Обзор мониторинга целостности загрузки

Чтобы помочь доверенному запуску лучше предотвратить атаки вредоносных корневых сетей на виртуальных машинах, аттестация гостей через конечную точку Microsoft Аттестация Azure (MAA) используется для мониторинга целостности последовательности загрузки. Эта аттестация имеет решающее значение для обеспечения допустимости состояний платформы. Если в доверенном Виртуальные машины Azure включена безопасная загрузка и vTPM, а также установлены расширения аттестации, Microsoft Defender для облака проверяет правильность настройки состояния и целостности загрузки виртуальной машины. Дополнительные сведения об интеграции MDC см. в статье об интеграции доверенного запуска с Microsoft Defender для облака.

Внимание

Автоматическое обновление расширений теперь доступно для мониторинга целостности загрузки — расширения аттестации гостей. Дополнительные сведения об автоматическом обновлении расширений.

Необходимые компоненты

Активная подписка Azure и виртуальная машина доверенного запуска

Включение мониторинга целостности

Портал Azure

1. Войдите на портал Azure.

2. Выберите ресурс (Виртуальные машины).

3. В разделе Параметры выберите конфигурацию. На панели типов безопасности выберите мониторинг целостности.

   

4. Сохраните изменения.

Теперь на странице обзора виртуальных машин тип безопасности для мониторинга целостности должен быть включен.

При этом устанавливается расширение аттестации гостей, которое можно использовать с помощью параметров на вкладке "Расширения + приложения".

Шаблон

Расширение аттестации гостей можно развернуть для доверенных виртуальных машин запуска с помощью шаблона быстрого запуска:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Создайте виртуальную машину с доверенным запуском с возможностью безопасной загрузки и VTPM путем первоначального развертывания доверенной виртуальной машины запуска. Для развертывания расширения аттестации гостей (--enable_integrity_monitoring). Настройка виртуальных машин настраивается владельцем виртуальных машин (az vm create).
2. Для существующих виртуальных машин можно включить параметры мониторинга целостности загрузки, обновив обновление, чтобы убедиться, что включен мониторинг целостности (--enable_integrity_monitoring).

Примечание.

Необходимо явно настроить расширение аттестации гостей.

PowerShell

Если безопасная загрузка и vTPM включены, целостность загрузки будет включена.

1. Создайте виртуальную машину с доверенным запуском с возможностью безопасной загрузки и VTPM путем первоначального развертывания доверенной виртуальной машины запуска. Настройка виртуальных машин настраивается владельцем виртуальной машины.
2. Для существующих виртуальных машин можно включить параметры мониторинга целостности загрузки, обновив обновление, чтобы убедиться, что в ней включены как SecureBoot, так и vTPM.

Дополнительные сведения о создании или обновлении виртуальной машины для включения мониторинга целостности загрузки с помощью расширения аттестации гостей см. в статье "Развертывание виртуальной машины с включенным доверенным запуском (PowerShell)".

Руководство по устранению неполадок при установке расширения аттестации гостей

Симптомы

Расширения Microsoft Аттестация Azure не будут работать должным образом, когда клиенты настраивают группу безопасности сети или прокси-сервер. Ошибка, похожая на ошибку (сбой подготовки Microsoft.Azure.Security.WindowsAttestation.GuestAttestation.).

Решения

В Azure группы безопасности сети (NSG) используются для фильтрации сетевого трафика между ресурсами Azure. Группы безопасности содержат правила безопасности, разрешающие или запрещающие входящий сетевой трафик или исходящий сетевой трафик из нескольких типов ресурсов Azure. Для конечной точки Microsoft Аттестация Azure она должна иметь возможность взаимодействовать с расширением аттестации гостей. Без этой конечной точки доверенный запуск не может получить доступ к гостевой аттестации, что позволяет Microsoft Defender для облака отслеживать целостность последовательности загрузки виртуальных машин.

Разблокировка трафика Microsoft Аттестация Azure в группах безопасности сети с помощью тегов служб.

1. Перейдите к виртуальной машине, которую требуется разрешить исходящий трафик.
2. В разделе "Сеть" на левой боковой панели выберите вкладку "Параметры сети".
3. Затем выберите "Создать правило порта" и "Добавить правило исходящего порта".
   
4. Чтобы разрешить microsoft Аттестация Azure, сделайте назначение тегом службы. Это позволяет обновлять и автоматически задавать правила для Microsoft Аттестация Azure. Тег целевой службы — AzureAttestation , а действие имеет значение Allow.

Брандмауэры защищают виртуальную сеть, содержащую несколько виртуальных машин доверенного запуска. Чтобы разблокировать трафик Microsoft Аттестация Azure в брандмауэре с помощью коллекции правил приложений.

1. Перейдите к Брандмауэр Azure, которая блокирует трафик из ресурса виртуальной машины доверенного запуска.
2. В разделе параметров выберите "Правила" (классическая модель), чтобы начать разблокировку аттестации гостей за брандмауэром.
3. Выберите коллекцию правил сети и добавьте правило сети.
4. Пользователь может настроить свое имя, приоритет, тип источника, порты назначения в зависимости от их потребностей. Имя тега службы выглядит следующим образом: AzureAttestation, а действие должно быть задано как разрешенное.

Чтобы разблокировать трафик Microsoft Аттестация Azure в брандмауэре с помощью коллекции правил приложений.

1. Перейдите к Брандмауэр Azure, которая блокирует трафик из ресурса виртуальной машины доверенного запуска. Коллекция правил должна содержать по крайней мере одно правило, перейдите к доменным именам целевого доменного имени (полные доменные имена).
2. Выберите коллекцию правил приложений и добавьте правило приложения.
3. Выберите имя, числовой приоритет для правил приложения. Действие для коллекции правил имеет значение ALLOW. Дополнительные сведения об обработке и значениях приложения см. здесь.
4. Имя, источник, протокол, все настраиваются пользователем. Тип источника для одного IP-адреса выберите группу IP, чтобы разрешить несколько IP-адресов через брандмауэр.

Региональные общие поставщики

Аттестация Azure предоставляет региональный общий поставщик в каждом доступном регионе. Клиенты могут использовать региональный общий поставщик для аттестации или создавать собственные поставщики с настраиваемыми политиками. К общим поставщикам можно обращаться любой пользователь Azure AD, и политика, связанная с ней, не может быть изменена.

Примечание.

Пользователи могут настроить свой исходный тип, службу, диапазоны портов назначения, протокол, приоритет и имя.

Следующие шаги

Узнайте больше о доверенном запуске и развертывании доверенной виртуальной машины.