Azure 虛擬機器的可信啟動
適用於: ✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集
Azure 提供可信啟動作為能流暢改善第 2 代 VM 安全性的方式。 可信啟動會防止進階和持續性攻擊技術侵擾。 可信啟動是由數種可獨立啟用的協調基礎結構技術組成。 每個技術都會針對複雜的威脅提供另一層防禦。
重要
- 已選取 [可信啟動] 作為新建立 Azure VM 的預設狀態。 如果您的新 VM 需要可信啟動不支援的功能,請參閱 可信啟動常見問題
- 現有的 Azure 第 2 代 VM 在建立之後可以啟用可信啟動。 如需詳細資訊,請參閱 在現有 VM 上啟用可信啟動
- 您無法在一開始建立不包含可信啟動的現有虛擬機器擴展集 (VMSS) 上啟用可信啟動。 可信啟動需要建立新的 VMSS。
福利
- 使用已驗證的開機載入器、OS 核心和驅動程式,安全部署虛擬機器。
- 安全保護虛擬機器中的金鑰、憑證和密碼。
- 取得整個開機鏈完整性的見解和信賴度。
- 確定工作負載可信和可驗證。
虛擬機器大小
注意
- 在已啟用安全開機的 Windows VM 上安裝 CUDA 和 GRID 驅動程式,不需要任何額外的步驟。
- 在已啟用安全開機的 Ubuntu VM 上安裝 CUDA 驅動程式需要執行 [在執行 Linux 的 N 系列 VM 上安裝 NVIDIA GPU 驅動程式] 中所述的額外步驟。 應該停用安全開機,以便在其他 Linux VM 上安裝 CUDA 驅動程式。
- 安裝 GRID 驅動程式 需要為 Linux VM 停用安全開機。
- 不支援的 大小系列不支援 第 2 代 VM。 將 VM 大小變更為對等 支援的大小系列, 以啟用可信啟動。
支援的作業系統
| OS | 版本 |
|---|---|
| Alma Linux | 8.7,8.8,9.0 |
| Azure Linux | 1.0,2.0 |
| Debian | 11,12 |
| Oracle Linux | 8.3,8.4,8.5,8.6,8.7,8.8 LVM,9.0,9.1 LVM |
| RedHat Enterprise Linux | 8.4,8.5,8.6,8.7,8.8,9.0,9.1 LVM,9.2 |
| SUSE Enterprise Linux | 15SP3,15SP4,15SP5 |
| Ubuntu Server | 18.04 LTS,20.04 LTS,22.04 LTS,23.04, 23.10 |
| Windows 10 | 專業版、企業版、企業版多重工作階段 * |
| Windows 11 | 專業版、企業版、企業版多重工作階段 * |
| Windows Server | 2016, 2019, 2022 * |
| Window Server (Azure 版本) | 2022 |
* 支援此作業系統的變化。
其他資訊
區域:
- 所有公用區域
- 所有 Azure Government 區域
- 所有 Azure 中國區域
定價: 可信啟動不會增加現有的 VM 定價成本。
不支援的功能
注意
可信啟動目前不支援下列虛擬網路功能。
- Azure Site Recovery
- 受控映射 (建議客戶使用 Azure 計算資源庫 )
- 巢狀虛擬化 (支援大部分 v5 VM 大小系列)
安全開機
在可信啟動的根目錄是 VM 的安全開機。 在平台韌體中實作的安全開機會防止惡意程式碼型的 Rootkit 和開機套件的安裝。 安全開機的運作方式是確保只有已簽署的作業系統和驅動程式可以開機。 安全開機會在 VM 上建立軟體堆疊的「信任根目錄」。 啟用安全開機後,所有 OS 開機元件 (開機載入器、核心、核心驅動程式) 都必須由信任的發行者簽署。 Windows 和精選 Linux 發行版本都支援安全開機。 如果安全開機無法驗證映像由信任的發行者簽署,則 VM 會無法開機。 如需詳細資訊,請參閱安全開機。
vTPM
可信啟動也採用適用於 Azure VM 的 vTPM。 vTPM 是硬體 信賴平台模組 的虛擬化版本,符合 TPM2.0 規格。其可作為金鑰和度量的專用安全保存庫。 可信啟動提供 VM 專用的 TPM 執行個體,在任何 VM 外部的安全環境中執行。 vTPM 可透過測量 VM 的整個開機鏈 (UEFI、OS、系統和驅動程式),啟用證明。
可信啟動會使用 vTPM,透過雲端執行遠端證明。 證明可啟用平台健康情況檢查,並做出以信任為基礎的決策。 進行健康情況檢查時,可信啟動可藉密碼編譯方式認證您的 VM 已正確開機。 如果流程失敗,原因可能是您的 VM 正在執行未經授權的元件,適用於雲端的 Microsoft Defender 會發出完整性警示。 警示包含無法通過完整性檢查之元件的詳細資料。
虛擬化安全性
虛擬化型安全性 (VBS) 使用 Hypervisor 建立安全且隔離的記憶體區域。 Windows 使用這些區域執行各種安全性解決方案,並加強防止漏洞和惡意探索的措施。 可信啟動讓您能啟用 Hypervisor 程式碼完整性 (HVCI) 和 Windows Defender Credential Guard。
HVCI 是強大的系統風險降低功能,可保護 Windows 核心模式程序,防止插入和執行惡意程式碼或未驗證程式碼。 執行程式碼前,HVCI 會檢查核心模式驅動程式和二進位檔案,防止未簽署的檔案載入記憶體。 檢查可確保一旦允許可執行檔程式碼載入後,將無法修改。 如需 VBS 和 HVCI 的詳細資訊,請參閱虛擬化型安全性 (VBS) 和 Hypervisor 加強程式碼完整性 (HVCI) (英文)。
透過可信啟動和 VBS,您可以啟用 Windows Defender Credential Guard。 Credential Guard 會隔離並保護密碼,這樣只有特殊權限的系統軟體可以存取密碼。 這有助防止未經授權存取密碼和認證竊取攻擊,例如雜湊傳遞 (PtH) 攻擊。 如需詳細資訊,請參閱 Credential Guard (英文)。
適用於雲端的 Microsoft Defender 整合
可信啟動會與適用於雲端的 Microsoft Defender 整合,確保能正確設定您的 VM。 適用於雲端的 Microsoft Defender 會持續評估相容的 VM,並發出相關建議。
- 啟用安全開機的建議 - 安全開機建議僅適用於支援可信啟動的 VM。 適用於雲端的 Microsoft Defender 會識別可啟用但目前停用安全開機的 VM。 然後發出低嚴重性建議,來啟用安全開機。
- 啟用 vTPM 的建議: 如果您的 VM 已啟用 vTPM,適用於雲端的 Microsoft Defender 可以使用 vTPM 執行客體證明,並識別進階威脅模式。 如果適用於雲端的 Microsoft Defender 識別支援可信啟動的 VM,但停用 vTPM,即會發出低嚴重性建議來啟用 vTPM。
- 安裝客體證明延伸模組的建議: 如果您的 VM 已啟用安全開機和 vTPM,但未安裝客體證明延伸模組,則適用於雲端的 Microsoft Defender 會發出低嚴重性建議,以安裝客體證明延伸模組。 此延伸模組會讓適用於雲端的 Microsoft Defender 能主動證明並監視 VM 的開機完整性。 透過遠端證明,證明開機完整性。
- 證明健康情況評量或開機完整性監視 - 如果您的 VM 已啟用安全開機和 vTPM,並安裝證明延伸模組,則適用於雲端的 Microsoft Defender 可以遠端驗證 VM 是否以良好的方式開機。 這稱為開機完整性監視。 適用於雲端的 Microsoft Defender 會發出評量,指出遠端證明的狀態。
如果您的 VM 已透過可信啟動正確設定,則適用於雲端的 Microsoft Defender 可以偵測並警示 VM 的健康情況問題。
VM 證明失敗的警示: 適用於雲端的 Microsoft Defender 會定期在您的 VM 上執行證明。 也會在 VM 開機後進行證明。 如果證明失敗,則會觸發中嚴重性警示。 VM 證明可能因為下列原因失敗:
- 證明的資訊 (包含開機記錄) 背離可信基準。 任何偏差都表示已載入未受信任的模組,而且 OS 可能會遭到入侵。
- 無法驗證證明引用源自證明 VM 的 vTPM。 未經驗證的來源可能表示惡意程式碼存在,而且可能會攔截 vTPM 的流量。
注意
已啟用 vTPM 並安裝證明延伸模組的 VM 可使用此警示。 您必須啟用安全開機才能通過證明。 如果停用安全開機,證明會失敗。 如果您必須停用安全開機,請隱藏此警示避免誤判。
不受信任的 Linux 核心模組警示: 如果是已啟用安全開機的可信啟動,即使核心驅動程式驗證失敗並禁止載入,VM 仍可開機。 如果發生這種情況,適用於雲端的 Microsoft Defender 會發出低嚴重性警示。 雖然沒有立即的威脅,但鑑於不受信任的驅動程式並未載入,故仍請調查這些事件。
- 哪一個核心驅動程式失敗? 我熟悉並預期載入此驅動程式嗎?
- 此驅動程式確實是我預期的版本嗎? 驅動程式二進位檔案是否保持不變? 如果這是協力廠商驅動程式,廠商是否通過 OS 規範測試並取得簽署?
下一步
部署可信啟動 VM。