トラステッド起動を有効にして VM をデプロイする

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット

トラステッド起動は、第 2 世代の VM のセキュリティを向上させる手段です。 トラステッド起動を使用すると、vTPM やセキュア ブートのようなインフラストラクチャ テクノロジを組み合わせることによって、高度で永続的な攻撃手法から保護されます。

必須コンポーネント

  • まだ Microsoft Defender for Cloud にサブスクリプションがオンボードされていない場合は、サブスクリプションを Microsoft Defender for Cloud にオンボードする必要があります。 Microsoft Defender for Cloud には Free レベルがあります。各種の Azure リソースやハイブリッド リソースについてのきわめて有益な分析情報が得られます。 トラステッド起動は Defender for Cloud を活用して、VM の正常性に関するさまざまな推奨事項を表示します。

  • Azure Policy のイニシアティブをサブスクリプションに割り当てます。 ポリシーのイニシアティブは、サブスクリプションごとに 1 回だけ割り当てる必要があります。 これによって必要な全拡張機能が、サポート対象のすべての VM に自動的にインストールされます。

    • トラステッド起動が有効な VM でゲスト構成証明を有効にするための前提条件を構成します。

    • 仮想マシンに Azure Monitor と Azure Security エージェントを自動的にインストールするようにマシンを構成します。

  • NSG アウトバウンド規則でサービス タグ AzureAttestation を許可して、Microsoft Azure Attestation のトラフィックを許可します。 「仮想ネットワーク サービス タグ」を参照してください。

  • ファイアウォール ポリシーで *.attest.azure.net へのアクセスが許可されていることを確認します。

Note

Linux イメージを使用していて、VM のカーネル ドライバーが署名されていない、または Linux ディストリビューション ベンダーによって署名されていないと思われる場合は、セキュア ブートをオフにすることを検討してください。 Azure portal では、[セキュリティの種類] パラメーターに [トラステッド起動の仮想マシン] が選択された [仮想マシンの作成] ページで、[セキュリティ機能の構成] をクリックし、[セキュア ブートを有効にする] チェックボックスをオフにします。 CLI、PowerShell、または SDK では、セキュア ブート パラメーターを false に設定します。

トラステッド起動の VM をデプロイする

トラステッド起動を有効にして仮想マシンを作成します。 以下のオプションを選択してください。

  1. Azure Portal にサインインします。
  2. 仮想マシン」を検索します。
  3. [サービス] で、 [仮想マシン] を選択します。
  4. [仮想マシン] ページで、 [追加] を選択してから、 [仮想マシン] を選択します。
  5. [プロジェクトの詳細] で、正しいサブスクリプションが選択されていることを確認します。
  6. [リソース グループ][新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
  7. [インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動がサポートされているリージョンを選択します。
  8. [セキュリティの種類][トラステッド起動の仮想マシン] を選択します。 これにより、さらに [セキュア ブート][vTPM][整合性の監視] の 3 つのオプションが表示されるようになります。 自分のデプロイに合った適切なオプションを選択します。 トラステッド起動が有効なセキュリティ機能の詳細を確認します。 Screenshot showing the options for Trusted Launch.
  9. [イメージ][[トラステッド起動] と互換性のある、推奨される Gen 2 イメージ] からイメージを選択します。 一覧については、トラステッド起動に関する記事を参照してください。

    ヒント

    ドロップダウンに目的の Gen 2 バージョンのイメージが表示されない場合は、 [すべてのイメージを表示] を選択し、 [セキュリティの種類] フィルターを [トラステッド起動] に変更します。

  10. トラステッド起動がサポートされている VM サイズを選択します。 サポートされているサイズの一覧を参照してください。
  11. [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
  12. ページの下部にある [確認および作成] を選択します
  13. [仮想マシンの作成] ページで、デプロイしようとしている VM の詳細を確認できます。 検証結果が合格と表示されたら、 [作成] を選択します。

Sceenshot of the validation page, showing the trusted launch options are included.

VM がデプロイされるまでに数分かかります。

Azure トラステッド起動仮想マシンは、Azure Compute Gallery を使用したカスタム イメージの作成と共有をサポートしています。 イメージのセキュリティの種類に基づいて、2 種類のイメージを作成できます。

トラステッド起動 VM でサポートされるイメージ

次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunchsupported に設定する必要があります。

  • Gen2 OS ディスク VHD
  • Gen2 マネージド イメージ
  • Gen2 ギャラリー イメージ バージョン

VM ゲストの状態情報はイメージ ソースに含まれません。

結果のイメージ バージョンを使って、Azure Gen2 VM またはトラステッド起動 VM を作成できます。

これらのイメージは、Azure Compute Gallery – 直接共有ギャラリーAzure Compute Gallery - コミュニティ ギャラリーを使って共有できます。

注意

OS ディスク VHD、マネージド イメージ、またはギャラリー イメージ バージョンは、トラステッド起動 VM と互換性のある Gen2 イメージから作成する必要があります。

  1. Azure portal にサインインします。
  2. 検索バーで "VM イメージ バージョン" を検索して選びます
  3. [VM イメージ バージョン] ページで、[作成] を選びます。
  4. [VM イメージ バージョンの作成] ページの [基本] タブで、次のようにします。
    1. Azure サブスクリプションを選択します。
    2. 既存のリソース グループを選択するか、新しいリソース グループを作成します。
    3. Azure リージョンを選択します。
    4. イメージのバージョン番号を入力します。
    5. [ソース] で、[ストレージ BLOB (VHD)] または [マネージド イメージ]、または別の [VM イメージ バージョン] を選びます
    6. [Storage Blobs (VHD)] (ストレージ BLOB (VHD)) を選んだ場合は、OS ディスク VHD (VM ゲスト状態なし) を入力します。 Gen 2 VHD を使っていることを確認します。
    7. [マネージド イメージ] を選んだ場合は、Gen 2 VM の既存のマネージド イメージを選びます。
    8. [VM イメージ バージョン] を選択した場合は、既存の Gen2 VM ギャラリー イメージ バージョンを選びます。
    9. [ターゲット Azure コンピュート ギャラリー] で、イメージを共有するギャラリーを選ぶか作成します。
    10. [オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。 ソースとしてマネージド イメージを使っている場合は、常に [一般化] を選びます。 ストレージ BLOB (VHD) を使っていて、[一般化] を選びたい場合は、続ける前に、手順に従って Linux VHD を一般化するか、、Windows VHD を一般化します。 既存の VM イメージ バージョンを使用している場合は、ソース VM イメージ定義で使用されている内容に基づいて [一般化] または [特殊化] を選択します。
    11. [ターゲット VM イメージ定義] で、[新規作成] を選びます。
    12. [VM イメージ定義の作成] ペインで、定義の名前を入力します。 [セキュリティの種類] が [トラステッド起動がサポートされています] に設定されていることを確認します。 発行元、オファー、SKU の情報を入力します。 次に、[OK] を選びます。
  5. 必要に応じて、[レプリケーション] タブで、イメージ レプリケーションのレプリカ数とターゲット リージョンを入力します。
  6. [暗号化] タブで、必要に応じて SSE 暗号化関連の情報を入力します。
  7. [確認および作成] を選択します。
  8. 構成を確認して問題がなければ、[作成] を選んでイメージの作成を完了します。
  9. イメージ バージョンが作成されたら、[VM の作成] を選びます。
  10. [仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
  11. [インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動がサポートされているリージョンを選択します。
  12. [セキュリティの種類] で [トラステッド起動の仮想マシン] を選びます。 [セキュア ブート][vTPM] のチェックボックスは、既定で有効になっています。
  13. [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
  14. 検証ページで、VM の詳細を確認します。
  15. 検証で問題がなければ、[作成] を選んで VM の作成を完了します。

トラステッド起動 VM イメージ

次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunch に設定する必要があります。

  • トラステッド起動 VM キャプチャ
  • マネージド OS ディスク
  • マネージド OS ディスク スナップショット

結果のイメージ バージョンは、Azure トラステッド起動 VM の作成にのみ使用できます。

  1. Azure Portal にサインインします。
  2. VM から Azure Compute Gallery イメージを作成するには、既存のトラステッド起動 VM を開き、[キャプチャ] を選択します。
  3. それに続く [イメージの作成] ページでは、イメージをギャラリーに対して、VM イメージの 1 つのバージョンとして共有することを許可します。 マネージド イメージの作成は、トラステッド起動 VM ではサポートされていません。
  4. 新しいターゲットの Azure Compute Gallery を作成するか、既存のギャラリーを選択します。
  5. [オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、このオプションを選択する前に、VM を一般化してマシン固有の情報を削除するようにしてください。 トラステッド起動 Windows VM で Bitlocker ベースの暗号化が有効になっている場合、同じものを一般化できない可能性があります。
  6. 名前、発行元、オファー、SKU の詳細を指定して、新しいイメージ定義を作成します。 イメージ定義の [セキュリティの種類] は、既に [トラステッド起動] に設定されている必要があります。
  7. イメージのバージョンについて、バージョン番号を指定します。
  8. 必要に応じてレプリケーション オプションを変更します。
  9. [イメージの作成] ページの下部で、[確認と作成] を選択し、検証に合格したと表示されたら、[作成] を選択します。
  10. イメージのバージョンが作成されたら、そのイメージのバージョンに直接移動します。 または、イメージ定義から、必要なイメージのバージョンに移動できます。
  11. [VM イメージのバージョン] ページで [+ VM の作成] を選択し、[仮想マシンの作成] ページを開きます。
  12. [仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
  13. [インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動がサポートされているリージョンを選択します。
  14. イメージとセキュリティの種類は、選択したイメージのバージョンに基づいて既に設定されています。 [セキュア ブート][vTPM] のチェックボックスは、既定で有効になっています。
  15. [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
  16. ページの下部にある [確認および作成] を選択します
  17. 検証ページで、VM の詳細を確認します。
  18. 検証で問題がなければ、[作成] を選んで VM の作成を完了します。

(トラステッド起動 VM の代わりに) イメージ バージョンのソースとしてマネージド ディスクまたはマネージド ディスク スナップショットを使用する場合は、次の手順を使用します。

  1. ポータルにサインインします。
  2. [VM イメージ バージョン] を検索して [作成] を選択します。
  3. サブスクリプション、リソース グループ、リージョン、イメージ バージョン番号を指定します。
  4. ソースは [ディスクやスナップショット] を選択します。
  5. ドロップダウン リストから OS ディスクをマネージド ディスクまたはマネージド ディスク スナップショットとして選択します。
  6. イメージを作成および共有するための [ターゲット Azure Compute Gallery] を選択します。 ギャラリーが存在しない場合は、新しいギャラリーを作成します。
  7. [オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、ディスクまたはスナップショットを一般化してマシン固有の情報を削除するようにしてください。
  8. [ターゲット VM イメージ定義] で、[新規作成] を選択します。 表示されたウィンドウで、イメージ定義の名前を選択し、[セキュリティの種類][トラステッド起動] に設定されていることを確認します。 パブリッシャー、オファー、SKU の情報を指定して [OK] を選択します。
  9. 必要に応じて、[レプリケーション] タブを使用して、イメージ レプリケーションのレプリカ数とターゲット リージョンを設定できます。
  10. 必要に応じて、[暗号化] タブを使用して SSE 暗号化に関連する情報を提供することもできます。
  11. [確認と作成] タブで [作成] を選択してイメージを作成します。
  12. イメージ バージョンが正常に作成されたら、[+ VM の作成] を選択し、[仮想マシンの作成] ページを開きます。
  13. 前述の手順 12 から 18 に従い、このイメージ バージョンを使用してトラステッド起動 VM を作成します。

設定を確認または更新する

トラステッド起動を有効にして作成された VM の場合は、Azure portal で VM の [概要] ページに移動することにより、トラステッド起動の構成を表示できます。 [プロパティ] タブには、トラステッド起動機能のステータスが表示されます。

Screenshot of the Trusted Launch properties of the VM.

トラステッド起動の構成を変更するには、左側のメニューの [設定] セクションで [構成] を選択します。 セキュア ブート、vTPM、整合性の監視は、[セキュリティの種類] セクションで有効または無効にすることができます。 終わったら、ページの上部にある [保存] を選択します。

Screenshot showing check boxes to change the Trusted Launch settings.

VM が実行中である場合、VM が再起動されるというメッセージが表示されます。 [はい] を選択した後、VM が再起動されて変更が有効になるまで待ちます。

次のステップ

トラステッド起動ブート整合性の監視 の VM の詳細を確認します。