تمكين التشغيل الموثوق به على أجهزة Azure الظاهرية الموجودة

ينطبق على: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM

تدعم أجهزة Azure الظاهرية تمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة من الجيل 2 من Azure عن طريق الترقية إلى نوع أمان التشغيل الموثوق به.

التشغيل الموثوق به هو طريقة لتمكين أمان الحوسبة الأساسية على أجهزة Azure الظاهرية من الجيل 2. يحمي الإطلاق الموثوق به الأجهزة الظاهرية من تقنيات الهجوم المتقدمة والمستمرة مثل مجموعات التمهيد و rootkits من خلال الجمع بين تقنيات البنية الأساسية مثل التمهيد الآمن وvTPM ومراقبة تكامل التمهيد على الجهاز الظاهري الخاص بك.

هام

• يوجد حاليا دعم لتمكين التشغيل الموثوق به على الأجهزة الظاهرية الموجودة من الجيل 1 من Azure في المعاينة الخاصة. يمكنك الوصول إلى المعاينة باستخدام ارتباط https://aka.ms/Gen1ToTLUpgradeالتسجيل .
• تمكين التشغيل الموثوق به على مجموعات مقياس الجهاز الظاهري Azure (VMSS) الموحدة وفليكس غير مدعومة حاليا.

المتطلبات الأساسية

• تم تكوين Azure Generation 2 VM (الأجهزة الظاهرية) باستخدام:
  • عائلة الحجم المدعومة التي تم إطلاقها الموثوق بها
  • صورة نظام التشغيل المدعومة بشاشة التشغيل الموثوق بها. بالنسبة لصورة نظام التشغيل المخصصة أو الأقراص، يجب أن تكون الصورة الأساسية موثوقا بها قادرة على التشغيل.
• لا يستخدم Azure Generation 2 VM (الأجهزة الظاهرية) ميزات غير مدعومة حاليا مع التشغيل الموثوق به.
• يجب إيقاف Azure Generation 2 VM وإلغاء تخصيصه قبل تمكين نوع أمان التشغيل الموثوق به.
• يجب تكوين Azure Backup إذا تم تمكينه ل VM (الأجهزة الظاهرية) باستخدام نهج النسخ الاحتياطي المحسن. لا يمكن تمكين نوع أمان التشغيل الموثوق به لجهاز (أجهزة) ظاهرية من الجيل 2 تم تكوينه باستخدام حماية النسخ الاحتياطي للنهج القياسي.
  • يمكن ترحيل النسخ الاحتياطي الحالي لجهاز Azure الظاهري من النهج القياسي إلى النهج المحسن باستخدام ترحيل النسخ الاحتياطية لجهاز Azure الظاهري من النهج القياسي إلى النهج المحسن (معاينة).

أفضل الممارسات

• قم بتمكين التشغيل الموثوق به على جهاز ظاهري من الجيل الثاني للاختبار وتأكد مما إذا كانت هناك حاجة إلى أي تغييرات لتلبية المتطلبات الأساسية قبل تمكين التشغيل الموثوق به على الأجهزة الظاهرية من الجيل 2 المرتبطة بأحمال عمل الإنتاج.
• إنشاء نقطة استعادة ل Azure Generation 2 VM (الأجهزة الظاهرية) المقترنة بأحمال عمل الإنتاج قبل تمكين نوع أمان التشغيل الموثوق به. يمكنك استخدام نقطة الاستعادة لإعادة إنشاء الأقراص والجيل 2 VM مع الحالة المعروفة السابقة.

تمكين التشغيل الموثوق به على الجهاز الظاهري الموجود

إشعار

• بعد تمكين التشغيل الموثوق به، لا يمكن التراجع عن الأجهزة الظاهرية حاليا إلى نوع الأمان قياسي (تكوين تشغيل غير موثوق به).
• يتم تمكين vTPM بشكل افتراضي.
• يوصى بتمكين التمهيد الآمن (غير ممكن بشكل افتراضي) إذا كنت لا تستخدم نواة أو برامج تشغيل مخصصة غير موقعة. يحافظ التمهيد الآمن على تكامل التمهيد ويمكن الأمان الأساسي للجهاز الظاهري.

المدخل

يخطو هذا القسم من خلال استخدام مدخل Microsoft Azure لتمكين التشغيل الموثوق به على جهاز Azure الظاهري الحالي من الجيل 2.

1. تسجيل الدخول إلى مدخل Microsoft Azure.
2. التحقق من صحة إنشاء الجهاز الظاهري هو V2 وإيقاف الجهاز الظاهري.

3. في صفحة Overview في VM Properties، حدد Standard ضمن Security type. ينتقل هذا إلى صفحة التكوين للجهاز الظاهري.

4. حدد نوع الأمان المنسدلة ضمن قسم نوع الأمان في صفحة التكوين.

5. حدد Trusted launch ضمن القائمة المنسدلة وحدد خانات الاختيار لتمكين Secure Boot وvTPM. انقر فوق حفظ بعد إجراء التغييرات المطلوبة.

إشعار

• الأجهزة الظاهرية من الجيل 2 التي تم إنشاؤها باستخدام معرض الحوسبة Azure (ACG) والصورة المدارة وقرص نظام التشغيل لا يمكن ترقيتها إلى التشغيل الموثوق به باستخدام المدخل. يرجى التأكد من دعم إصدار نظام التشغيل للتشغيل الموثوق به واستخدام قالب PowerShell أو CLI أو ARM لتنفيذ الترقية.

6. أغلق صفحة التكوين بمجرد اكتمال التحديث بنجاح والتحقق من صحة نوع الأمان ضمن خصائص الجهاز الظاهري في صفحة نظرة عامة.

7. ابدأ تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته وتأكد من أنه قد بدأ بنجاح وتحقق من قدرتك على تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (ل Windows VM) أو SSH (ل Linux VM).

المبادره القطريه

يخطو هذا القسم من خلال استخدام Azure CLI لتمكين التشغيل الموثوق به على جهاز Azure الظاهري الحالي من الجيل 2.

تأكد من تثبيت أحدث Azure CLI وتسجيل الدخول إلى حساب Azure باستخدام تسجيل الدخول من a إلى z.

1. تسجيل الدخول إلى اشتراك Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. إلغاء تخصيص الجهاز الظاهري

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. تمكين التشغيل الموثوق به عن طريق تعيين --security-type إلى TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. التحقق من صحة إخراج الأمر السابق. securityProfile يتم إرجاع التكوين مع إخراج الأمر.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. بدء تشغيل الجهاز الظاهري.

az vm start \
    --resource-group myResourceGroup --name myVm

6. ابدأ تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته وتأكد من أنه قد بدأ بنجاح وتحقق من قدرتك على تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (ل Windows VM) أو SSH (ل Linux VM).

بوويرشيل

يخطو هذا القسم من خلال استخدام Azure PowerShell لتمكين التشغيل الموثوق به على جهاز Azure الظاهري الحالي من الجيل 2.

تأكد من تثبيت أحدث Azure PowerShell وتسجيل الدخول إلى حساب Azure باستخدام الاتصال-AzAccount.

1. تسجيل الدخول إلى اشتراك Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. إلغاء تخصيص الجهاز الظاهري

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. تمكين التشغيل الموثوق به عن طريق تعيين --security-type إلى TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. securityProfile التحقق من الصحة في تكوين الجهاز الظاهري المحدث.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. بدء تشغيل الجهاز الظاهري.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. ابدأ تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته وتأكد من أنه قد بدأ بنجاح وتحقق من قدرتك على تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (ل Windows VM) أو SSH (ل Linux VM).

القالب

يخطو هذا القسم من خلال استخدام قالب ARM لتمكين التشغيل الموثوق به على جهاز Azure الظاهري الحالي من الجيل 2.

قالب Azure Resource Manager هو ملف JavaScript Object Notation (JSON) الذي يحدد البنية الأساسية والتكوين لمشروعك. يستخدم القالب عبارات توضيحية. يمكنك وصف النشر المقصود دون كتابة تسلسل أوامر البرمجة لإنشاء النشر.

1. راجع القالب.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. قم بتحرير ملف المعلمات json مع الأجهزة الظاهرية ليتم تحديثها TrustedLaunch بنوع الأمان.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

تعريف ملف المعلمة

الخاصية	وصف الخاصية	مثال على قيمة القالب
vmName	اسم Azure Generation 2 VM	"myVm"
موقع	موقع Azure Generation 2 VM	"westus3"
SecureBootEnabled	تمكين التمهيد الآمن باستخدام نوع أمان التشغيل الموثوق به	صحيح

3. إلغاء تخصيص جميع الأجهزة الظاهرية من الجيل 2 من Azure ليتم تحديثها.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. تنفيذ نشر قالب ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. تحقق من نجاح التوزيع. تحقق من نوع الأمان وإعدادات UEFI للجهاز الظاهري باستخدام مدخل Microsoft Azure. تحقق من قسم Security type في صفحة Overview.

6. ابدأ تشغيل الجهاز الظاهري الموثوق به الذي تمت ترقيته وتأكد من أنه قد بدأ بنجاح وتحقق من قدرتك على تسجيل الدخول إلى الجهاز الظاهري باستخدام إما RDP (ل Windows VM) أو SSH (ل Linux VM).

الخطوات التالية

(مستحسن) تمكن عمليات ما بعد الترقية مراقبة تكامل التمهيد لمراقبة صحة الجهاز الظاهري باستخدام Microsoft Defender for Cloud.

تعرف على المزيد حول التشغيل الموثوق به ومراجعة الأسئلة المتداولة