Gambaran umum pemantauan integritas boot

Artikel
04/25/2024

Untuk membantu Peluncuran Tepercaya lebih baik mencegah serangan rootkit berbahaya pada komputer virtual, pengesahan tamu melalui titik akhir Microsoft Azure Attestation (MAA) digunakan untuk memantau integritas urutan boot. Pengesahan ini sangat penting untuk memberikan validitas status platform. Jika Azure Trusted Virtual Machines Anda telah mengaktifkan Boot Aman dan vTPM dan ekstensi pengesahan yang diinstal, Microsoft Defender untuk Cloud memverifikasi bahwa status dan integritas boot VM Anda disiapkan dengan benar. Untuk mempelajari selengkapnya tentang integrasi MDC, lihat integrasi peluncuran tepercaya dengan Microsoft Defender untuk Cloud.

Penting

Peningkatan Ekstensi Otomatis sekarang tersedia untuk Pemantauan Integritas Boot - ekstensi Pengesahan Tamu. Pelajari selengkapnya tentang Peningkatan ekstensi otomatis.

Prasyarat

Langganan Azure Aktif + Mesin Virtual Peluncuran Tepercaya

Mengaktifkan pemantauan integritas

Masuk ke portal Azure.
Pilih sumber daya (Virtual Machines).
Di bawah Pengaturan, pilih konfigurasi. Di panel jenis keamanan, pilih pemantauan integritas.
Simpan perubahan.

Sekarang, di bawah halaman gambaran umum komputer virtual, jenis keamanan untuk pemantauan integritas harus dinyatakan diaktifkan.

Ini menginstal ekstensi pengesahan tamu, yang dapat dirujuk melalui pengaturan dalam tab ekstensi + aplikasi.

Anda dapat menyebarkan ekstensi pengesahan tamu untuk VM peluncuran tepercaya menggunakan templat mulai cepat:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

Buat komputer virtual dengan Peluncuran Tepercaya yang memiliki kemampuan Boot + vTPM Aman melalui penyebaran awal komputer virtual peluncuran tepercaya. Untuk menyebarkan penggunaan ekstensi pengesahan tamu (--enable_integrity_monitoring). Konfigurasi komputer virtual dapat disesuaikan oleh pemilik komputer virtual (az vm create).
Untuk VM yang ada, Anda dapat mengaktifkan pengaturan pemantauan integritas boot dengan memperbarui untuk memastikan mengaktifkan pemantauan integritas diaktifkan (--enable_integrity_monitoring).

Catatan

Ekstensi Pengesahan Tamu perlu dikonfigurasi secara eksplisit.

Panduan pemecahan masalah untuk penginstalan ekstensi pengesahan tamu

Gejala

Ekstensi Microsoft Azure Attestation tidak akan berfungsi dengan benar saat pelanggan menyiapkan grup keamanan jaringan atau proksi. Kesalahan yang terlihat mirip dengan (Penyediaan Microsoft.Azure.Security.WindowsAttestation.GuestAttestation gagal.)

Solusi

Di Azure, Network Security Groups (NSG) digunakan untuk membantu memfilter lalu lintas jaringan antar sumber daya Azure. NSG berisi aturan keamanan yang mengizinkan atau menolak lalu lintas jaringan masuk, atau lalu lintas jaringan keluar dari beberapa jenis sumber daya Azure. Untuk titik akhir Microsoft Azure Attestation, titik akhir harus dapat berkomunikasi dengan ekstensi pengesahan tamu. Tanpa titik akhir ini, Peluncuran Tepercaya tidak dapat mengakses pengesahan tamu, yang memungkinkan Microsoft Defender untuk Cloud memantau integritas urutan boot komputer virtual Anda.

Membuka blokir lalu lintas Microsoft Azure Attestation di Grup Keamanan Jaringan menggunakan tag layanan.

Navigasikan ke komputer virtual yang ingin Anda izinkan lalu lintas keluar.
Di bagian "Jaringan" di bilah sisi kiri, pilih tab pengaturan jaringan.
Lalu pilih buat aturan port, dan Tambahkan aturan port keluar.
Untuk mengizinkan Microsoft Azure Attestation, jadikan tujuan sebagai tag layanan. Ini memungkinkan rentang alamat IP untuk memperbarui dan secara otomatis mengatur aturan izin untuk Microsoft Azure Attestation. Tag layanan tujuan adalah AzureAttestation dan tindakan diatur ke Izinkan.

Firewall melindungi jaringan virtual, yang berisi beberapa komputer virtual Peluncuran Tepercaya. Untuk membuka blokir lalu lintas Microsoft Azure Attestation di Firewall menggunakan kumpulan aturan aplikasi.

Navigasi ke Azure Firewall, yang memiliki lalu lintas yang diblokir dari sumber daya komputer virtual Peluncuran Tepercaya.
Di bawah pengaturan, pilih Aturan (klasik) untuk mulai membuka blokir pengesahan tamu di belakang Firewall.
Pilih kumpulan aturan jaringan dan tambahkan aturan jaringan.
Pengguna dapat mengonfigurasi nama, prioritas, jenis sumber, port tujuan berdasarkan kebutuhan mereka. Nama tag layanan adalah sebagai berikut: AzureAttestation, dan tindakan perlu diatur sebagai izinkan.

Untuk membuka blokir lalu lintas Microsoft Azure Attestation di Firewall menggunakan kumpulan aturan aplikasi.

Navigasi ke Azure Firewall, yang memiliki lalu lintas yang diblokir dari sumber daya komputer virtual Peluncuran Tepercaya. Kumpulan aturan harus berisi setidaknya satu aturan, navigasikan ke FQDN Target (nama domain yang sepenuhnya memenuhi syarat).
Pilih kumpulan Aturan Aplikasi dan tambahkan aturan aplikasi.
Pilih nama, prioritas numerik untuk aturan aplikasi Anda. Tindakan untuk kumpulan aturan diatur ke ALLOW. Untuk mempelajari selengkapnya tentang pemrosesan dan nilai aplikasi, baca di sini.
Nama, sumber, protokol, semuanya dapat dikonfigurasi oleh pengguna. Jenis sumber untuk alamat IP tunggal, pilih grup IP untuk mengizinkan beberapa alamat IP melalui firewall.

Penyedia Bersama Regional

Azure Attestation menyediakan penyedia bersama regional di setiap wilayah yang tersedia. Pelanggan dapat memilih untuk menggunakan penyedia bersama regional untuk pengesahan atau membuat penyedia mereka sendiri dengan kebijakan kustom. Penyedia bersama dapat diakses oleh pengguna Microsoft Azure ACTIVE Directory mana pun, dan kebijakan yang terkait dengannya tidak dapat diubah.

Catatan

Pengguna dapat mengonfigurasi jenis sumber, layanan, rentang port tujuan, protokol, prioritas, dan nama mereka.

Langkah berikutnya

Pelajari selengkapnya tentang peluncuran tepercaya dan menyebarkan komputer virtual tepercaya.