Implantar uma máquina virtual com o Início confiável habilitado

1. Entre no Portal do Azure.

2. Procure máquinas virtuais.

3. Em Serviços, selecione Máquinas virtuais.

4. Na página Máquinas virtuais, selecione Adicionar e, em seguida, Máquina virtual.

5. Em Detalhes do projeto, verifique se a assinatura correta está selecionada.

6. Em Grupo de recursos, selecione Criar. Insira um nome para o seu grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.

7. Em Detalhes da instância, insira um nome para a VM e escolha uma região que ofereça suporte aoInício confiável.

8. Para o Tipo de segurança, selecione Máquinas virtuais de Início Confiável. Quando as opções Inicialização segura, vTPM e Monitoramento de Integridade aparecerem, selecione as opções apropriadas para sua implantação. Para obter mais informações, confira Recursos de segurança habilitados para início confiável.

   

9. Em Imagem, selecione uma imagem das Imagens recomendadas da Gen 2 compatíveis com o Início Confiável. Para uma lista, consulte Início Confiável.

   Dica

   Se você não encontrar a versão Gen2 da imagem que deseja na lista suspensa, selecione Ver todas as imagens. Em seguida, altere o filtro Tipo de segurança para Início Confiável.

10. Selecione um tamanho de VM que ofereça suporte ao Início Confiável. Para obter mais informações, consulte a lista de Tamanhos com suporte.

11. Preencha as informações de conta do administrador e as regras de porta de entrada.

12. Na parte inferior da página, selecione Revisar + criar.

13. Na página Criar uma máquina virtual, veja as informações sobre a VM que está prestes a implantar. Quando a validação for aprovada, selecione Criar.

Levará alguns minutos para que sua VM seja implantada.

Verifique se você está executando a versão mais recente da CLI do Azure.

1. Entrar no Azure usando az login.

   az login 
   

2. Crie uma VM com Início Confiável.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. Para VMs existentes, você pode habilitar ou desabilitar as configurações de inicialização e vTPM de segurança. A atualização da VM com as configurações de inicialização segura e vTPM aciona a reinicialização automática.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

Para obter mais informações sobre como instalar o monitoramento de integridade de inicialização pela extensão Atestado de Convidado, consulte Integridade de Inicialização.

Para provisionar uma VM com Início Confiável, primeiro ela precisa ser habilitada com o parâmetroTrustedLaunch usando o cmdlet Set-AzVmSecurityProfile. Em seguida, você pode usar o cmdlet Set-AzVmUefi para definir as configurações de vTPM e da Inicialização Segura. Use o snippet a seguir como um início rápido. Lembre-se de substituir os valores neste exemplo pelos seus próprios.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Você pode implantar VMs de Início Confiável usando um modelo de início rápido.

Linux

Windows

1. Entre no Portal do Azure.
2. Na barra de pesquisa, pesquise e selecione Versões de imagem de VM.
3. Na página de versões de imagem da VM, selecione Criar.
4. Na página Criar versão da imagem da VM, na guia Noções básicas:
   1. Selecione a Assinatura do Azure.
   2. selecione um grupo de recursos existente ou crie um grupo de recursos.
   3. Selecione uma região do Azure.
   4. Insira um número de versão da imagem.
   5. Em Origem, selecione Blobs de armazenamento (VHD) ou Imagem gerenciada ou outra Versão da imagem da VM.
   6. Se você selecionou Blobs de Armazenamento (VHD), insira um VHD de disco do sistema operacional (sem o estado convidado da VM). Certifique-se de usar um VHD Gen 2.
   7. Se você selecionou a Imagem Gerenciada, selecione uma imagem gerenciada existente de uma VM Gen 2.
   8. Se você selecionou Versão da imagem da VM, selecione uma versão da imagem da galeria existente de uma VM Gen2.
   9. Para a galeria de computação do Azure de destino, selecione ou crie uma galeria para compartilhar a imagem.
   10. Para o estado do sistema operacional, selecione Generalizado ou Especializado, dependendo do caso de uso. Se você estiver usando uma imagem gerenciada como a origem, sempre selecione Generalizado. Se você estiver usando um VHD (blob de armazenamento) e quiser selecionar Generalizado, siga as etapas para generalizar um VHD do Linux ou generalizar um VHD do Windows antes de continuar. Se você estiver usando uma versão de imagem de VM existente, selecione Generalizada ou Especializada com base no que é usado na definição da imagem de VM de origem.
   11. Para a definição de imagem de VM de destino, selecione Criar novo.
   12. No painel Criar uma definição de imagem de VM, insira um nome para a definição. Verifique se o tipo de segurança está definido para Início confiável com suporte. Forneça as informações de editor, oferta e SKU. Depois, selecione OK.
5. Na guia Replicação, insira o número de réplicas e regiões de destino para replicação da imagens, se necessário.
6. Na guia Criptografia, insira as informações relacionadas à criptografia SSE, se necessário.
7. Selecione Examinar + criar.
8. Depois que a configuração for validada com êxito, selecione Criar para concluir a criação da imagem.
9. Depois que a versão da imagem for criada, selecione Criar VM.
10. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo. Insira um nome para o seu grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
11. Em Detalhes da instância, insira um nome para a VM e escolha uma região que ofereça suporte aoInício confiável.
12. Para o Tipo de segurança, selecione Máquinas virtuais de Início Confiável. As caixas de seleção Inicialização Segura e vTPM estão habilitadas por padrão.
13. Preencha as informações de conta do administrador e as regras de porta de entrada.
14. Na página de validação, examine os detalhes da VM.
15. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Verifique se você está executando a versão mais recente da CLI do Azure.

1. Entrar no Azure usando az login.

   az login 
   

2. Criar uma definição de imagem com tipo de segurança TrustedLaunchSupported.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. Use um VHD de disco do sistema operacional para criar uma versão de imagem. Verifique se o VHD do Linux foi generalizado antes de carregá-lo em um blob de conta de Armazenamento do Azure usando as etapas em Preparar o Linux para geração de imagens no Azure.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. Crie uma VM de Início Confiável a partir da versão de imagem anterior.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

1. Criar uma definição de imagem com tipo de segurança TrustedLaunchSupported.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Para criar uma versão de imagem, você pode usar uma versão existente de Imagem da Galeria Gen2, que foi generalizada durante a criação.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Crie uma VM de Início Confiável a partir da versão de imagem anterior.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

1. Entre no Portal do Azure.
2. Para criar uma Imagem da Galeria de Computação do Azure a partir de uma VM, abra uma VM de Início Confiável existente e selecione Capturar.
3. Na página Criar uma Imagem, permita que a imagem seja compartilhada na galeria como uma versão de imagem de VM. A criação de imagens gerenciadas não é compatível com VMs com Início Confiável.
4. Crie uma galeria de computação do Azure de destino ou selecione uma galeria existente.
5. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar a VM para remover informações específicas do computador antes de selecionar essa opção. Se a criptografia baseada em Bitlocker estiver habilitada em sua VM Windows com Início Confiável, talvez você não consiga generalizá-la.
6. Crie uma nova definição de imagem fornecendo um nome, um distribuidor, uma oferta e detalhes de SKU. Tipo de segurança da definição de imagem já está definido como Início confiável.
7. Forneça um número de versão para a imagem.
8. Modifique as opções de replicação, se necessário.
9. Na parte inferior da página Criar uma imagem, selecione Avaliar + criar. Quando a validação for aprovada, selecione Criar.
10. Depois que a versão da imagem for criada, vá diretamente para a versão da imagem. Como alternativa, você pode ir até a versão da imagem necessária por meio da definição de imagem.
11. Na página de versão da imagem da VM, selecione + Criar VM para acessar a página Criar uma máquina virtual.
12. Na página Criar uma máquina virtual, em Grupo de recursos, selecione Criar novo. Insira um nome para o seu grupo de recursos ou selecione um grupo de recursos existente na lista suspensa.
13. Em Detalhes da instância, insira um nome para a VM e escolha uma região que ofereça suporte aoInício confiável.
14. A imagem e o tipo de segurança já estão preenchidos com base na versão da imagem selecionada. As caixas de seleção Inicialização Segura e vTPM estão habilitadas por padrão.
15. Preencha as informações de conta do administrador e as regras de porta de entrada.
16. Na parte inferior da página, selecione Revisar + criar.
17. Na página de validação, examine os detalhes da VM.
18. Depois que a validação for bem-sucedida, selecione Criar para concluir a criação da VM.

Caso deseje usar um disco gerenciado ou um instantâneo de disco gerenciado como uma origem da versão da imagem (em vez de uma VM de Início Confiável), siga as etapas a seguir.

1. Entre no Portal do Azure.
2. Pesquise por Versões da Imagem de VM e selecione Criar.
3. Forneça a assinatura, o grupo de recursos, a região e o número de versão da imagem.
4. Selecione a origem como Discos e/ou Instantâneos.
5. Selecione o disco do sistema operacional como um disco gerenciado ou um instantâneo de disco gerenciado na lista suspensa.
6. Selecione uma Galeria de Computação do Azure de Destino para criar e compartilhar a imagem. Se nenhuma galeria existir, crie uma.
7. Selecione o estado do sistema operacional como Generalizado ou Especializado. Se quiser criar uma imagem generalizada, certifique-se de generalizar o disco ou o instantâneo para remover informações específicas do computador.
8. Para a Definição da Imagem da VM de Destino, selecione Criar novo. Na janela que é aberta, selecione um nome de definição de imagem e verifique se o Tipo de segurança está definido como Início confiável. Forneça as informações de editor, oferta e SKU e selecione OK.
9. A guia Replicação pode ser usada para definir a contagem de réplicas e as regiões de destino para replicação da imagem, se necessário.
10. A guia Criptografia também pode ser usada para fornecer informações relacionadas à criptografia SSE, se necessário.
11. Selecione Criar na guia Avaliar + criar para criar a imagem.
12. Quando a versão da imagem for criada com êxito, selecione + Criar VM para acessar a página Criar uma máquina virtual.
13. Siga as etapas de 12 a 18, conforme mencionado anteriormente, para criar uma VM de Início Confiável usando esta versão de imagem.

Verifique se você está executando a versão mais recente da CLI do Azure.

1. Entrar no Azure usando az login.

   az login 
   

2. Criar uma definição de imagem com tipo de segurança TrustedLaunch.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. Para criar uma versão da imagem, você pode capturar uma VM de Início Confiável baseada em Linux. Generalize a VM de Início Confiável antes de criar a versão da imagem.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   Caso um disco gerenciado ou um instantâneo de disco gerenciado precise ser usado como fonte de imagem para a versão da imagem, substitua --managed-image no comando acima por --os-snapshot e forneça o nome do disco ou do recurso de instantâneo.

4. Crie uma VM de Início Confiável a partir da versão de imagem anterior.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

1. Criar uma definição de imagem com tipo de segurança TrustedLaunch.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Para criar uma versão da imagem, você pode capturar uma VM de Início Confiável baseada em Windows. Generalize a VM de Início Confiável antes de criar a versão da imagem.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Crie uma VM de Início Confiável a partir da versão de imagem anterior.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm