Implementar um VM com lançamento fidedigno ativado (pré-visualização)

Aplica-se a: ✔️ Linux VMs ✔️ Windows VMs ✔️ Conjuntos de escala flexível

Lançamento confiável é uma forma de melhorar a segurança da geração 2 VMs. O lançamento de confiança protege contra técnicas de ataque avançadas e persistentes, combinando tecnologias de infraestrutura como vTPM e boot seguro.

Importante

O lançamento de confiança está atualmente em pré-visualização pública.

Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.

Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

Implementar usando o portal

Crie uma máquina virtual com lançamento fidedigno ativado.

  1. Inscreva-se no portalAzure .

    Nota

    O link Portal é exclusivo da pré-visualização de lançamento confiável.

  2. Procure por Máquinas Virtuais.

  3. Em Serviços, selecione Máquinas Virtuais.

  4. Na página de máquinas Virtuais, selecione Adicionar e, em seguida, selecione máquina Virtual.

  5. De acordo com Project detalhes, certifique-se de que a subscrição correta está selecionada.

  6. No grupo de Recursos, selecione Criar um nome novo e digitar um nome para o seu grupo de recursos ou selecione um grupo de recursos existente a partir do dropdown.

  7. Em Detalhes de Exemplo, escreva um nome para o nome da máquina virtual e escolha uma região que suporte o lançamento fidedigno.

  8. Under Image, selecione uma imagem gen 2 que suporta o lançamento fidedigno. Certifique-se de que vê a seguinte mensagem: Esta imagem suporta a pré-visualização de lançamento fidedigna. Configurar no separador Avançado.

    Dica

    Se não vir a versão Gen 2 da imagem que pretende no drop-down, selecione Ver todas as imagens e, em seguida, altere o filtro VM Generation para mostrar apenas imagens da Gen 2. Encontre a imagem na lista e, em seguida, use o drop-down Select para selecionar a versão Gen 2.

    Screenshot mostrando a mensagem confirmando que esta é uma imagem gen2 que suporta o lançamento confiável.

  9. Selecione um tamanho VM que suporte lançamento fidedigno. Consulte a lista de tamanhos suportados.

  10. Preencha as informações da conta do Administrador e, em seguida, as regras do porto de entrada.

  11. Mude para o separador Advanced selecionando-o no topo da página.

  12. Percorra a secção de geração VM. Certifique-se de que a Gen 2 está selecionada.

  13. Enquanto ainda está no separador Advanced, desloque-se até ao lançamento do Trust e, em seguida, selecione a caixa de verificação de lançamento Fidedigna. Isto fará com que apareçam mais duas opções - Arranque seguro e vTPM. Selecione as opções apropriadas para a sua implementação.

    Screenshot mostrando as opções para lançamento de confiança.

  14. Na parte inferior da página, selecione Review + Create

  15. Na página de máquina virtual Criar, pode ver os detalhes sobre o VM que está prestes a implementar. Quando estiver pronto, selecione Criar.

    Sceenshot da página de validação, mostrando as opções de lançamento fidedignas estão incluídas.

Irá demorar alguns minutos até a VM ser implementada.

Implementar com um modelo

Pode implementar VMs de lançamento fidedignos utilizando um modelo de arranque rápido:

Linux:  Deploy to Azure

Windows:  Deploy To Azure

Ver e atualizar

Pode ver a configuração de lançamento fidedigna para um VM existente visitando a página geral para o VM no portal.

Para alterar a configuração de lançamento fidedigna, no menu esquerdo, selecione Configuração sob a secção Definições. Pode ativar ou desativar o Secure Boot e o vTPM a partir da secção Lançamento Fidedigno. Selecione Guarde no topo da página quando terminar.

Screenshot de como alterar a configuração de lançamento fidedigna.

Se o VM estiver em execução, receberá uma mensagem de que o VM será reiniciado para aplicar a configuração de lançamento fidedigna modificada. Selecione Sim e, em seguida, aguarde que o VM reinicie para que as alterações entrem em vigor.

Verifique a bota segura e vTPM

Pode validar o arranque seguro e o vTPM na máquina virtual.

Linux: validar se a bota segura estiver a correr

SSH para o VM e, em seguida, executar o seguinte comando:

mokutil --sb-state

Se o arranque seguro estiver ativado, o comando regressará:

SecureBoot enabled

Linux: validar se o vTPM estiver ativado

Aceda através de SSH à VM. Verifique se o dispositivo TPM0 está presente:

ls /dev/tpm0

Se o vTPM estiver ativado, o comando regressará:

/dev/tpm0

Se o vTPM estiver desativado, o comando regressará:

ls: cannot access '/dev/tpm0': No such file or directory

Windows: validar que a bota segura está a correr

Ligação para o VM utilizando o ambiente de trabalho remoto e, em seguida, executar msinfo32.exe .

No painel direito, verifique se o Estado de Arranque Seguro está LIGADO.

Ativar a experiência do Centro de Segurança Azure

Para permitir que o Azure Security Center apresente informações sobre os seus VMs de lançamento fidedignos, é necessário ativar várias políticas. A forma mais fácil de ativar as políticas é implementando este modelo de Gestor de Recursos para a sua subscrição.

Selecione o botão abaixo para implementar as políticas para a sua subscrição:

Implementar no Azure

O modelo precisa de ser implantado apenas uma vez por subscrição. Instala e amplia automaticamente GuestAttestation AzureSecurity em todos os VMs suportados. Se tiver erros, tente recolocar o modelo novamente.

Para obter vTPM e recomendar recomendações de arranque seguras para VMs de lançamento fidedignos, consulte Adicionar uma iniciativa personalizada à sua subscrição.

Assine coisas para Secure Boot em Linux

Em alguns casos, poderá ter de assinar coisas para o UEFI Secure Boot. Por exemplo, pode precisar de ver como assinar coisas para Secure Boot para Ubuntu. Nestes casos, tem de introduzir as chaves de inscrição de utilitário MOK para o seu VM. Para isso, é necessário utilizar a Consola em Série Azure para aceder ao utilitário MOK.

  1. Ativar a consola em série Azure para o Linux. Para mais informações, consulte a Consola em Série para Linux.

  2. Faça login no portal Azure.

  3. Procure por máquinas Virtuais e selecione o seu VM da lista.

  4. No menu esquerdo, em Suporte + resolução de problemas, selecione Consola série. Uma página abrir-se-á à direita, com a consola em série.

  5. Inicie sessão no VM utilizando a Consola Em Série Azure. Para iniciar sessão, insira o nome de utilizador utilizado quando criou o VM. Por exemplo, azureuser. Quando solicitado, introduza a palavra-passe associada ao nome de utilizador.

  6. Uma vez iniciado o login, utilize mokutil para importar o ficheiro de chave .der pública.

    sudo mokutil –import <path to public key.der>
    
  7. Reinicie a máquina a partir da Consola em Série Azure digitando sudo reboot . Começará uma contagem regressiva de 10 segundos.

  8. Pressione para cima ou para baixo para interromper a contagem regressiva e aguarde no modo de consola UEFI. Se o temporizador não for interrompido, o processo de arranque continua e todas as alterações DO MOK são perdidas.

  9. Selecione a ação apropriada no menu de utilidade MOK.

    Screenshot mostrando as opções disponíveis no menu de gestão MOK na consola em série.

Passos seguintes

Saiba mais sobre o lançamento fidedigno e vMs da Geração 2.