Peluncuran tepercaya untuk mesin virtual Azure
Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam
Azure menawarkan peluncuran tepercaya sebagai cara mulus untuk meningkatkan keamanan VM generasi 2. Peluncuran tepercaya melindungi dari teknik serangan canggih dan terus-menerus. Peluncuran tepercaya terdiri dari beberapa teknologi infrastruktur terkoordinasi yang dapat diaktifkan secara independen. Setiap teknologi menyediakan lapisan pertahanan lain terhadap ancaman canggih.
Penting
- Peluncuran Tepercaya dipilih sebagai status default untuk Azure VM yang baru dibuat. Jika VM baru Anda memerlukan fitur yang tidak didukung oleh peluncuran tepercaya, lihat Tanya Jawab Umum Peluncuran Tepercaya
- VM Azure Generasi 2 yang ada dapat mengaktifkan peluncuran tepercaya setelah dibuat. Untuk informasi selengkapnya, lihat Mengaktifkan Peluncuran Tepercaya pada VM yang ada
- Anda tidak dapat mengaktifkan peluncuran tepercaya pada set skala komputer virtual (VMSS) yang ada yang awalnya dibuat tanpanya. Peluncuran tepercaya memerlukan pembuatan VMSS baru.
Keuntungan
- Terapkan komputer virtual dengan aman dengan pemuat boot terverifikasi, kernel OS, dan driver.
- Lindungi kunci, sertifikat, dan rahasia dengan aman di komputer virtual.
- Dapatkan wawasan dan kepercayaan diri dari seluruh integritas rantai boot.
- Pastikan beban kerja tepercaya dan dapat diverifikasi.
Ukuran Virtual Machines
| Jenis | Keluarga ukuran yang didukung | Keluarga ukuran yang saat ini tidak didukung | Keluarga ukuran yang tidak didukung |
|---|---|---|---|
| Tujuan Umum | Seri B, seri DCsv2, seri DCsv3, seri DCdsv3, Seri Dv4, seri Dsv4, seri Dsv3, seri Dsv2, seri Dav4, seri Dasv4, seri Ddv4, seri Ddsv4, seri Dv5, seri Dv5, seri Dsv5, seri Ddv5, seri Ddsv5, seri Dasv5, seri Dasv5, seri Dadsv5, seri Dlsv5, Seri Dldsv5 | Seri Dpsv5, seri Dpdsv5, seri Dplsv5, seri Dpldsv5 | Seri Av2, seri Dv2, seri Dv3 |
| Dioptimalkan untuk komputasi | Seri FX, seri Fsv2 | Semua ukuran didukung. | |
| Memori Dioptimalkan | Seri Dsv2, seri Esv3, seri Ev4, seri Esv4, seri Edv4, seri Edsv4, seri Eav4, seri Easv4, seri Easv5, seri Eadsv5, seri Ebsv5,seri Ebdsv5,seri Edv5, seri Edsv5 | Seri Epsv5, seri Epdsv5, seri M, seri Msv2, seri Memori Sedang Mdsv2, seri Mv2 | Seri Ev3 |
| Penyimpanan dioptimalkan | Seri Lsv2, seri Lsv3, seri Lasv3 | Semua ukuran didukung. | |
| GPU | Seri NCv2, seri NCv3, seri NCasT4_v3, seri NVv3, seri NVv4, seri NDv2, seri NC_A100_v4, seri NVadsA10 v5 | seri NDasrA100_v4, seri NDm_A100_v4 | Seri NC, seri NV, seri NP |
| Komputasi Performa Tinggi | Seri HB, seri HBv2, seri HBv3, seri HBv4, seri HC, seri HX | Semua ukuran didukung. |
Catatan
- Penginstalan driver CUDA & GRID pada VM Windows berkemampuan Boot Aman tidak memerlukan langkah tambahan apa pun.
- Penginstalan driver CUDA pada VM Ubuntu berkemampuan Boot Aman memerlukan langkah tambahan yang didokumentasikan di Menginstal driver GPU NVIDIA pada VM seri N yang menjalankan Linux. Boot Aman harus dinonaktifkan untuk menginstal Driver CUDA di VM Linux lainnya.
- Penginstalan driver GRID memerlukan boot aman untuk dinonaktifkan untuk VM Linux.
- Keluarga ukuran yang tidak didukung tidak mendukung VM generasi 2 . Ubah Ukuran VM ke keluarga Ukuran yang didukung yang setara untuk mengaktifkan Peluncuran Tepercaya.
Sistem operasi didukung
| OS | Versi |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 9.0, 9.1 LVM, 9.2 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022 * |
| Server Jendela (Edisi Azure) | 2022 |
* Variasi sistem operasi ini didukung.
Informasi tambahan
Wilayah:
- Semua wilayah di publik
- Semua wilayah Azure Government
- Semua wilayah Azure Tiongkok
Harga: Peluncuran tepercaya tidak meningkatkan biaya harga VM yang ada.
Fitur yang tidak didukung
Catatan
Fitur Komputer Virtual berikut saat ini tidak didukung dengan Peluncuran Tepercaya.
- Azure Site Recovery
- Gambar Terkelola (Pelanggan didorong untuk menggunakan Azure Compute Gallery)
- Virtualisasi Berlapis (sebagian besar keluarga ukuran VM v5 didukung)
Boot aman
Di akar peluncuran tepercaya adalah Boot Aman untuk VM Anda. Boot Aman, yang diimplementasikan dalam firmware platform, melindungi dari penginstalan rootkit berbasis malware dan kit boot. Boot Aman berfungsi untuk memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang dapat melakukan booting. Ini menetapkan "akar kepercayaan" untuk tumpukan perangkat lunak pada VM Anda. Dengan Boot Aman diaktifkan, semua komponen boot OS (boot loader, kernel, driver kernel) memerlukan penandatanganan penerbit tepercaya. Windows dan distribusi Linux tertentu mendukung Boot Aman. Jika Boot Aman gagal mengautentikasi bahwa gambar ditandatangani oleh penerbit tepercaya, VM gagal di-boot. Untuk informasi selengkapnya, lihat Boot Aman.
vTPM
Peluncuran tepercaya juga memperkenalkan vTPM untuk Azure VMs. vTPM adalah versi virtual dari Modul Platform Tepercaya perangkat keras, sesuai dengan spesifikasi TPM2.0. Ini berfungsi sebagai brankas aman khusus untuk kunci dan pengukuran. Peluncuran tepercaya memberi VM Anda instans TPM khusus sendiri, yang berjalan di lingkungan yang aman di luar jangkauan VM mana pun. vTPM memungkinkan pengesahan dengan mengukur seluruh rantai boot VM Anda (UEFI, OS, sistem, dan driver).
Peluncuran tepercaya menggunakan vTPM untuk melakukan pengesahan jarak jauh melalui cloud. Pengesahan memungkinkan pemeriksaan kesehatan platform dan untuk membuat keputusan berbasis kepercayaan. Saat pemeriksaan kesehatan, peluncuran tepercaya dapat secara kriptografi menyatakan bahwa VM Anda di-boot dengan benar. Jika proses gagal, mungkin karena VM Anda menjalankan komponen yang tidak sah, Microsoft Defender untuk Cloud mengeluarkan pemberitahuan integritas. Pemberitahuan tersebut menyertakan detail tempat komponen gagal melewati pemeriksaan integritas.
Keamanan berbasis virtualisasi
Keamanan berbasis virtualisasi (VBS) menggunakan hypervisor untuk menciptakan wilayah memori yang aman dan terisolasi. Windows menggunakan wilayah ini untuk menjalankan berbagai solusi keamanan dengan peningkatan perlindungan dari kerentanan dan eksploitasi berbahaya. Peluncuran tepercaya memungkinkan Anda mengaktifkan Hypervisor Code Integrity (HVCI) dan Windows Defender Credential Guard.
HVCI adalah mitigasi sistem canggih yang melindungi proses mode kernel Windows dari injeksi dan eksekusi kode berbahaya atau belum diverifikasi. Ini memeriksa biner dan driver mode kernel sebelum berjalan, agar file yang tidak ditandatangani tidak dimuat ke memori. Pemeriksaan memastikan kode yang dapat dieksekusi tidak dapat dimodifikasi setelah diizinkan untuk memuat. Untuk informasi selengkapnya tentang VBS dan HVCI, lihat Virtualization Based Security (VBS) dan Hypervisor Enforced Code Integrity (HVCI).
Dengan peluncuran tepercaya dan VBS, Anda dapat mengaktifkan Windows Defender Credential Guard. Credential Guard mengisolasi dan melindungi rahasia sehingga hanya perangkat lunak sistem istimewa yang dapat mengaksesnya. Fitur ini membantu mencegah akses tidak sah ke rahasia dan serangan pencurian informasi masuk, seperti serangan Pass-the-Hash (PtH). Untuk informasi selengkapnya, lihat Penjaga Informasi Masuk.
Integrasi Pertahanan Microsoft untuk Cloud
Peluncuran tepercaya terintegrasi dengan Pertahanan Microsoft untuk Cloud untuk memastikan mesin virtual Anda dikonfigurasikan dengan benar. Microsoft Defender untuk Cloud terus menilai VM yang kompatibel dan mengeluarkan rekomendasi yang relevan.
- Rekomendasi untuk mengaktifkan Rekomendasi Boot Aman - Boot Aman hanya berlaku untuk VM yang mendukung peluncuran tepercaya. Microsoft Defender untuk Cloud mengidentifikasi VM yang dapat mengaktifkan Boot Aman, tetapi menonaktifkannya. Ini mengeluarkan rekomendasi tingkat keparahan rendah untuk mengaktifkannya.
- Rekomendasi untuk mengaktifkan vTPM - Jika VM Anda mengaktifkan vTPM, Microsoft Defender untuk Cloud dapat menggunakannya untuk melakukan Pengesahan Tamu dan mengidentifikasi pola ancaman tingkat lanjut. Jika Microsoft Defender untuk Cloud mengidentifikasi VM yang mendukung peluncuran tepercaya dan menonaktifkan vTPM, VM tersebut mengeluarkan rekomendasi tingkat keparahan rendah untuk mengaktifkannya.
- Rekomendasi untuk menginstal ekstensi pengesahan tamu - Jika VM Anda mengaktifkan boot aman dan vTPM tetapi tidak menginstal ekstensi pengesahan tamu, Microsoft Defender untuk Cloud mengeluarkan rekomendasi tingkat keparahan rendah untuk menginstal ekstensi pengesahan tamu di atasnya. Ekstensi ini memungkinkan Pertahanan Microsoft untuk Cloud untuk secara proaktif mengesahkan dan memantau integritas boot mesin virtual Anda. Integritas boot disahkan melalui pengesahan jarak jauh.
- Penilaian kesehatan pengesahan atau Pemantauan Integritas Boot - Jika VM Anda mengaktifkan Boot Aman dan vTPM dan ekstensi pengesahan yang diinstal, Microsoft Defender untuk Cloud dapat memvalidasi bahwa VM Anda di-boot dari jarak jauh dengan cara yang sehat. Ini dikenal sebagai pemantauan integritas boot. Pertahanan Microsoft untuk Cloud mengeluarkan penilaian, yang menunjukkan status pengesahan jarak jauh.
Jika mesin virtual Anda disiapkan dengan tepat dengan peluncuran tepercaya, Pertahanan Microsoft untuk Cloud dapat mendeteksi dan memperingatkan Anda mengenai masalah kesehatan mesin virtual.
Pemberitahuan untuk kegagalan pengesahan VM: Microsoft Defender untuk Cloud secara berkala melakukan pengesahan pada VM Anda. Pengesahan juga terjadi setelah boot VM Anda. Jika pengesahan gagal, pengesahan akan memicu pemberitahuan tingkat keparahan sedang. Pengesahan VM bisa gagal karena alasan berikut:
- Informasi yang dibuktikan, yang mencakup log boot, menyimpang dari garis besar tepercaya. Penyimpangan apa pun dapat menunjukkan bahwa modul yang tidak tepercaya telah dimuat, dan OS dapat disusupi.
- Kutipan pengesahan tidak dapat diverifikasi untuk berasal dari vTPM VM yang dibuktikan. Asal yang belum diverifikasi dapat menunjukkan bahwa malware ada dan dapat mencegat lalu lintas ke vTPM.
Catatan
Pemberitahuan tersedia untuk VM dengan vTPM diaktifkan dan ekstensi Pengesahan diinstal. Boot Aman harus diaktifkan agar pengesahan berhasil. Pengesahan gagal jika Boot Aman dinonaktifkan. Jika Anda harus menonaktifkan Boot Aman, Anda dapat menyembunyikan pemberitahuan ini untuk menghindari positif palsu.
Pemberitahuan untuk modul Kernel Linux Yang Tidak Tepercaya: Untuk peluncuran tepercaya dengan boot aman diaktifkan, VM dapat di-boot meskipun driver kernel gagal validasi dan dilarang memuat. Jika ini terjadi, Microsoft Defender untuk Cloud mengeluarkan pemberitahuan tingkat keparahan rendah. Meskipun tidak ada ancaman langsung, karena driver yang tidak tepercaya belum dimuat, peristiwa ini harus diselidiki.
- Driver kernel mana yang gagal? Apakah saya terbiasa dengan driver ini dan berharap driver dimuat?
- Apakah ini versi yang tepat dari driver yang saya harapkan? Apakah biner driver lengkap? Jika ini adalah driver pihak ketiga, apakah vendor lulus tes kepatuhan OS untuk menandatanganinya?
Langkah berikutnya
Menyebarkan Mesin Virtual peluncuran tepercaya.