Развертывание виртуальной машины с включенным доверенным запуском

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Доверенный запуск — это способ повысить безопасность виртуальных машин поколения 2. Доверенный запуск защищает от сложных и постоянных атак путем сочетания инфраструктурных технологий, таких как vTPM и безопасная загрузка.

Предварительные требования

  • Необходимо подключить подписку к Microsoft Defender для облака, если это еще не сделано. Microsoft Defender для облака имеет уровень "Бесплатный", который предоставляет очень полезные аналитические сведения для различных ресурсов Azure и гибридных ресурсов. Доверенный запуск использует Defender для облака, чтобы получить несколько рекомендаций относительно работоспособности виртуальной машины.

  • Назначение инициатив по политикам Azure для подписки. Эти инициативы политик необходимо назначить только один раз для каждой подписки. При этом будут автоматически установлены все необходимые расширения на всех поддерживаемых виртуальных машинах.

    • Настройка необходимых компонентов для включения аттестации гостей на виртуальных машинах с поддержкой доверенного запуска.

    • Настройка компьютеров для автоматической установки агентов Azure Monitor и безопасности Azure на виртуальных машинах.

Развертывание виртуальной машины с доверенным запуском

Создайте виртуальную машину с включенным доверенным запуском. Выберите вариант ниже.

  1. Войдите на портал Azure.

  2. Найдите раздел Виртуальные машины.

  3. В разделе Службы выберите Виртуальные машины.

  4. На странице Виртуальные машины выберите Добавить, а затем — Виртуальная машина.

  5. На вкладке Сведения о проекте должна быть выбрана правильная подписка.

  6. В разделе Группа ресурсов выберите Создать и введите имя группы ресурсов либо выберите имеющуюся группу из раскрывающегося списка.

  7. В разделе Сведения об экземпляре введите имя виртуальной машины и выберите регион, который поддерживает доверенный запуск.

  8. В поле Тип безопасности выберите Доверенный запуск виртуальных машин. При этом появятся еще два параметра: Безопасная загрузка и vTPM. Выберите вариант для своего развертывания. Screenshot showing the options for Trusted Launch.

  9. В разделе Образ выберите образ из рекомендованных образов 2-го поколения, совместимых с доверенным запуском. Список см. в разделе образов, поддерживающих доверенный запуск.

    Совет

    Если вы не видите в раскрывающемся списке версию образа 2-го поколения, выберите Просмотреть все образы, а затем измените фильтр Тип безопасности на Доверенный запуск.

  10. Выберите размер виртуальной машины, который поддерживает доверенный запуск. Ознакомьтесь со списком поддерживаемых размеров.

  11. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.

  12. Внизу страницы выберите Проверить и создать.

  13. На странице Создание виртуальной машины отобразятся сведения о развертываемой виртуальной машине. Когда проверка отобразится как пройденная, выберите Создать.

    Sceenshot of the validation page, showing the trusted launch options are included.

Развертывание виртуальной машины может занять несколько минут.

  1. Войдите на портал Azure.
  2. Чтобы создать образ коллекции вычислений Azure на виртуальной машине, откройте существующую виртуальную машину доверенного запуска и выберите Записать.
  3. Откроется страница создания образа. Разрешите коллекции доступ к образу в качестве версии образа виртуальной машины, так как управляемые образы для доверенного запуска не поддерживаются.
  4. Создайте новую целевую коллекцию вычислений Azure или выберите существующую коллекцию.
  5. Выберите для параметра Состояние операционной системы значение Универсальная или Специализированная.
  6. Создайте определение образа, указав имя, издателя, предложение и номер SKU. Тип безопасности определения образа уже имеет значение "Доверенный запуск".
  7. Укажите номер версии для образа.
  8. При необходимости измените параметры репликации.
  9. В нижней части страницы Создание изображения нажмите Просмотр и создание, а после прохождения проверки нажмите кнопку Создать.
  10. После создания версии образа перейдите непосредственно к версии образа. Кроме того, можно перейти к требуемой версии образа с помощью определения образа.
  11. На странице Версия образа виртуальной машины выберите + Создать виртуальную машину, чтобы открыть страницу "Создание виртуальной машины".
  12. На странице "Создание виртуальной машины" в разделе Группа ресурсов выберите Создать и введите имя группы ресурсов либо выберите имеющуюся группу из раскрывающегося списка.
  13. В разделе Сведения об экземпляре введите имя виртуальной машины и выберите регион, который поддерживает доверенный запуск.
  14. Значения образа и типа безопасности уже заполнены на основе версии выбранного образа. Флажки Безопасная загрузка и vTPM установлены по умолчанию.
  15. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.
  16. Внизу страницы выберите Проверить и создать.
  17. На странице Создание виртуальной машины отобразятся сведения о развертываемой виртуальной машине. Когда проверка отобразится как пройденная, выберите Создать.

Проверка или обновление параметров

Для виртуальных машин, созданных с включенным доверенным запуском, можно просмотреть конфигурацию доверенного запуска на странице обзора этой виртуальной машины на портале. На вкладке Свойства отображается состояние функций доверенного запуска:

Screenshot of the Trusted Launch properties of the VM.

Чтобы изменить конфигурацию доверенного запуска, в меню слева в разделе Параметры выберите Конфигурация. В разделе типа безопасности доверенного запуска можно включить или отключить безопасную загрузку и vTPM. После завершения выберите команду Сохранить в верхней части страницы.

Screenshot showing check boxes to change the Trusted Launch settings.

Если виртуальная машина работает, вы получите сообщение о том, что она будет перезапущена. Чтобы изменения вступили в силу, выберите Да и дождитесь перезапуска виртуальной машины.

Дальнейшие шаги

Узнайте больше о доверенном запуске и виртуальных машинах поколения 2.