Vertrauenswürdiger Start für Azure-VMs
Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen
Azure bietet den vertrauenswürdigen Start als nahtlose Möglichkeit zur Verbesserung der Sicherheit von VMs der Generation 2 an. Der vertrauenswürdige Start bietet Schutz vor komplexen und permanenten Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen.
Wichtig
- Der vertrauenswürdige Start wird als Standardstatus für neu erstellte Azure-VMs ausgewählt. Wenn für Ihre neue VM Features erforderlich sind, die vom vertrauenswürdigen Start nicht unterstützt werden, lesen Sie die häufig gestellten Fragen zum vertrauenswürdigen Start.
- Auf vorhandenen VMs der Azure Generation 2 kann der vertrauenswürdige Start auch noch nach der Erstellung aktiviert werden. Weitere Informationen finden Sie unter Aktivieren des vertrauenswürdigen Starts auf vorhandenen VMs.
- Sie können den vertrauenswürdigen Start nicht für eine vorhandene VM-Skalierungsgruppe (VMSS) aktivieren, die ursprünglich ohne dieses Feature erstellt wurde. Der vertrauenswürdige Start erfordert die Erstellung neuer VMSS.
Vorteile
- Sichere Bereitstellung von VMs mit überprüften Startladeprogrammen, Betriebssystemkernels und Treibern
- Sicherer Schutz von Schlüsseln, Zertifikaten und Geheimnissen auf den VMs
- Gewinnen von Einblicken und Vertrauen in die Integrität der gesamten Startkette.
- Sicherstellen der Vertrauenswürdigkeit und Überprüfbarkeit von Workloads
Größen virtueller Computer
Hinweis
- Für die Installation der CUDA- und GRID-Treiber für Windows-VMs mit aktiviertem sicherem Start sind keine weiteren Schritte erforderlich.
- Für die Installation des CUDA-Treibers auf Ubuntu-VMs mit aktiviertem sicherem Start sind weitere Schritte erforderlich, die unter Installieren von NVIDIA-GPU-Treibern auf VMs der N-Serie unter Linux beschrieben sind. Der sichere Start sollte für die Installation von CUDA-Treibern auf anderen Linux-VMs deaktiviert werden.
- Für die Installation des GRID-Treibers muss der sichere Start für Linux-VMs deaktiviert werden.
- Nicht unterstützte Größenfamilien unterstützen keine VMs der 2. Generation. Ändern Sie die VM-Größe in entsprechende unterstützte Größenfamilien, um den vertrauenswürdigen Start zu aktivieren.
Unterstützte Betriebssysteme
| OS | Version |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8-LVM, 9.0, 9.1-LVM |
| RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS |
| Windows 10 | Pro, Enterprise, Enterprise (Mehrere Sitzungen) * |
| Windows 11 | Pro, Enterprise, Enterprise (Mehrere Sitzungen) * |
| Windows Server | 2016, 2019, 2022 * |
| Windows Server (Azure-Edition) | 2022 |
* Es werden Variationen dieses Betriebssystems unterstützt.
Zusätzliche Informationen
Regionen:
- Alle öffentlichen Regionen
- Alle Azure Government-Regionen
- Alle Azure China-Regionen
Preise: Der vertrauenswürdige Start erhöht die Kosten für vorhandene VMs nicht.
Nicht unterstützte Funktionen
Hinweis
Die folgenden Features für virtuelle Computer werden derzeit nicht vom vertrauenswürdigen Start unterstützt.
- Azure Site Recovery
- Verwaltetes Image (Kunden wird die Verwendung von Azure Compute Gallery empfohlen.)
- Geschachtelte Virtualisierung (Die meisten v5-VM-Größenfamilien werden unterstützt.)
Sicherer Start
Das Fundament des vertrauenswürdigen Starts bildet der VM-Modus „Sicherer Start“. Der sichere Start ist in der Plattformfirmware implementiert und schützt vor der Installation von schadsoftwarebasierten Rootkits und Bootkits. Der sichere Start bewirkt, dass nur signierte Betriebssysteme und Treiber gestartet werden können. Damit wird ein Vertrauensanker für den Softwarestapel der VM erstellt. Bei aktiviertem sicherem Start müssen alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert sein. Der sichere Start wird unter Windows sowie ausgewählten Linux-Distributionen unterstützt. Wenn beim sicheren Start nicht authentifiziert werden kann, dass das Image von einem vertrauenswürdigen Herausgeber signiert wurde, kann die VM nicht gestartet werden. Weitere Informationen finden Sie unter Sicherer Start.
vTPM
Der vertrauenswürdige Start umfasst auch vTPM für Azure-VMs. Bei vTPM handelt es sich um eine virtualisierte mit der TPM 2.0-Spezifikation konforme Version von TPM-Hardware (Trusted Platform Module). Sie dient als dedizierter sicherer Tresor für Schlüssel und Messungen. Der vertrauenswürdige Start bietet für die VM eine eigene dedizierte TPM-Instanz, die in einer sicheren Umgebung außerhalb der Reichweite von VMs ausgeführt wird. vTPM ermöglicht den Nachweis durch Messung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber).
Beim vertrauenswürdigen Start wird vTPM verwendet, um einen Remotenachweis über die Cloud durchzuführen. Nachweise ermöglichen Plattformintegritätsprüfungen und vertrauensbasierte Entscheidungsprozesse. Als Integritätsprüfung kann beim vertrauenswürdigen Start kryptografisch zertifiziert werden, dass die VM ordnungsgemäß gestartet wurde. Wenn bei diesem Prozess Fehler auftreten, z. B. da eventuell auf der VM eine nicht autorisierte Komponente ausgeführt wird, werden in Microsoft Defender for Cloud Integritätswarnungen ausgegeben. Die Warnungen enthalten Details zu den Komponenten, bei denen die Integritätsprüfungen nicht erfolgreich durchgeführt wurden.
Virtualisierungsbasierte Sicherheit
Für die virtualisierungsbasierte Sicherheit (VBS) wird mit dem Hypervisor ein sicherer und isolierter Speicherbereich erstellt. Unter Windows werden in diesen Bereichen verschiedene Sicherheitslösungen mit erhöhtem Schutz vor Sicherheitsrisiken und schädlichen Exploits ausgeführt. Mit dem vertrauenswürdigen Start können Sie Hypervisor Code Integrity (HVCI) und Windows Defender Credential Guard aktivieren.
HVCI bietet eine leistungsstarke Risikominderung für das System und schützt Windows-Kernelmodusprozesse vor der Einschleusung und Ausführung von schädlichem oder nicht überprüftem Code. Kernelmodustreiber und -binärdateien werden vor der Ausführung überprüft, sodass nicht signierte Dateien nicht in den Speicher geladen werden können. Die Überprüfungen stellen sicher, dass ausführbarer Code nicht mehr geändert werden kann, nachdem die Erlaubnis erteilt wurde, ihn zu laden. Weitere Informationen zu VBS und HVCI finden Sie unter Virtualization Based Security (VBS) and Hypervisor Enforced Code Integrity (HVCI) (Virtualisierungsbasierte Sicherheit (VBS) und Hypervisor Enforced Code Integrity (HVCI)).
Mit dem vertrauenswürdigen Start und VBS können Sie Windows Defender Credential Guard aktivieren. Credential Guard isoliert und schützt Geheimnisse, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Dadurch können der nicht autorisierte Zugriff auf Geheimnisse und Angriffe zum Diebstahl von Anmeldeinformationen, z. B. Pass-the-Hash-Angriffe (PtH-Angriffe), verhindert werden. Weitere Informationen finden Sie unter Credential Guard.
Integration bei Microsoft Defender für Cloud
Der vertrauenswürdige Start ist in Microsoft Defender für Cloud integriert, um sicherzustellen, dass Ihre virtuellen Computer ordnungsgemäß konfiguriert sind. In Microsoft Defender for Cloud werden kompatible VMs kontinuierlich bewertet und relevante Empfehlungen ausgegeben.
- Empfehlung zum Aktivieren des sicheren Starts: Die Empfehlung für den sicheren Start gilt nur für VMs, die den vertrauenswürdigen Start unterstützen. In Microsoft Defender for Cloud werden VMs identifiziert, auf denen der sichere Start aktiviert werden kann, aber deaktiviert ist. Es wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.
- Empfehlung zum Aktivieren von vTPM: Wenn auf Ihrer VM vTPM aktiviert ist, können in Microsoft Defender for Cloud Nachweisvorgänge für Gäste durchgeführt und komplexe Bedrohungsmuster identifiziert werden. Wenn in Microsoft Defender for Cloud VMs identifiziert werden, auf denen der vertrauenswürdige Start unterstützt wird und vTPM deaktiviert ist, wird eine Empfehlung mit niedrigem Schweregrad für die Aktivierung ausgegeben.
- Empfehlung zum Installieren der Gastnachweiserweiterung: Wenn auf Ihrer VM sicherer Start und vTPM aktiviert ist, die Gastnachweiserweiterung aber nicht installiert ist, gibt Microsoft Defender for Cloud eine Empfehlung mit niedrigem Schweregrad für die Installation der Gastnachweiserweiterung aus. Mit dieser Erweiterung kann Microsoft Defender für Cloud die Startintegrität Ihres virtuellen Computers proaktiv bestätigen und überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis.
- Bewertung des Integritätsnachweises oder Startintegritätsüberwachung: Wenn auf Ihrer VM sicheren Start und vTPM aktiviert und eine Nachweiserweiterung installiert ist, kann Microsoft Defender for Cloud remote überprüfen, ob Ihre VM fehlerfrei gestartet wurde. Dies wird als Startintegritätsüberwachung bezeichnet. Microsoft Defender für Cloud gibt eine Bewertung ab, die den Status des Remotenachweises angibt.
Wenn Ihre virtuellen Computer ordnungsgemäß in puncto vertrauenswürdiger Start eingerichtet sind, kann Microsoft Defender für Cloud Integritätsprobleme eines virtuellen Computers erkennen und entsprechende Warnungen ausgeben.
Warnung bei VM-Nachweisfehlern: Microsoft Defender for Cloud führt in regelmäßigen Abständen Nachweise für Ihre VMs durch. Der Nachweis erfolgt auch nach dem Starten der VM. Wenn beim Nachweis ein Fehler auftritt, wird eine Warnung mit mittlerem Schweregrad ausgelöst. Beim VM-Nachweis können aus folgenden Gründen Fehler auftreten:
- Die nachgewiesenen Informationen, einschließlich eines Startprotokolls, weichen von einer vertrauenswürdigen Baseline ab. Jede Abweichung kann darauf hinweisen, dass nicht vertrauenswürdige Module geladen wurden und das Betriebssystem möglicherweise kompromittiert ist.
- Es konnte nicht überprüft werden, ob das Nachweisangebot von der vTPM-Instanz der VM stammt, für die der Nachweis erstellt wurde. Ein nicht überprüfter Ursprung kann darauf hindeuten, dass Schadsoftware vorhanden ist und den Datenverkehr an das vTPM abfangen könnte.
Hinweis
Warnungen sind für VMs mit aktivierter vTPM-Instanz und installierter Nachweiserweiterung verfügbar. Der sichere Start muss aktiviert sein, damit der Nachweisvorgang erfolgreich durchgeführt wird. Beim Nachweis treten Fehler auf, wenn der sichere Start deaktiviert ist. Wenn Sie den sicheren Start deaktivieren möchten, können Sie diese Warnung unterdrücken, um False Positives zu vermeiden.
Warnung bei nicht vertrauenswürdigem Linux-Kernelmodul: Beim vertrauenswürdigen Start mit aktiviertem sicherem Start ist es möglich, dass eine VM gestartet wird, obwohl bei der Überprüfung eines Kerneltreibers Fehler auftreten und das Laden nicht zulässig ist. In diesem Fall gibt Microsoft Defender for Cloud Warnungen mit niedrigem Schweregrad aus. Es liegt zwar keine unmittelbare Bedrohung vor, da der nicht vertrauenswürdige Treiber nicht geladen wurde, dennoch sollten diese Ereignisse untersucht werden.
- Bei welchem Kerneltreiber sind Fehler aufgetreten? Kennen Sie diesen Treiber, und erwarten Sie, dass er geladen wird?
- Handelt es sich um die richtige Version des erwarteten Treibers? Sind die Binärdateien des Treibers intakt? Wenn es sich um einen Treiber eines Drittanbieters handelt: Wurden für den Hersteller beim Signieren des Treibers die Kompatibilitätstests für das Betriebssystem erfolgreich durchgeführt?
Nächste Schritte
Stellen Sie einen virtuellen Computer mit vertrauenswürdigem Start bereit.