status för funktioner för betrodd start.

Skärmbild som visar egenskaperna för betrodd start för den virtuella datorn.

Om du vill ändra konfigurationen för betrodd start går du till den vänstra menyn och väljer Konfiguration under Inställningar. I avsnittet Säkerhetstyp kan du aktivera eller inaktivera övervakning av säker start, vTPM och integritet. Välj Spara överst på sidan när du är klar.

Skärmbild som visar kryssrutor för att ändra inställningarna för betrodd start.

Om den virtuella datorn körs får du ett meddelande om att den virtuella datorn startas om. Välj Ja och vänta sedan tills den virtuella datorn startas om för att ändringarna ska börja gälla.

Läs mer om betrodd start - och startintegritetsövervakning av virtuella datorer.