تشغيل موثوق لأجهزة Azure الظاهرية

ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة

يوفر Azure إمكانية التشغيل الموثوق كطريقة سلسة لتحسين أمان الجيل 2 من الأجهزة الظاهرية. تشغيل موثوق يحمي من تقنيات الهجوم المتقدمة والمستمرة. يتكون التشغيل الموثوق من تقنيات متعددة منسقة للبنية الأساسية يمكن تمكين كل منها على حدا. توفر كل تقنية طبقة أخرى من الحماية ضد التهديدات المتطورة.

هام

• يتم تحديد التشغيل الموثوق به كحالة افتراضية لأجهزة Azure الظاهرية التي تم إنشاؤها حديثا. إذا كان الجهاز الظاهري الجديد يتطلب ميزات غير مدعومة من قبل التشغيل الموثوق به، فشاهد الأسئلة المتداولة حول التشغيل الموثوق به
• يمكن تمكين التشغيل الموثوق به لأجهزة Azure الظاهرية الموجودة من الجيل 2 بعد إنشائها. لمزيد من المعلومات، راجع تمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة
• لا يمكنك تمكين التشغيل الموثوق به على مجموعة مقياس الجهاز الظاهري (VMSS) الموجودة التي تم إنشاؤها في البداية بدونها. يتطلب التشغيل الموثوق به إنشاء VMSS جديد.

المزايا

• توزيع الأجهزة الظاهرية مع برامج تشغيل الجهاز وkernel وأنظمة التشغيل وأدوات تحميل التمهيد بأمان.
• حماية المفاتيح والشهادات والبيانات السرية في الأجهزة الظاهرية بأمان.
• اكتساب رؤى وثقة تكامل سلسلة التمهيد بأكملها.
• التأكد من أن أحمال العمل موثوقة ويمكن التحقق منها.

أحجام الأجهزة الظاهرية

نوع	عائلات الحجم المدعومة	عائلات الحجم غير المدعومة حاليا	عائلات الحجم غير المدعومة
الغرض العام	سلسلة B، سلسلة DCsv2، سلسلة DCsv3، سلسلة DCdsv3، Dv4-series, Dsv4-series, Dsv3-series, Dsv2-series, Dav4-series, Dasv4-series, Ddsv4-series, Ddsv4-series, Dv5-series, Dsv5-series, Ddv5-series, Dasv5-series, Dadsv5-series, Dlsv5-series,سلسلة Dldsv5	سلسلة Dpsv5، سلسلة Dpdsv5، سلسلة Dplsv5، سلسلة Dpldsv5	سلسلة Av2، سلسلة Dv2، سلسلة Dv3
الحوسبة المحسنة	سلسلة FX، سلسلة Fsv2	جميع الأحجام المدعومة.
الذاكرة المحسنة	Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series,Ebdsv5-series ,Edv5-series, Edsv5-series	سلسلة Epsv5، وسلسلة Epdsv5، وسلسلة M، وسلسلة Msv2، وسلسلة Mdsv2 متوسطة الذاكرة، وسلسلة Mv2	سلسلة Ev3
التخزين المحسن	سلسلة Lsv2، سلسلة Lsv3، سلسلة Lasv3	جميع الأحجام المدعومة.
الجرافيك	سلسلة NCv2 وسلسلة NCv3 وسلسلة NCasT4_v3 وسلسلة NVv3 وسلسلة NVv4 وسلسلة NDv2 وسلسلة NC_A100_v4 وسلسلة NVadsA10 v5	سلسلة NDasrA100_v4، سلسلة NDm_A100_v4	سلسلة NC، سلسلة NV، سلسلة NP
حساب عالي الأداء	سلسلة HB، سلسلة HBv2، سلسلة HBv3، سلسلة HBv4، سلسلة HC، سلسلة HX	جميع الأحجام المدعومة.

إشعار

• لا يتطلب تثبيت برامج تشغيل CUDA و GRID على أجهزة Windows الظاهرية الممكنة للتمهيد الآمن أي خطوات إضافية.
• يتطلب تثبيت برنامج تشغيل CUDA على أجهزة Ubuntu الظاهرية الممكنة للتمهيد الآمن خطوات إضافية موثقة في تثبيت برامج تشغيل NVIDIA GPU على الأجهزة الظاهرية من السلسلة N التي تعمل بنظام Linux. يجب تعطيل التمهيد الآمن لتثبيت برامج تشغيل CUDA على أجهزة Linux الظاهرية الأخرى.
• يتطلب تثبيت برنامج تشغيل GRID تعطيل التمهيد الآمن لأجهزة Linux الظاهرية.
• لا تدعم عائلات الحجم غير المدعومة الأجهزة الظاهرية من الجيل 2. تغيير حجم الجهاز الظاهري إلى مجموعات الحجم المدعومة المكافئة لتمكين "التشغيل الموثوق به".

أنظمة التشغيل المدعومة

نظام التشغيل	إصدار
Alma Linux	8.7, 8.8, 9.0
Azure Linux	1.0, 2.0
Debian	11, 12
Oracle Linux	8.3، 8.4، 8.5، 8.6، 8.7، 8.8 LVM، 9.0، 9.1 LVM
RedHat Enterprise Linux	8.4، 8.5، 8.6، 8.7، 8.8، 9.0، 9.1 LVM، 9.2
SUSE Enterprise Linux	15SP3، 15SP4، 15SP5
Ubuntu Server	18.04 LTS، 20.04 LTS، 22.04 LTS، 23.04، 23.10
Windows 10	Pro وEnterprise وEnterprise Multi-Session *
Windows 11	Pro وEnterprise وEnterprise Multi-Session *
Windows Server	2016, 2019, 2022 *
خادم النافذة (إصدار Azure)	2022

* يتم دعم تباينات نظام التشغيل هذا.

معلومات إضافية

المناطق:

• جميع المناطق العامة
• جميع مناطق Azure Government
• جميع مناطق Azure China

التسعير: لا يؤدي التشغيل الموثوق به إلى زيادة تكاليف تسعير الجهاز الظاهري الحالية.

ميزات غير معتمدة

إشعار

ميزات الجهاز الظاهري التالية غير مدعومة حاليا مع "التشغيل الموثوق به".

• Azure Site Recovery (قيد المعاينة حاليا)
• صورة مدارة (يتم تشجيع العملاء على استخدام معرض حوسبة Azure)
• الظاهرية المتداخلة (معظم مجموعات حجم V5 VM مدعومة)

Secure boot

Secure Boot هي أساس التشغيل الموثوق لجهازك الظاهري. التمهيد الآمن، الذي يتم تنفيذه في البرنامج الثابت للنظام الأساسي، يحمي من تثبيت rootkits المستندة إلى البرامج الضارة ومجموعات التمهيد. تعمل Secure Boot للتأكد من أن برامج التشغيل وأنظمة التشغيل الموقّعة فقط يمكن تشغيلها. إنها تنشئ "جذر الثقة" لمكدس الذاكرة المؤقتة للبرامج على جهازك الظاهري. مع تمكين التمهيد الآمن، تتطلب جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) توقيع ناشرين موثوق بهم. يدعم كل من Windows وتوزيعات Linux المحددة Secure Boot. إذا فشل التمهيد الآمن في المصادقة على أن الصورة موقعة من قبل ناشر موثوق به، يفشل الجهاز الظاهري في التمهيد. لمزيد من المعلومات، راجعSecure Boot.

vTPM

يقدم التشغيل الموثوق أيضاً vTPM لأجهزة Azure الظاهرية. vTPM هو إصدار ظاهري من وحدة النظام الأساسي الموثوق به للأجهزة، متوافق مع مواصفات TPM2.0. وهو بمثابة مخزن آمن مخصص للمفاتيح والقياسات. يوفر التشغيل الموثوق لجهازك الظاهري مثيل TPM مخصص خاص به يعمل في بيئة آمنة بعيداً عن أي جهاز ظاهري. يمكّن vTPM الإثبات عن طريق قياس سلسلة التمهيد الكاملة لجهازك الظاهري (UEFI ونظام التشغيل والنظام وبرامج تشغيل الجهاز).

يستخدم التشغيل الموثوق به vTPM لإجراء تصديق عن بعد من خلال السحابة. تمكن الإثباتات الفحوصات الصحية للنظام الأساسي واتخاذ قرارات تستند إلى الثقة. باعتباره فحص سلامة، يمكن أن يشهد التشغيل الموثوق بطريقة سرية أن جهازك الظاهري تم بدء تمهيده بشكل صحيح. إذا فشلت العملية، ربما لأن الجهاز الظاهري الخاص بك يقوم بتشغيل مكون غير مصرح به، فإن Microsoft Defender for Cloud يصدر تنبيهات التكامل. تتضمن التنبيهات تفاصيل حول المكونات التي فشلت في اجتياز فحوصات تكامل البيانات.

الأمان المستند إلى الظاهرية

يستخدم الأمان المستند إلى الظاهرية (VBS) برنامج hypervisor لإنشاء منطقة آمنة ومعزولة من الذاكرة. يستخدم Windows هذه المناطق لتشغيل حلول أمنية متنوعة مع حماية معززة ضد نقاط الضعف ومحاولات الاستغلال الضار. يتيح لك التشغيل الموثوق تمكين Hypervisor Code Integrity (HVCI) وWindows Defender Credential Guard.

HVCI هو تقليل فعّال للنظام يحمي عمليات وضع kernel على Windows من تنفيذ التعليمات البرمجية الضارة أو التي لم يتم التحقق منها. إنه يتحقق من برامج تشغيل وضع kernel والثنائيات قبل تشغيلها، ما يمنع الملفات غير المُوقّعة من التحميل في الذاكرة. تضمن عمليات التحقق أنه لا يمكن تعديل التعليمات البرمجية القابلة للتنفيذ بمجرد السماح بتحميلها. لمزيد من المعلومات حول VBS وHVCI، راجع Virtualization Based Security (VBS) وHypervisor Enforced Code Integrity (HVCI).

مع التشغيل الموثوق به وVBS، يمكنك تمكين حماية بيانات اعتماد Windows Defender. يعزل Credential Guard البيانات السرية ويحميها بحيث يمكن لبرنامج النظام المميز فقط الوصول إليها. إنها تساعد على منع الوصول غير المخول إلى البيانات السرية وهجمات سرقة بيانات الاعتماد، مثل هجمات Pass-the-Hash (PtH). لمزيد من المعلومات، راجع Credential Guard.

تكامل Microsoft Defender for Cloud

تم دمج التشغيل الموثوق به مع Microsoft Defender for Cloud لضمان تكوين الأجهزة الظاهرية بشكل صحيح. يقوم Microsoft Defender for Cloud بتقييم الأجهزة الظاهرية المتوافقة باستمرار وإصدار التوصيات ذات الصلة.

• توصية لتمكين التمهيد الآمن - تنطبق توصية التمهيد الآمن فقط على الأجهزة الظاهرية التي تدعم التشغيل الموثوق به. يعرف Microsoft Defender for Cloud الأجهزة الظاهرية التي يمكنها تمكين التمهيد الآمن، ولكن تم تعطيلها. يصدر توصية منخفضة الخطورة لتمكينه.
• توصية لتمكين vTPM - إذا تم تمكين vTPM لجهاز VM الخاص بك، يمكن ل Microsoft Defender for Cloud استخدامه لتنفيذ تصديق الضيف وتحديد أنماط التهديد المتقدمة. إذا حدد Microsoft Defender for Cloud الأجهزة الظاهرية التي تدعم التشغيل الموثوق به وتم تعطيل vTPM، فإنه يصدر توصية منخفضة الخطورة لتمكينه.
• توصية بتثبيت ملحق تصديق الضيف - إذا كان الجهاز الظاهري الخاص بك لديه تمهيد آمن وتمكين vTPM ولكن لم يتم تثبيت ملحق تصديق الضيف، فإن Microsoft Defender for Cloud يصدر توصيات منخفضة الخطورة لتثبيت ملحق تصديق الضيف عليه. يسمح هذا الملحق ل Microsoft Defender for Cloud بالمصادقة على تكامل التمهيد للأجهزة الظاهرية ومراقبته بشكل استباقي. تتم مصادقة تكامل بيانات التمهيد من خلال الإثبات البعيد.
• تقييم صحة التصديق أو Boot Integrity Monitoring - إذا كان الجهاز الظاهري الخاص بك مزودا ب Secure Boot وvTPM ممكنين وملحق تصديق مثبتين، يمكن ل Microsoft Defender for Cloud التحقق عن بعد من أن الجهاز الظاهري الخاص بك تم تمهيده بطريقة سليمة. يُعرف هذا بمراقبة تكامل البيانات. يصدر Microsoft Defender for Cloud تقييما، يشير إلى حالة التصديق عن بعد.

إذا تم إعداد أجهزتك الظاهرية بشكل صحيح بالتشغيل الموثوق، يمكن لـ Microsoft Defender for Cloud اكتشاف مشكلات في سلامة الجهاز الظاهري وتنبيهك بوجودها.

• تنبيه لفشل تصديق الجهاز الظاهري: يقوم Microsoft Defender for Cloud بإجراء التصديق بشكل دوري على الأجهزة الظاهرية الخاصة بك. يحدث التصديق أيضا بعد تمهيد الجهاز الظاهري الخاص بك. إذا فشل التصديق، فإنه يؤدي إلى تنبيه متوسط الخطورة. يمكن أن يفشل إثبات الجهاز الظاهري للأسباب التالية:

  • المعلومات التي تمت مصادقتها، والتي تتضمن سجل التمهيد، تحيد عن الأساس الموثوق. يمكن أن يشير أي انحراف إلى أنه تم تحميل وحدات غير موثوق بها، ويمكن اختراق نظام التشغيل.
  • تعذر التحقق من اقتباس التصديق لينشأ من vTPM للجهاز الظاهري المصدق عليه. يمكن أن يشير الأصل الذي لم يتم التحقق من وجوده إلى وجود برامج ضارة ويمكن أن تعترض حركة المرور إلى vTPM.

  إشعار

  تتوفر التنبيهات للأجهزة الظاهرية مع تمكين vTPM وتثبيت ملحق Attestation. يجب تمكين Secure Boot حتى ينجح الإثبات. يفشل التصديق إذا تم تعطيل التمهيد الآمن. إذا كان من اللازم تعطيل Secure Boot، يمكنك منع هذا التنبيه لتجنب النتائج الإيجابية الخاطئة.

• تنبيه لوحدة Linux Kernel النمطية غير الموثوق بها: للتشغيل الموثوق به مع تمكين التمهيد الآمن، من الممكن أن يقوم الجهاز الظاهري بالتمهيد حتى إذا فشل برنامج تشغيل kernel في التحقق من الصحة ويحظر تحميله. إذا حدث ذلك، يصدر Microsoft Defender for Cloud تنبيهات منخفضة الخطورة. على الرغم من عدم وجود تهديد فوري، لأنه لم يتم تحميل برنامج التشغيل غير الموثوق به، يجب التحقيق في هذه الأحداث.

  • أي من برامج تشغيل kernel فشل؟ هل أنا على دراية ببرنامج تشغيل الجهاز هذا وأتوقع أن يتم تحميله؟
  • هل هذا هو الإصدار الدقيق من برنامج التشغيل الذي أتوقعه؟ هل ثنائيات برامج تشغيل الجهاز سليمة؟ إذا كان هذا برنامج تشغيل تابع لجهة خارجية، فهل قام المورد باجتياز اختبارات توافق نظام التشغيل للحصول على توقيع؟

الخطوات التالية

قم بتوزيع الجهاز الظاهري للتشغيل موثوق به.