Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️
Azure biedt Trusted Launch als een naadloze manier om de beveiliging van virtuele machines van de tweede generatie (VM) te verbeteren. Trusted Launch beschermt tegen geavanceerde en permanente aanvalstechnieken. Trusted Launch bestaat uit verschillende gecoördineerde infrastructuurtechnologieën die onafhankelijk kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen.
Belangrijk
- Vertrouwd starten is de standaardstatus voor nieuw gemaakte Azure Gen2-VM's en schaalsets. Zie de veelgestelde vragen over vertrouwde lanceringen als voor uw nieuwe VIRTUELE machine functies zijn vereist die niet worden ondersteund met vertrouwde start.
- U kunt bestaande Azure Gen1-VM's upgraden naar Gen2-Trusted starten om Beveiligd opstarten en vTPM in te schakelen. Zie Bestaande Gen1-VM's upgraden naar Gen2-Trusted launch.
- Bestaande VM kan na creatie de functie "Trusted Launch" inschakelen. Zie Vertrouwde start inschakelen op bestaande Gen2-VM's voor meer informatie.
- Bestaande virtuele-machineschaalset kunnen Trusted Launch hebben ingeschakeld nadat ze zijn aangemaakt. Zie Vertrouwde start inschakelen voor bestaande schaalsets voor meer informatie.
Vergoedingen
- Implementeer virtuele machines met geverifieerde opstartlaadders, besturingssysteemkernels en stuurprogramma's veilig.
- Beveilig sleutels, certificaten en geheimen veilig in de VM's.
- Krijg inzicht en vertrouwen in de integriteit van de gehele opstartketen.
- Zorg ervoor dat workloads worden vertrouwd en verifieerbaar.
Grootten van virtuele machines
| Typologie | Ondersteunde groottefamilies | Momenteel worden groottefamilies niet ondersteund | Niet-ondersteunde groottefamilies |
|---|---|---|---|
| Algemeen gebruik | B-familie, D-familie | Dpsv5-serie, Dpdsv5-serie, Dplsv5-serie, Dpldsv5-serie | A-family, Dv2-serie, Dv3-serie, DC-Confidential-Family |
| Geoptimaliseerde rekenkracht | F-family, Fx-family | Alle grootten worden ondersteund. | |
| Geoptimaliseerd voor geheugen | E-family, Eb-family | M-familie | EC-Confidential-Family |
| Geoptimaliseerd voor opslag | L-familie | Alle grootten worden ondersteund. | |
| GPU | NC-family, ND-family, NV-family | NDasrA100_v4-serie, NDm_A100_v4-serie | NC-serie, NV-serie, NP-serie |
| High Performance Compute | HBv2-serie, HBv3-serie, HBv4-serie, HC-serie, HX-serie | Alle grootten worden ondersteund. |
Notitie
- Voor de installatie van de CUDA & GRID-stuurprogramma's op Windows-VM's met beveiligd opstarten zijn geen extra stappen vereist.
- Voor de installatie van het CUDA-stuurprogramma op Ubuntu-VM's met beveiligd opstarten zijn extra stappen vereist. Zie NVIDIA GPU-stuurprogramma's installeren op VM's uit de N-serie waarop Linux wordt uitgevoerd voor meer informatie. Beveiligd opstarten moet worden uitgeschakeld voor het installeren van CUDA-stuurprogramma's op andere Linux-VM's.
- Voor de installatie van het GRID-stuurprogramma moet Beveiligd opstarten worden uitgeschakeld voor Linux-VM's.
- Niet-ondersteunde groottefamilies bieden geen ondersteuning voor VM's van de tweede generatie. Wijzig de VM-grootte in equivalente ondersteunde groottefamilies voor het inschakelen van vertrouwd starten.
Ondersteunde besturingssystemen
| Besturingssysteem | Versie |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux van CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variaties van dit besturingssysteem worden ondersteund.
Meer informatie
Regio's:
- Alle openbare regio's
- Alle Azure Government-regio's
- Alle Azure China-regio's
Prijzen: vertrouwde start verhoogt de bestaande prijskosten voor VM's niet.
Niet-ondersteunde functies
Momenteel worden de volgende VM-functies niet ondersteund met Vertrouwde start:
- Beheerde installatiekopieën (klanten worden aangemoedigd om Azure Compute Gallery te gebruiken).
- Linux VM-sluimerstand
Beveiligd opstarten
In de hoofdmap van Vertrouwd starten is Beveiligd opstarten voor uw VIRTUELE machine. Beveiligd opstarten, dat is geïmplementeerd in platformfirmware, beschermt tegen de installatie van op malware gebaseerde rootkits en bootkits. Beveiligd opstarten werkt om ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart. Hiermee wordt een 'vertrouwenshoofdmap' voor de softwarestack op uw VIRTUELE machine tot stand brengt.
Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) vertrouwde uitgevers ondertekenen. Zowel Windows als bepaalde Linux-distributies ondersteunen Beveiligd opstarten. Wanneer Secure Boot de authenticatie faalt van een installatiekopie die is ondertekend door een vertrouwde uitgever, kan de VM niet opstarten. Zie voor meer informatie beveiligd opstarten.
vTPM
Trusted Launch introduceert ook virtuele Trusted Platform Module (vTPM) voor Azure-VM's. Deze gevirtualiseerde versie van een vertrouwde platformmodule voor hardware voldoet aan de TPM2.0-specificatie. Het fungeert als een speciale beveiligde kluis voor sleutels en metingen.
Trusted Launch biedt uw VIRTUELE machine een eigen toegewezen TPM-exemplaar dat wordt uitgevoerd in een beveiligde omgeving buiten het bereik van een virtuele machine. Met vTPM kunt u attestation inschakelen door de volledige opstartketen van uw VM (UEFI, BEsturingssysteem, systeem en stuurprogramma's) te meten.
Trusted Launch maakt gebruik van vTPM om externe attestation uit te voeren via de cloud. Attestations maken platformstatuscontroles mogelijk en worden gebruikt voor het nemen van beslissingen op basis van vertrouwen. Als statuscontrole kan Trusted Launch cryptografisch certificeren dat uw VIRTUELE machine correct is opgestart.
Als het proces mislukt, mogelijk omdat uw VM een niet-geautoriseerd onderdeel uitvoert, Microsoft Defender voor Cloud integriteitswaarschuwingen geeft. De waarschuwingen bevatten details over welke onderdelen niet voldoen aan integriteitscontroles.
Beveiliging op basis van virtualisatie
Beveiliging op basis van virtualisatie (VBS) maakt gebruik van de hypervisor om een beveiligd en geïsoleerd geheugengebied te maken. Windows gebruikt deze regio's om verschillende beveiligingsoplossingen uit te voeren met verbeterde bescherming tegen beveiligingsproblemen en schadelijke aanvallen. Met Trusted Launch kunt u de integriteit van hypervisorcode (HVCI) en Windows Defender Credential Guard inschakelen.
HVCI is een krachtige systeembeperking die Windows-kernelmodusprocessen beschermt tegen injectie en uitvoering van schadelijke of niet-geverifieerde code. De kernelmodusstuurprogramma's en binaire bestanden worden gecontroleerd voordat ze worden uitgevoerd, waardoor niet-ondertekende bestanden niet in het geheugen kunnen worden geladen. Controleert of uitvoerbare code niet kan worden gewijzigd nadat het door HVCI is toegestaan om te laden. Zie Beveiliging op basis van virtualisatie en door hypervisor afgedwongen code-integriteit voor meer informatie over VBS en HVCI.
Met Vertrouwde start en VBS kunt u Windows Defender Credential Guard inschakelen. Credential Guard isoleert en beveiligt geheimen, zodat alleen bevoegde systeemsoftware toegang heeft tot deze geheimen. Het helpt onbevoegde toegang tot geheimen en diefstalaanvallen van referenties te voorkomen, zoals Pass-the-Hash-aanvallen. Zie Credential Guard voor meer informatie.
integratie van Microsoft Defender voor Cloud
Vertrouwde start is geïntegreerd met Defender voor Cloud om ervoor te zorgen dat uw VM's correct zijn geconfigureerd. Defender voor Cloud voortdurend compatibele VM's beoordeelt en relevante aanbevelingen geeft:
Aanbeveling voor het inschakelen van beveiligd opstarten: de aanbeveling beveiligd opstarten is alleen van toepassing op VM's die ondersteuning bieden voor vertrouwd starten. Defender for Cloud identificeert VM's waarvoor beveiligd opstarten is uitgeschakeld. Er wordt een aanbeveling met een lage ernst opgegeven om deze in te schakelen.
Aanbeveling om vTPM in te schakelen: als vTPM is ingeschakeld voor vm, kan Defender voor Cloud deze gebruiken om gastattestatie uit te voeren en geavanceerde bedreigingspatronen te identificeren. Als Defender voor Cloud VM's identificeert die ondersteuning bieden voor vertrouwd starten met vTPM uitgeschakeld, wordt er een aanbeveling met een lage ernst opgegeven om deze in te schakelen.
Aanbeveling voor het installeren van de attestation-extensie voor gasten: als op uw VM Beveiligd opstarten en vTPM is ingeschakeld, maar de extensie Gastattestation niet is geïnstalleerd, Defender voor Cloud aanbevelingen met een lage ernst om de Gastat attestation-extensie erop te installeren. Met deze extensie kan Defender voor Cloud proactief de opstartintegriteit van uw VM's bevestigen en bewaken. Opstartintegriteit wordt getest via externe attestation.
Attestation-statusbeoordeling of bewaking van opstartintegriteit: als beveiligd opstarten en vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd, kan Defender voor Cloud op afstand valideren dat uw VIRTUELE machine op een gezonde manier is opgestart. Deze praktijk staat bekend als bewaking van opstartintegriteit. Defender voor Cloud geeft een evaluatie uit die de status van externe attestation aangeeft.
Als uw VM's correct zijn ingesteld met Vertrouwde start, kan Defender voor Cloud u detecteren en waarschuwen voor problemen met de vm-status.
Waarschuwing voor VM-attestation-fout: Defender voor Cloud voert periodiek attestation uit op uw VM's. De attestation vindt ook plaats nadat de VM is opgestart. Als de attestation mislukt, wordt er een waarschuwing met een gemiddelde ernst geactiveerd.
Notitie
Attestatie-waarschuwingen voor het opstarten van VM-clients die zichtbaar zijn in Microsoft Defender for Cloud, zijn informatief en worden momenteel niet in de Defender-portal gepresenteerd.
VM-attestation kan om de volgende redenen mislukken:
De geteste informatie, die een opstartlogboek bevat, wijkt af van een vertrouwde basislijn. Elke afwijking kan erop wijzen dat niet-vertrouwde modules worden geladen en dat het besturingssysteem kan worden aangetast.
De attestation-offerte kan niet worden geverifieerd om afkomstig te zijn van de vTPM van de geteste VM. Een niet-geverifieerde oorsprong kan erop wijzen dat malware aanwezig is en kan verkeer naar de vTPM onderscheppen.
Notitie
Waarschuwingen zijn beschikbaar voor VM's waarvoor vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd. Beveiligd opstarten moet zijn ingeschakeld om attestation door te geven. Attestation mislukt als Beveiligd opstarten is uitgeschakeld. Als u Beveiligd opstarten moet uitschakelen, kunt u deze waarschuwing onderdrukken om fout-positieven te voorkomen.
Waarschuwing voor niet-vertrouwde Linux-kernelmodule: voor vertrouwd starten met Beveiligd opstarten ingeschakeld, is het mogelijk dat een VIRTUELE machine wordt opgestart, zelfs als een kernelstuurprogramma de validatie mislukt en niet kan worden geladen. Als er een fout optreedt bij validatie van kernelstuurprogramma's, geeft Defender for Cloud waarschuwingen met een lage ernst op. Hoewel er geen onmiddellijke bedreiging is, omdat het niet-vertrouwde stuurprogramma niet is geladen, moeten deze gebeurtenissen worden onderzocht. Stel uzelf de volgende vragen:
- Welk kernelstuurprogramma is mislukt? Ben ik bekend met het mislukte kernelstuurprogramma en verwacht ik dat het wordt geladen?
- Is de exacte versie van het stuurprogramma hetzelfde als verwacht? Zijn de binaire stuurprogrammabestanden intact? Als het mislukte stuurprogramma een partnerstuurprogramma is, heeft de partner de nalevingstests van het besturingssysteem doorstaan om het te ondertekenen?
(Preview) Vertrouwde start als standaard
Belangrijk
De standaardinstelling vertrouwde start is momenteel beschikbaar als preview-versie. Deze preview is alleen bedoeld voor test-, evaluatie- en feedbackdoeleinden. Productieworkloads worden niet aanbevolen. Wanneer u zich registreert voor preview, gaat u akkoord met de aanvullende gebruiksvoorwaarden. Sommige aspecten van deze functie kunnen veranderen met algemene beschikbaarheid (GA).
Vertrouwde start als standaard (TLaD) is beschikbaar in preview voor nieuwe Virtuele Gen2-machines (VM) en virtuele machineschaalsets (schaalsets).
TLaD is een snelle en zero-touch-methode voor het verbeteren van de beveiligingshouding van nieuwe Azure VM's en Virtual Machine Scale Sets op Gen2. Met Vertrouwde start als standaard worden alle nieuwe Gen2-VM's of schaalsets die zijn gemaakt via clienthulpprogramma's (zoals ARM-sjabloon, Bicep) standaard ingesteld op Vertrouwde start-VM's waarvoor beveiligd opstarten en vTPM is ingeschakeld.
Met de openbare preview-versie kunt u deze wijzigingen in uw respectieve omgeving valideren voor alle nieuwe Virtuele Azure Gen2-machines, schaalsets en voorbereiden op deze aanstaande wijziging.
Notitie
Alle nieuwe Gen2-VM's, schaalsets, implementaties met behulp van een clienthulpprogramma (ARM-sjabloon, Bicep, Terraform, enzovoort) worden standaard ingesteld op Vertrouwd starten na onboarding naar preview. Deze wijziging overschrijft geen invoer die is opgegeven als onderdeel van de implementatiecode.
TLaD-preview inschakelen
Een preview-functie TrustedLaunchByDefaultPreview registreren bij Microsoft.Compute namespace in een abonnement voor virtuele machines. Zie Preview-functies instellen in Een Azure-abonnement voor meer informatie
Als u een nieuwe Gen2-VM of schaalset wilt maken met de standaardinstelling voor vertrouwde lancering, voert u uw bestaande implementatiescript uit zoals dit is via Azure SDK, Terraform of een andere methode die niet Azure Portal, CLI of PowerShell is. De nieuwe VM of schaalset die in het geregistreerde abonnement is gemaakt, resulteert in een vertrouwde start-VM of virtuele-machineschaalset.
Implementaties van VM & schaalsets met TLaD preview
Bestaand gedrag
Als u een vertrouwde start-VM en schaalset wilt maken, moet u het volgende securityProfile-element toevoegen in de implementatie:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
Als het securityProfile-element niet aanwezig is in de implementatiecode, worden VM en schaalset uitgevoerd zonder Trusted Launch in te schakelen.
Voorbeelden
- vm-windows-admincenter – De Azure Resource Manager (ARM)-sjabloon implementeert Gen2 VM zonder Trusted Launch in te schakelen.
-
vm-simple-windows – De ARM-sjabloon implementeert een Trusted Launch VM (zonder standaardinstelling, omdat
securityProfileexpliciet aan de ARM-sjabloon wordt toegevoegd)
Nieuw gedrag
Door API-versie 2021-11-01 of hoger te gebruiken en de onboarding voor preview te gebruiken, zorgt het ontbreken van securityProfile elementen uit de implementatie ervoor dat vertrouwde start standaard is ingeschakeld voor nieuwe VM&schaalsets die zijn geïmplementeerd als aan de volgende voorwaarden wordt voldaan:
- Broninstallatiekopieën van Marketplace-besturingssysteem ondersteunen vertrouwde lancering.
- De ACG OS-bronimage ondersteunt en is gevalideerd voor vertrouwde start.
- Bronstation ondersteunt beveiligde opstart.
- VM-grootte ondersteunt vertrouwd starten.
De implementatie zal niet automatisch naar een Vertrouwde start overschakelen als niet aan een of meer van de vermelde voorwaarden wordt voldaan en als ze niet succesvol worden voltooid om een nieuwe Gen2-VM en schaalset zonder Vertrouwde start te maken.
U kunt ervoor kiezen om de standaardinstellingen voor de implementatie van VM's en schaalsets expliciet te omzeilen door Standard in te stellen als waarde van de parameter securityType. Zie Kan ik Vertrouwde start uitschakelen voor een nieuwe VM-implementatie voor meer informatie.
Bekende beperkingen
Kan de standaardinstelling voor vertrouwde lancering niet omzeilen en een Gen2-VM (niet-vertrouwd starten) maken met behulp van Azure Portal nadat deze is geregistreerd voor preview.
Nadat u een abonnement op preview hebt geregistreerd, wordt de VM of schaalset Standardgeïmplementeerd wanneer u het beveiligingstype Trusted launch instelt in Azure Portal. Deze beperking wordt opgelost vóór de algemene beschikbaarheid van de standaardfunctie Trusted Launch.
Als u deze beperking wilt beperken, kunt u de preview-functie ongedaan maken door de functievlag TrustedLaunchByDefaultPreview te verwijderen onder Microsoft.Compute de naamruimte van het opgegeven abonnement.
Kan de grootte van VM's of VMSS niet wijzigen naar een niet-ondersteunde familie van vertrouwde opstart-VM-groottes (zoals de M-serie) nadat standaard is overgeschakeld naar vertrouwd opstarten.
Het wijzigen van de vertrouwde start-VM naar een VM-groottefamilie die niet wordt ondersteund met vertrouwde start zal niet worden ondersteund.
Als maatregel registreert u de functievlag UseStandardSecurityType onder Microsoft.Compute naamruimte EN rolt u de VM terug van Trusted launch naar alleen Gen2 (niet-vertrouwde lancering) door securityType = Standard in te stellen met behulp van beschikbare client-tools (met uitzondering van Azure Portal).
Feedback op TLaD-preview
Neem contact met ons op met feedback, vragen of problemen met betrekking tot deze aanstaande wijziging via de standaardfeedback-enquête voor vertrouwde lancering.
TLaD-voorbeeld uitschakelen
Als u de TLaD-preview wilt uitschakelen, moet u de registratie van de preview-functie TrustedLaunchByDefaultPreview ongedaan maken onder naamruimte in Microsoft.Compute het abonnement van de virtuele machine. Zie De registratie van de preview-functie ongedaan maken voor meer informatie
Gerelateerde inhoud
Implementeer een vertrouwde start-VM.