Habilitar a inicialização confiável em VMs do Azure existentes

Aplica-se a: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM

As Máquinas Virtuais do Azure dão suporte à habilitação da inicialização confiável em VMs existentes da Geração 2 do Azure atualizando para o tipo de segurança de inicialização confiável.

A inicialização confiável é uma maneira de habilitar a segurança de computação fundamental em VMs da Geração 2 do Azure. A inicialização confiável protege suas máquinas virtuais contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits, combinando tecnologias de infraestrutura como Inicialização Segura, vTPM e Monitoramento de Integridade de Inicialização em sua VM.

Importante

• Se habilitada para VM de Geração 2, a criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE-CMK) deve ser desabilitada antes de executar a atualização de inicialização confiável. A criptografia SSE-CMK deve ser reativada após a conclusão da atualização de inicialização confiável.
• O suporte para habilitar a inicialização confiável em VMs existentes da Geração 1 do Azure está atualmente em visualização privada. Você pode obter acesso à visualização usando o link https://aka.ms/Gen1ToTLUpgradede registro .
• Atualmente, não há suporte para a habilitação da inicialização confiável em conjuntos de escala de máquina virtual (VMSS) Uniform ou Flex existentes no Azure.

Pré-requisitos

• As VMs da Geração 2 do Azure são configuradas com:
  • Família de tamanhos suportados para lançamento confiável
  • Imagem de SO suportada pelo lançamento fidedigno. Para imagens ou discos personalizados do sistema operacional, a imagem base deve ser capaz de inicialização confiável.
• As VMs da Geração 2 do Azure não estão usando recursos atualmente sem suporte com o Trusted launch.
• As VMs da Geração 2 do Azure devem ser interrompidas e desalocadas antes de habilitar o tipo de segurança de inicialização confiável.
• O Backup do Azure, se habilitado para VM(s), deve ser configurado com a Política de Backup Avançado. O tipo de segurança de inicialização confiável não pode ser habilitado para VMs de Geração 2 configuradas com proteção de backup de Diretiva Padrão.
  • O backup de VM do Azure existente pode ser migrado da política Standard para a Enhanced usando o recurso de migração de visualização privada. Envie a solicitação de integração para visualização usando o link https://aka.ms/formBackupPolicyMigration.

Melhores práticas

• Habilite a inicialização confiável em uma VM de 2ª geração de teste e verifique se são necessárias alterações para atender aos pré-requisitos antes de habilitar a inicialização confiável em VMs de 2ª geração associadas a cargas de trabalho de produção.
• Crie um ponto de restauração para a(s) VM(s) da Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança de inicialização confiável. Você pode usar o Ponto de Restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.

Habilitar inicialização confiável em VM existente

Nota

• Depois de habilitar a inicialização confiável, atualmente as máquinas virtuais não podem ser revertidas para o tipo de segurança Standard (configuração de inicialização não confiável).
• O vTPM está habilitado por padrão.
• Recomenda-se que a Inicialização Segura seja ativada (não habilitada por padrão) se você não estiver usando drivers ou kernel não assinados personalizados. A Inicialização Segura preserva a integridade da inicialização e permite a segurança fundamental para VM.

Portal

Esta seção explica como usar o portal do Azure para habilitar a inicialização confiável na VM existente da Geração 2 do Azure.

1. Iniciar sessão no portal do Azure
2. Validar a geração de máquina virtual é V2 e Parar VM.

3. Na página Visão geral em Propriedades da VM, selecione Padrão em Tipo de segurança. Isso navega até a página Configuração da VM.

4. Selecione a lista suspensa Tipo de segurança na seção Tipo de segurança da página Configuração .

5. Selecione Início confiável na lista suspensa e marque as caixas de seleção para habilitar a Inicialização Segura e o vTPM. Clique em Salvar depois de fazer as alterações necessárias.

Nota

• As VMs de Geração 2 criadas usando a Galeria de Computação do Azure (ACG), Imagem Gerenciada, Disco do SO não podem ser atualizadas para Inicialização confiável usando o Portal. Certifique-se de que a versão do SO é suportada para inicialização confiável e use o modelo PowerShell, CLI ou ARM para executar a atualização.

6. Feche a página Configuração assim que a atualização for concluída com êxito e valide o tipo de segurança em Propriedades da VM na página Visão geral.

7. Inicie a VM de inicialização confiável atualizada e verifique se ela foi iniciada com êxito e verifique se você pode fazer login na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

CLI

Esta seção descreve como usar a CLI do Azure para habilitar a inicialização confiável na VM existente da Geração 2 do Azure.

Certifique-se de que instalou a CLI do Azure mais recente e que iniciou sessão numa conta do Azure com az login.

1. Iniciar sessão na Subscrição do Azure

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. Desalocar VM

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. Habilite a inicialização confiável definindo --security-type como TrustedLaunch.

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. Valide a saída do comando anterior. securityProfile A configuração é retornada com a saída do comando.

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. Inicie a VM.

az vm start \
    --resource-group myResourceGroup --name myVm

6. Inicie a VM de inicialização confiável atualizada e verifique se ela foi iniciada com êxito e verifique se você pode fazer login na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

PowerShell

Esta seção explica como usar o Azure PowerShell para habilitar a inicialização confiável na VM existente da Geração 2 do Azure.

Certifique-se de que instalou o Azure PowerShell mais recente e que iniciou sessão numa conta do Azure com Connect-AzAccount.

1. Iniciar sessão na Subscrição do Azure

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. Desalocar VM

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. Habilite a inicialização confiável definindo --security-type como TrustedLaunch.

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. ValidesecurityProfile na configuração atualizada da VM.

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. Inicie a VM.

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. Inicie a VM de inicialização confiável atualizada e verifique se ela foi iniciada com êxito e verifique se você pode fazer login na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

Modelo

Esta seção descreve o uso de um modelo ARM para habilitar a inicialização confiável na VM existente da Geração 2 do Azure.

Um modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo utiliza sintaxe declarativa. Você descreve a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.

1. Analise o modelo.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. Edite os parâmetros do arquivo json com máquinas virtuais a serem atualizados com TrustedLaunch o tipo de segurança.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

Definição do arquivo de parâmetro

Property	Descrição do Imóvel	Valor de modelo de exemplo
vmName	Nome da VM da Geração 2 do Azure	"minhaVm"
localização	Localização da VM da Geração 2 do Azure	"Westus3"
secureBootEnabled	Habilite a inicialização segura com o tipo de segurança de inicialização confiável	verdadeiro

3. Desaloque todas as VMs da Geração 2 do Azure a serem atualizadas.

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. Execute a implantação do modelo ARM.

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. Verifique se a implantação foi bem-sucedida. Verifique o tipo de segurança e as configurações de UEFI da VM usando o portal do Azure. Verifique a seção Tipo de segurança na página Visão geral.

6. Inicie a VM de inicialização confiável atualizada e verifique se ela foi iniciada com êxito e verifique se você pode fazer login na VM usando RDP (para VM Windows) ou SSH (para VM Linux).

Próximos passos

(Recomendado) As pós-atualizações permitem o monitoramento da integridade da inicialização para monitorar a integridade da VM usando o Microsoft Defender for Cloud.

Saiba mais sobre o lançamento confiável e analise as perguntas frequentes