Mengaktifkan peluncuran Tepercaya pada Azure VM yang sudah ada

Berlaku untuk: ✔️ VM Linux VM ✔️ Windows VM ✔️ Generasi 2 VM

Azure Virtual Machines mendukung pengaktifan Peluncuran tepercaya pada VM Azure Generasi 2 yang ada dengan meningkatkan ke jenis keamanan peluncuran Tepercaya.

Peluncuran tepercaya adalah cara untuk mengaktifkan keamanan komputasi dasar pada VM Azure Generasi 2. Peluncuran tepercaya melindungi Komputer Virtual Anda dari teknik serangan canggih dan persisten seperti kit boot dan rootkit dengan menggabungkan teknologi infrastruktur seperti Boot Aman, vTPM, dan Pemantauan Integritas Boot pada VM Anda.

Penting

• Jika diaktifkan untuk VM Generasi 2, Enkripsi sisi server dengan kunci yang dikelola pelanggan (SSE-CMK) harus dinonaktifkan sebelum menjalankan peningkatan peluncuran Tepercaya. Enkripsi SSE-CMK harus diaktifkan kembali setelah menyelesaikan peningkatan peluncuran Tepercaya.
• Dukungan untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 1 yang ada saat ini dalam pratinjau privat. Anda dapat memperoleh akses ke pratinjau menggunakan tautan https://aka.ms/Gen1ToTLUpgradependaftaran .
• Mengaktifkan Peluncuran tepercaya pada Seragam set skala komputer virtual (VMSS) Azure yang ada & Flex saat ini tidak didukung.

Prasyarat

• Azure Generation 2 VM dikonfigurasi dengan:
  • Keluarga ukuran yang didukung peluncuran tepercaya
  • Gambar OS yang didukung peluncuran tepercaya. Untuk citra atau disk OS kustom, gambar dasar harus mampu diluncurkan Tepercaya.
• Azure Generation 2 VM tidak menggunakan fitur yang saat ini tidak didukung dengan Peluncuran tepercaya.
• VM Azure Generasi 2 harus dihentikan dan dibatalkan alokasinya sebelum mengaktifkan Jenis keamanan peluncuran tepercaya.
• Azure Backup jika diaktifkan untuk VM harus dikonfigurasi dengan Kebijakan Pencadangan yang Ditingkatkan. Jenis keamanan peluncuran tepercaya tidak dapat diaktifkan untuk VM Generasi 2 yang dikonfigurasi dengan perlindungan pencadangan Kebijakan Standar.
  • Pencadangan Azure VM yang ada dapat dimigrasikan dari kebijakan Standar ke Ditingkatkan menggunakan fitur migrasi pratinjau privat. Kirim permintaan on-boarding untuk pratinjau menggunakan tautan https://aka.ms/formBackupPolicyMigration.

Praktik terbaik

• Aktifkan Peluncuran tepercaya pada VM Generasi 2 pengujian dan pastikan apakah ada perubahan yang diperlukan untuk memenuhi prasyarat sebelum mengaktifkan peluncuran Tepercaya pada VM Generasi 2 yang terkait dengan beban kerja produksi.
• Buat titik pemulihan untuk VM Azure Generasi 2 yang terkait dengan beban kerja produksi sebelum mengaktifkan Jenis keamanan peluncuran tepercaya. Anda dapat menggunakan Titik Pemulihan untuk membuat ulang disk dan VM Generasi 2 dengan status terkenal sebelumnya.

Aktifkan Peluncuran tepercaya pada VM yang ada

Catatan

• Setelah mengaktifkan Peluncuran tepercaya, saat ini komputer virtual tidak dapat digulung balik ke jenis keamanan Standar (konfigurasi peluncuran Non-Tepercaya).
• vTPM diaktifkan secara default.
• Boot Aman disarankan untuk diaktifkan (tidak diaktifkan secara default) jika Anda tidak menggunakan kernel atau driver kustom yang tidak ditandatangani. Boot Aman mempertahankan integritas boot dan memungkinkan keamanan dasar untuk VM.

Portal

Bagian ini menjelaskan cara menggunakan portal Azure untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang ada.

1. Masuk ke portal Microsoft Azure
2. Memvalidasi pembuatan komputer virtual adalah V2 dan Hentikan VM.

3. Pada halaman Gambaran Umum di Properti VM, Pilih Standar di bawah Jenis keamanan. Ini menavigasi ke halaman Konfigurasi untuk VM.

4. Pilih drop-down Jenis keamanan di bagian Jenis keamanan halaman Konfigurasi .

5. Pilih Peluncuran tepercaya di bawah drop-down dan pilih kotak centang untuk mengaktifkan Boot Aman dan vTPM. Klik Simpan setelah membuat perubahan yang diperlukan.

Catatan

• VM Generasi 2 yang dibuat menggunakan Azure Compute Gallery (ACG), Citra Terkelola, Disk OS tidak dapat ditingkatkan ke Peluncuran tepercaya menggunakan Portal. Pastikan Versi OS didukung untuk Peluncuran tepercaya dan gunakan templat PowerShell, CLI, atau ARM untuk menjalankan peningkatan.

6. Tutup halaman Konfigurasi setelah pembaruan berhasil diselesaikan dan validasi Jenis keamanan di bawah properti VM di halaman Gambaran Umum .

7. Mulai VM peluncuran Tepercaya yang ditingkatkan dan pastikan bahwa VM telah berhasil dimulai dan verifikasi bahwa Anda dapat masuk ke VM menggunakan RDP (untuk Windows VM) atau SSH (untuk Linux VM).

CLI

Bagian ini menjelaskan cara menggunakan Azure CLI untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang ada.

Pastikan Anda telah menginstal Azure CLI terbaru dan masuk ke akun Azure dengan az login.

1. Masuk ke Langganan Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Batalkan alokasi VM

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Aktifkan Peluncuran tepercaya dengan mengatur --security-type ke TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Memvalidasi output perintah sebelumnya. securityProfile konfigurasi dikembalikan dengan output perintah.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Mulai VM.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Mulai VM peluncuran Tepercaya yang ditingkatkan dan pastikan bahwa VM telah berhasil dimulai dan verifikasi bahwa Anda dapat masuk ke VM menggunakan RDP (untuk Windows VM) atau SSH (untuk Linux VM).

PowerShell

Bagian ini menjelaskan cara menggunakan Azure PowerShell untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang sudah ada.

Pastikan Anda telah menginstal Azure PowerShell terbaru dan masuk ke akun Azure dengan Koneksi-AzAccount.

1. Masuk ke Langganan Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Batalkan alokasi VM

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Aktifkan Peluncuran tepercaya dengan mengatur --security-type ke TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ValidasisecurityProfile dalam konfigurasi VM yang diperbarui.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Mulai VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Mulai VM peluncuran Tepercaya yang ditingkatkan dan pastikan bahwa VM telah berhasil dimulai dan verifikasi bahwa Anda dapat masuk ke VM menggunakan RDP (untuk Windows VM) atau SSH (untuk Linux VM).

Templat

Bagian ini menjelaskan cara menggunakan templat ARM untuk mengaktifkan Peluncuran tepercaya pada VM Azure Generasi 2 yang sudah ada.

Templat Azure Resource Manager adalah file JavaScript Object Notation (JSON) yang menentukan infrastruktur dan konfigurasi untuk proyek Anda. Template tersebut menggunakan sintaksis deklaratif. Anda menjelaskan penyebaran yang Dimaksudkan tanpa menulis urutan perintah pemrograman untuk membuat penyebaran.

1. Meninjau templat.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Edit parameter file json dengan komputer virtual yang akan diperbarui dengan TrustedLaunch jenis keamanan.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definisi file parameter

Properti	Deskripsi Properti	Contoh nilai templat
vmName	Nama VM Azure Generasi 2	"myVm"
lokasi	Lokasi VM Azure Generasi 2	"westus3"
secureBootEnabled	Mengaktifkan boot aman dengan jenis keamanan peluncuran tepercaya	benar

3. Batalkan alokasi semua VM Azure Generasi 2 yang akan diperbarui.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Jalankan penyebaran templat ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Verifikasi bahwa penyebaran berhasil. Periksa jenis keamanan dan pengaturan UEFI VM menggunakan portal Azure. Periksa bagian Jenis keamanan di halaman Gambaran Umum.

6. Mulai VM peluncuran Tepercaya yang ditingkatkan dan pastikan bahwa VM telah berhasil dimulai dan verifikasi bahwa Anda dapat masuk ke VM menggunakan RDP (untuk Windows VM) atau SSH (untuk Linux VM).

Langkah berikutnya

(Disarankan) Pasca-Peningkatan memungkinkan pemantauan integritas Boot untuk memantau kesehatan VM menggunakan Microsoft Defender untuk Cloud.

Pelajari selengkapnya tentang Peluncuran tepercaya dan tinjau tanya jawab umum