既存の Azure VM でトラステッド起動を有効にする
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ 第 2 世代 VM
Azure Virtual Machines では、トラステッド起動のセキュリティの種類にアップグレードすることで、既存の Azure 第 2 世代 VM でトラステッド起動を有効にできます。
トラステッド起動は、Azure 第 2 世代 VM で基本的なコンピューティング セキュリティを有効にする方法です。 トラステッド起動では、VM 上のセキュア ブート、vTPM、ブートの整合性の監視などのインフラストラクチャ テクノロジを組み合わせることで、ブート キットやルートキットなどの高度で永続的な攻撃手法から Virtual Machines を保護します。
重要
- 第 2 世代 VM で有効になっている場合は、トラステッド起動アップグレードを実行する前に、カスタマー マネージド キーを使用したサーバー側暗号化 (SSE-CMK) を無効にする必要があります。 トラステッド起動アップグレードが完了したら、SSE-CMK 暗号化を再度有効にする必要があります。
- 既存の Azure 第 1 世代 VM でのトラステッド起動の有効化のサポートは現在、プライベート プレビュー段階です。 プレビューにアクセスするには、登録リンク https://aka.ms/Gen1ToTLUpgrade を使用します。
- 既存の Azure Virtual Machine Scale Sets (VMSS) の Uniform と Flex でのトラステッド起動の有効化は現在サポートされていません。
前提条件
- Azure 第 2 世代 VM は次で構成されます。
- トラステッド起動でサポートされるサイズ ファミリ
- トラステッド起動でサポートされる OS イメージ。 カスタム OS イメージまたはディスクの場合、基本イメージはトラステッド起動対応である必要があります。
- Azure 第 2 世代 VM では、トラステッド起動で現在サポートされていない機能は使用されていません。
- トラステッド起動のセキュリティの種類を有効にする前に、Azure 第 2 世代 VM を停止して割り当てを解除する必要があります。
- Azure Backup は、VM に対して有効になっている場合、拡張バックアップ ポリシーを使用して構成する必要があります。 "Standard ポリシー" バックアップ保護を使って構成されている第 2 世代 VM に対しては、トラステッド起動のセキュリティの種類を有効にできません。
- 既存の Azure VM バックアップは、プライベート プレビュー移行機能を使用して、標準から拡張ポリシーに移行できます。 リンク https://aka.ms/formBackupPolicyMigration を使用してプレビューへのオンボーディング要求を送信します。
ベスト プラクティス
- 第 2 世代のテスト VM でトラステッド起動を有効にし、運用環境のワークロードに関連付けられている第 2 世代 VM でトラステッド起動を有効にする前に、前提条件を満たすために変更が必要かどうかを確認します。
- トラステッド起動のセキュリティの種類を有効にする前に、運用環境のワークロードに関連付けられている Azure 第 2 世代 VM に対して復元ポイントを作成します。 復元ポイントを使用して、ディスクと第 2 世代 VM を以前の既知の状態で再作成できます。
既存の VM でトラステッド起動を有効にする
Note
- トラステッド起動を有効にすると、現在、仮想マシンを Standard (非トラステッド起動構成) のセキュリティの種類にロールバックすることはできません。
- vTPM は既定で有効になっています。
- カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュア ブートを有効にすることをお勧めします (既定では有効になっていません)。 セキュア ブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。
このセクションでは、Azure portal を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。
- Azure portal にログインします
- 仮想マシンの世代が V2 であることを確認し、VM を [停止] します。
- VM の [プロパティ] の [概要] ページで、[セキュリティの種類] から [Standard] を選びます。 これにより、VM の [構成] ページに移動します。
- [構成] ページの [セキュリティの種類] セクションでドロップダウン [セキュリティの種類] を選びます。
- ドロップダウンで [トラステッド起動] を選び、チェックボックスで [セキュア ブート] と [vTPM] を有効にします。 必要な変更を行ったら [保存] をクリックします。
Note
- Azure Compute Gallery (ACG)、マネージド イメージ、OS ディスクを使って作成された第 2 世代 VM は、Portal ではトラステッド起動にアップグレードできません。 OS バージョンがトラステッド起動でサポートされていることを確認し、PowerShell、CLI、または ARM テンプレートを使ってアップグレードを実行してください。
- 更新が正常に完了したら [構成] ページを閉じ、[概要] ページの VM のプロパティで [セキュリティの種類] を確認します。
- アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。
次のステップ
(推奨) アップグレード後に、ブートの整合性の監視を有効にして、Microsoft Defender for Cloud を使って VM の正常性を監視できます。