Habilitar a inicialização confiável em VMs do Azure existentes
Aplica-se a: ✔️ Linux VM ✔️ Windows VM ✔️ Generation 2 VM
As Máquinas Virtuais do Azure dão suporte à habilitação da inicialização confiável em VMs existentes da Geração 2 do Azure atualizando para o tipo de segurança de inicialização confiável.
A inicialização confiável é uma maneira de habilitar a segurança de computação fundamental em VMs da Geração 2 do Azure. A inicialização confiável protege suas máquinas virtuais contra técnicas de ataque avançadas e persistentes, como kits de inicialização e rootkits, combinando tecnologias de infraestrutura como Inicialização Segura, vTPM e Monitoramento de Integridade de Inicialização em sua VM.
Importante
- Se habilitada para VM de Geração 2, a criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE-CMK) deve ser desabilitada antes de executar a atualização de inicialização confiável. A criptografia SSE-CMK deve ser reativada após a conclusão da atualização de inicialização confiável.
- O suporte para habilitar a inicialização confiável em VMs existentes da Geração 1 do Azure está atualmente em visualização privada. Você pode obter acesso à visualização usando o link https://aka.ms/Gen1ToTLUpgradede registro .
- Atualmente, não há suporte para a habilitação da inicialização confiável em conjuntos de escala de máquina virtual (VMSS) Uniform ou Flex existentes no Azure.
Pré-requisitos
- As VMs da Geração 2 do Azure são configuradas com:
- Família de tamanhos suportados para lançamento confiável
- Imagem de SO suportada pelo lançamento fidedigno. Para imagens ou discos personalizados do sistema operacional, a imagem base deve ser capaz de inicialização confiável.
- As VMs da Geração 2 do Azure não estão usando recursos atualmente sem suporte com o Trusted launch.
- As VMs da Geração 2 do Azure devem ser interrompidas e desalocadas antes de habilitar o tipo de segurança de inicialização confiável.
- O Backup do Azure, se habilitado para VM(s), deve ser configurado com a Política de Backup Avançado. O tipo de segurança de inicialização confiável não pode ser habilitado para VMs de Geração 2 configuradas com proteção de backup de Diretiva Padrão.
- O backup de VM do Azure existente pode ser migrado da política Standard para a Enhanced usando o recurso de migração de visualização privada. Envie a solicitação de integração para visualização usando o link https://aka.ms/formBackupPolicyMigration.
Melhores práticas
- Habilite a inicialização confiável em uma VM de 2ª geração de teste e verifique se são necessárias alterações para atender aos pré-requisitos antes de habilitar a inicialização confiável em VMs de 2ª geração associadas a cargas de trabalho de produção.
- Crie um ponto de restauração para a(s) VM(s) da Geração 2 do Azure associadas a cargas de trabalho de produção antes de habilitar o tipo de segurança de inicialização confiável. Você pode usar o Ponto de Restauração para recriar os discos e a VM de Geração 2 com o estado conhecido anterior.
Habilitar inicialização confiável em VM existente
Nota
- Depois de habilitar a inicialização confiável, atualmente as máquinas virtuais não podem ser revertidas para o tipo de segurança Standard (configuração de inicialização não confiável).
- O vTPM está habilitado por padrão.
- Recomenda-se que a Inicialização Segura seja ativada (não habilitada por padrão) se você não estiver usando drivers ou kernel não assinados personalizados. A Inicialização Segura preserva a integridade da inicialização e permite a segurança fundamental para VM.
Esta seção explica como usar o portal do Azure para habilitar a inicialização confiável na VM existente da Geração 2 do Azure.
- Iniciar sessão no portal do Azure
- Validar a geração de máquina virtual é V2 e Parar VM.
- Na página Visão geral em Propriedades da VM, selecione Padrão em Tipo de segurança. Isso navega até a página Configuração da VM.
- Selecione a lista suspensa Tipo de segurança na seção Tipo de segurança da página Configuração .
- Selecione Início confiável na lista suspensa e marque as caixas de seleção para habilitar a Inicialização Segura e o vTPM. Clique em Salvar depois de fazer as alterações necessárias.
Nota
- As VMs de Geração 2 criadas usando a Galeria de Computação do Azure (ACG), Imagem Gerenciada, Disco do SO não podem ser atualizadas para Inicialização confiável usando o Portal. Certifique-se de que a versão do SO é suportada para inicialização confiável e use o modelo PowerShell, CLI ou ARM para executar a atualização.
- Feche a página Configuração assim que a atualização for concluída com êxito e valide o tipo de segurança em Propriedades da VM na página Visão geral.
- Inicie a VM de inicialização confiável atualizada e verifique se ela foi iniciada com êxito e verifique se você pode fazer login na VM usando RDP (para VM Windows) ou SSH (para VM Linux).
Próximos passos
(Recomendado) As pós-atualizações permitem o monitoramento da integridade da inicialização para monitorar a integridade da VM usando o Microsoft Defender for Cloud.
Saiba mais sobre o lançamento confiável e analise as perguntas frequentes