Inicialização confiável para máquinas virtuais do Azure
Aplica-se a: ✔️ VMs Linux VMs ✔️ ✔️ do Windows Conjuntos de escala flexíveis Conjuntos ✔️ de balanças uniformes
O Azure oferece inicialização confiável como uma maneira perfeita de melhorar a segurança das VMs de 2ª geração. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes. O lançamento confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas.
Importante
- A Inicialização Confiável é selecionada como o estado padrão para VMs do Azure recém-criadas. Se a sua nova VM exigir recursos que não são suportados pela inicialização confiável, consulte as Perguntas frequentes sobre inicialização confiável
- As VMs existentes da Geração 2 do Azure podem ter a inicialização confiável habilitada após serem criadas. Para obter mais informações, consulte Habilitar inicialização confiável em VMs existentes
- Não é possível habilitar a inicialização confiável em um VMSS (conjunto de escala de máquina virtual) existente que foi criado inicialmente sem ele. A inicialização confiável requer a criação de um novo VMSS.
Benefícios
- Implante máquinas virtuais com segurança com carregadores de inicialização, kernels de sistema operacional e drivers verificados.
- Proteja com segurança chaves, certificados e segredos nas máquinas virtuais.
- Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
- Certifique-se de que as cargas de trabalho são confiáveis e verificáveis.
Tamanhos de máquinas virtuais
| Type | Famílias de tamanhos suportados | Famílias de tamanho atualmente não suportadas | Famílias de tamanho não suportadas |
|---|---|---|---|
| Fins Gerais | Série B, série DCsv2, série DCsv3, série DCdsv3, série Dv4, série Dsv4, série Dsv3, série Dsv2, série Dav4, série Dasv4, série Ddv4, série Ddsv4, série Dv5, série Dsv5, série Ddv5, série Ddsv5, série Dasv5, série Dadsv5, série Dlsv5, Série Dldsv5 | Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series | Série Av2, série Dv2, série Dv3 |
| Com otimização de computação | Série FX, série Fsv2 | Todos os tamanhos suportados. | |
| Com otimização de memória | Dsv2-series, Esv3-series, Ev4-series, Esv4-series, Edv4-series, Edsv4-series, Eav4-series, Easv4-series, Easv5-series, Eadsv5-series, Ebsv5-series, Ebdsv5-series, Edv5-series, Edsv5-series | Epsv5-series, Epdsv5-series, M-series, Msv2-series, Mdsv2 Medium Memory series, Mv2-series | Série Ev3 |
| Com otimização de armazenamento | Lsv2-series, Lsv3-series, Lasv3-series | Todos os tamanhos suportados. | |
| GPU | Série NCv2, série NCv3, série NCasT4_v3, série NVv3, série NVv4, série NDv2, série NC_A100_v4, série NVadsA10 série v5 | NDasrA100_v4-série, NDm_A100_v4-série | Série NC, série NV, série NP |
| Computação de alto desempenho | Série HB, série HBv2, série HBv3, série HBv4, série HC, série HX | Todos os tamanhos suportados. |
Nota
- A instalação dos drivers CUDA & GRID em VMs do Windows habilitadas para Inicialização Segura não requer nenhuma etapa extra.
- A instalação do driver CUDA em VMs Ubuntu habilitadas para Inicialização Segura requer etapas extras documentadas em Instalar drivers de GPU NVIDIA em VMs da série N executando Linux. A Inicialização Segura deve ser desativada para instalar drivers CUDA em outras VMs Linux.
- A instalação do driver GRID requer inicialização segura para ser desabilitada para VMs Linux.
- As famílias de tamanho não suportadas não suportam VMs de 2ª geração. Altere o Tamanho da VM para famílias de tamanho suportadas equivalentes para habilitar o Lançamento Confiável.
Sistemas operacionais suportados
| SO | Versão |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8,3, 8,4, 8,5, 8,6, 8,7, 8,8 MVE, 9,0, 9,1 LVM |
| Red Hat Enterprise Linux | 8,4, 8,5, 8,6, 8,7, 8,8, 9,0, 9,1 MVE, 9,2 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18,04 LTS, 20,04 LTS, 22,04 LTS, 23,04, 23,10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022 * |
| Windows Server (Azure Edition) | 2022 |
* Variações deste sistema operacional são suportadas.
Informações adicionais
Regiões:
- Todas as regiões públicas
- Todas as regiões do Azure Government
- Todas as regiões do Azure China
Preços: a inicialização confiável não aumenta os custos de preços de VM existentes.
Funcionalidades não suportadas
Nota
Os seguintes recursos de máquina virtual não são suportados atualmente com o Trusted Launch.
- Azure Site Recovery
- Imagem gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure)
- Virtualização aninhada (a maioria das famílias de tamanho de VM v5 suportadas)
Arranque seguro
Na raiz da inicialização confiável está a Inicialização Segura para sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam inicializar. Ele estabelece uma "raiz de confiança" para a pilha de software em sua VM. Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) exigem assinatura de editores confiáveis. Tanto o Windows quanto as distribuições Linux selecionadas suportam a Inicialização Segura. Se a Inicialização Segura não conseguir autenticar que a imagem está assinada por um editor confiável, a VM falhará na inicialização. Para obter mais informações, consulte Arranque Seguro.
vTPM
O lançamento confiável também apresenta o vTPM para VMs do Azure. vTPM é uma versão virtualizada de um hardware Trusted Platform Module, compatível com a especificação TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medições. A inicialização confiável fornece à sua VM sua própria instância TPM dedicada, executada em um ambiente seguro fora do alcance de qualquer VM. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, OS, sistema e drivers).
A inicialização confiável usa o vTPM para executar o atestado remoto através da nuvem. Os atestados permitem verificações de integridade da plataforma e para a tomada de decisões baseadas em confiança. Como uma verificação de integridade, a inicialização confiável pode certificar criptograficamente que sua VM inicializou corretamente. Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender for Cloud emitirá alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança baseada em virtualização
A segurança baseada em virtualização (VBS) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações maliciosas. A inicialização confiável permite habilitar a Integridade do Código do Hipervisor (HVCI) e o Windows Defender Credential Guard.
O HVCI é uma poderosa mitigação do sistema que protege os processos do modo kernel do Windows contra injeção e execução de código malicioso ou não verificado. Ele verifica os drivers e binários do modo kernel antes de serem executados, impedindo que arquivos não assinados sejam carregados na memória. As verificações garantem que o código executável não possa ser modificado depois de ser carregado. Para obter mais informações sobre VBS e HVCI, consulte Segurança baseada em virtualização (VBS) e Integridade de código imposta pelo hipervisor (HVCI).
Com inicialização confiável e VBS, você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas software de sistema privilegiado possa acessá-los. Ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques Pass-the-Hash (PtH). Para obter mais informações, consulte Credential Guard.
Integração com o Microsoft Defender for Cloud
A inicialização confiável é integrada ao Microsoft Defender for Cloud para garantir que suas VMs estejam configuradas corretamente. O Microsoft Defender for Cloud avalia continuamente VMs compatíveis e emite recomendações relevantes.
- Recomendação para habilitar a Inicialização Segura - A recomendação de Inicialização Segura só se aplica a VMs que oferecem suporte à inicialização confiável. O Microsoft Defender for Cloud identifica VMs que podem habilitar a Inicialização Segura, mas tê-la desabilitada. Ele emite uma recomendação de baixa gravidade para habilitá-lo.
- Recomendação para habilitar o vTPM - Se sua VM tiver o vTPM habilitado, o Microsoft Defender for Cloud poderá usá-lo para executar o Atestado de Convidado e identificar padrões avançados de ameaça. Se o Microsoft Defender for Cloud identificar VMs que oferecem suporte à inicialização confiável e têm o vTPM desabilitado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.
- Recomendação para instalar a extensão de atestado de convidado - Se sua VM tiver inicialização segura e vTPM habilitada, mas não tiver a extensão de atestado de convidado instalada, o Microsoft Defender for Cloud emitirá recomendações de baixa gravidade para instalar a extensão de atestado de convidado nela. Essa extensão permite que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade de inicialização de suas VMs. A integridade da inicialização é atestada por meio de atestado remoto.
- Avaliação da integridade do atestado ou monitoramento da integridade da inicialização - Se sua VM tiver a Inicialização Segura e o vTPM habilitados e a extensão de atestado instalada, o Microsoft Defender for Cloud poderá validar remotamente que sua VM foi inicializada de forma íntegra. Isso é conhecido como monitoramento da integridade da inicialização. O Microsoft Defender for Cloud emite uma avaliação, indicando o status do atestado remoto.
Se suas VMs estiverem configuradas corretamente com inicialização confiável, o Microsoft Defender for Cloud poderá detetar e alertá-lo sobre problemas de integridade da VM.
Alerta para falha de atestado de VM: o Microsoft Defender for Cloud executa periodicamente o atestado em suas VMs. O atestado também acontece após a inicialização da VM. Se o atestado falhar, ele dispara um alerta de gravidade média. O atestado de VM pode falhar pelos seguintes motivos:
- As informações atestadas, que incluem um log de inicialização, desviam-se de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.
- Não foi possível verificar se a citação do atestado provém do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar intercetando o tráfego para o vTPM.
Nota
Os alertas estão disponíveis para VMs com vTPM habilitado e a extensão Attestation instalada. A Inicialização Segura deve estar habilitada para que o atestado seja aprovado. O atestado falhará se a Inicialização Segura estiver desabilitada. Se tiver de desativar o Arranque Seguro, pode suprimir este alerta para evitar falsos positivos.
Alerta para o módulo do kernel Linux não confiável: Para inicialização confiável com inicialização segura habilitada, é possível que uma VM inicialize mesmo que um driver do kernel falhe na validação e seja proibido de carregar. Se isso acontecer, o Microsoft Defender for Cloud emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados.
- Qual driver do kernel falhou? Estou familiarizado com este driver e espero que ele seja carregado?
- Esta é a versão exata do driver que estou esperando? Os binários do driver estão intactos? Se este for um driver de terceiros, o fornecedor passou nos testes de conformidade do sistema operacional para assiná-lo?
Próximos passos
Implante uma VM de inicialização confiável.