Inicialização confiável para o Serviço Kubernetes do Azure (AKS)

O Trusted Launch melhora a segurança das máquinas virtuais (VMs) de 2ª geração, protegendo contra técnicas de ataque avançadas e persistentes. Permite que os administradores implantem nós AKS, que contêm as máquinas virtuais subjacentes, com carregadores de inicialização verificados e assinados, kernels do sistema operacional e drivers. Ao usar a inicialização segura e medida, os administradores obtêm informações e confiança sobre a integridade de toda a cadeia de inicialização.

Este artigo ajuda você a entender esse novo recurso e como implementá-lo.

Importante

Desde 30 de novembro de 2025, o Azure Kubernetes Service (AKS) já não suporta nem fornece atualizações de segurança para o Azure Linux 2.0. A imagem da máquina virtual do Azure Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens dos nós serão removidas e não conseguirá escalar os seus pools de nós. Migre para uma versão Azure Linux suportada atualizando os seus pools de nós para uma versão Kubernetes suportada ou migrando para o osSku AzureLinux3. Para obter mais informações, consulte [Desativação] Pools de nós do Azure Linux 2.0 no AKS.

Descrição geral

O Trusted Launch é composto por várias tecnologias de infraestrutura coordenadas que podem ser ativadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas.

vTPM - Trusted Launch apresenta uma versão virtualizada de um hardware Trusted Platform Module (TPM), compatível com a especificação TPM 2.0. Ele serve como um cofre seguro dedicado para chaves e medições. O Trusted Launch fornece à sua VM sua própria instância TPM dedicada, executada em um ambiente seguro fora do alcance de qualquer VM. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, OS, sistema e drivers). O Trusted Launch usa o vTPM para executar o atestado remoto pela nuvem. Ele é usado para verificações de integridade da plataforma e para tomar decisões baseadas em confiança. Como uma verificação de integridade, o Trusted Launch pode certificar criptograficamente que sua VM foi inicializada corretamente. Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender for Cloud emitirá alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Inicialização Segura - Na raiz do Trusted Launch está a Inicialização Segura para sua VM. Este modo, que é implementado no firmware da plataforma, protege contra a instalação de rootkits baseados em malware e kits de inicialização. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam inicializar. Ele estabelece uma "raiz de confiança" para a pilha de software na sua VM. Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. Tanto o Windows quanto as distribuições Linux selecionadas suportam a Inicialização Segura. Se a Inicialização Segura não conseguir autenticar uma imagem assinada por um editor confiável, a VM não terá permissão para inicializar. Para obter mais informações, consulte Arranque Seguro.

Antes de começar

A Azure CLI versão 2.66.0 ou posterior. Execute az --version para localizar a versão e execute az upgrade para atualizar a versão. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).

A Inicialização Segura requer carregadores de inicialização assinados, kernels do sistema operativo e controladores.

Limitações

O AKS suporta o Trusted Launch no kubernetes versão 1.25.2 e superior.
O Trusted Launch suporta apenas VMs da Geração 2 do Azure.
Não há suporte para pools de nós com o sistema operacional Windows Server.
A Inicialização Confiável não pode ser habilitada no mesmo pool de nós que FIPS,Arm64, Pod Sandboxing ou VM Confidencial. Para obter mais informações, consulte a documentação de imagens de nó.
O Trusted Launch não suporta nó virtual.
Não há suporte para conjuntos de disponibilidade, apenas conjuntos de escala de máquina virtual.
Para habilitar o Secure Boot em pools de nós de GPU, é necessário ignorar a instalação do driver de GPU. Para obter mais informações, consulte Ignorar instalação de driver da GPU.
Discos de SO efêmeros podem ser criados com inicialização confiável e todas as regiões são suportadas. No entanto, nem todos os tamanhos de máquinas virtuais são suportados. Para obter mais informações, consulte Tamanhos de SO efêmeros de inicialização confiáveis.
O Flatcar Container Linux for AKS não suporta o Trusted Launch no AKS.

Criar um cluster AKS com o Trusted Launch ativado

Ao criar um cluster, habilitar o vTPM ou a Inicialização Segura configura automaticamente seus pools de nós para usar a imagem de Inicialização Confiável personalizada. Esta imagem está especificamente configurada para suportar as funcionalidades de segurança ativadas pelo Trusted Launch.

Crie um cluster AKS usando o comando az aks create . Antes de executar o comando, revise os seguintes parâmetros:
- --name: Insira um nome exclusivo para o cluster AKS, como myAKSCluster.
- --resource-group: Insira o nome de um grupo de recursos existente para hospedar o recurso de cluster AKS.
- --enable-secure-boot: Permite que a Inicialização Segura autentique uma imagem assinada por um editor confiável.
- --enable-vtpm: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
Nota

A Inicialização Segura requer carregadores de inicialização assinados, kernels do sistema operativo e controladores. Se, depois de habilitar a Inicialização Segura, seus nós não iniciarem, você poderá verificar quais componentes de inicialização são responsáveis por falhas na Inicialização Segura em uma Máquina Virtual Linux do Azure. Consulte verificar falhas de Inicialização Segura.

O exemplo a seguir cria um cluster chamado myAKSCluster com um nó no myResourceGroup e habilita a Inicialização Segura e o vTPM:
```
az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-count 1 \
    --enable-secure-boot \
    --enable-vtpm \
    --generate-ssh-keys
```
Execute o seguinte comando para obter credenciais de acesso para o cluster Kubernetes. Use o comando az aks get-credentials e substitua os valores do nome do cluster e do nome do grupo de recursos.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Crie um modelo com parâmetros de inicialização confiável. Antes de criar o modelo, revise os seguintes parâmetros:
- enableSecureBoot: Permite que a Inicialização Segura autentique uma imagem assinada por um editor confiável.
- enableVTPM: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
No modelo, forneça valores para enableVTPM e enableSecureBoot. O mesmo esquema usado para a implantação da Microsoft.ContainerService/managedClusters/agentPools CLI existe na definição em "properties", conforme mostrado no exemplo a seguir:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implante seu modelo com vTPM e inicialização segura habilitados em seu cluster. Consulte Implantar um cluster AKS usando um modelo ARM para obter instruções detalhadas.

Adicionar um pool de nós com a Inicialização Confiável habilitada

Quando você cria um pool de nós, habilitar o vTPM ou a Inicialização Segura configura automaticamente os pools de nós para usar a imagem personalizada de Início Confiável. Esta imagem está especificamente configurada para suportar as funcionalidades de segurança ativadas pelo Trusted Launch.

Adicione um pool de nós com a Inicialização Confiável habilitada usando o az aks nodepool add comando. Antes de executar o comando, revise os seguintes parâmetros:
- --cluster-name: Insira o nome do cluster AKS.
- --resource-group: Insira o nome de um grupo de recursos existente para hospedar o recurso de cluster AKS.
- --name: insira um nome exclusivo para o pool de nós. O nome de um pool de nós só pode conter caracteres alfanuméricos minúsculos e deve começar com uma letra minúscula. Para pools de nós Linux, o comprimento deve estar entre 1 e 11 caracteres.
- --node-count: O número de nós no pool de agentes do Kubernetes. O valor padrão é 3.
- --enable-secure-boot: Permite que a Inicialização Segura autentique imagens assinadas por um editor confiável.
- --enable-vtpm: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
Nota

A Inicialização Segura requer carregadores de inicialização assinados, kernels do sistema operativo e controladores. Se, depois de habilitar a Inicialização Segura, seus nós não iniciarem, você poderá verificar quais componentes de inicialização são responsáveis por falhas na Inicialização Segura em uma Máquina Virtual Linux do Azure. Consulte verificar falhas de Inicialização Segura.

O exemplo a seguir implanta um pool de nós com vTPM e Inicialização Segura habilitados em um cluster chamado myAKSCluster com três nós:
```
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
```
Verifique se o pool de nós está usando uma imagem de inicialização confiável.

Os nós de inicialização confiáveis têm a seguinte saída:
- Versão da imagem do nó contendo "TL", como "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" deverá ser "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```

Crie um modelo com parâmetros de inicialização confiável. Antes de criar o modelo, revise os seguintes parâmetros:
- enableSecureBoot: Permite que a Inicialização Segura autentique uma imagem assinada por um editor confiável.
- enableVTPM: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
No modelo, forneça valores para enableVTPM e enableSecureBoot. O mesmo esquema usado para a implantação da Microsoft.ContainerService/managedClusters/agentPools CLI existe na definição em "properties", conforme mostrado no exemplo a seguir:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implante seu modelo com vTPM e inicialização segura habilitados em seu cluster. Consulte Implantar um cluster AKS usando um modelo ARM para obter instruções detalhadas.

Habilite o vTPM ou a inicialização segura em um pool de nós de inicialização confiável existente

Você pode atualizar um pool de nós de Inicialização Confiável existente para habilitar o vTPM ou a inicialização segura. Os seguintes cenários são suportados:

Ao criar um pool de nós, você especifica --enable-secure-bootapenas , você pode executar o comando update para --enable-vtpm
Ao criar um pool de nós, você especifica --enable-vtpmapenas , você pode executar o comando update para --enable-secure-boot

Se o pool de nós não tiver uma imagem de inicialização confiável no momento, você não poderá atualizar o pool de nós para habilitar a inicialização segura ou o vTPM.

Verifique se o pool de nós está usando uma imagem de inicialização confiável.

Os nós de inicialização confiáveis têm a seguinte saída:
- Versão da imagem do nó contendo "TL", como "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" deverá ser "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Se o pool de nós não tiver uma imagem de inicialização confiável no momento, você não poderá atualizar o pool de nós para habilitar a inicialização segura ou o vTPM.
Atualize um pool de nós com a Inicialização Confiável habilitada usando o az aks nodepool update comando. Antes de executar o comando, revise os seguintes parâmetros:
- --resource-group: Digite o nome de um grupo de recursos existente que hospeda seu cluster AKS existente.
- --cluster-name: Insira um nome exclusivo para o cluster AKS, como myAKSCluster.
- --name: Introduza o nome do seu pool de nós, como mynodepool.
- --enable-secure-boot: Permite que a Inicialização Segura autentique que a imagem foi assinada por um editor confiável.
- --enable-vtpm: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
Nota

A Inicialização Segura requer carregadores de inicialização assinados, kernels do sistema operativo e controladores. Se, depois de habilitar a Inicialização Segura, seus nós não iniciarem, você poderá verificar quais componentes de inicialização são responsáveis por falhas na Inicialização Segura em uma Máquina Virtual Linux do Azure. Consulte verificar falhas de Inicialização Segura.

O exemplo a seguir atualiza o pool de nós mynodepool no myAKSCluster no myResourceGroup e habilita o vTPM. Nesse cenário, a inicialização segura foi habilitada durante a criação do pool de nós:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
```
O exemplo a seguir atualiza o pool de nós mynodepool no myAKSCluster no myResourceGroup e habilita a inicialização segura. Nesse cenário, o vTPM foi habilitado durante a criação do pool de nós:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
```

Verifique se o pool de nós está usando uma imagem de inicialização confiável.

Os nós de inicialização confiáveis têm a seguinte saída:
- Versão da imagem do nó contendo "TL", como "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" deverá ser "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Se o pool de nós não tiver uma imagem de inicialização confiável no momento, você não poderá atualizar o pool de nós para habilitar a inicialização segura ou o vTPM.
Crie um modelo com parâmetros de inicialização confiável. Antes de criar o modelo, revise os seguintes parâmetros:
- enableSecureBoot: Permite que a Inicialização Segura autentique uma imagem assinada por um editor confiável.
- enableVTPM: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
No modelo, forneça valores para enableVTPM e enableSecureBoot. O mesmo esquema usado para a implantação da Microsoft.ContainerService/managedClusters/agentPools CLI existe na definição em "properties", conforme mostrado no exemplo a seguir:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implante seu modelo com vTPM e inicialização segura habilitados em seu cluster. Consulte Implantar um cluster AKS usando um modelo ARM para obter instruções detalhadas.

Atribua pods a nós com a Inicialização Confiável ativada

Você pode restringir um pod e restringi-lo para ser executado em um nó ou nós específicos, ou preferir a nós com a Inicialização Confiável habilitada. Você pode controlar isso usando o seguinte seletor de conjunto de nós no manifesto do pod.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

Desativar o vTPM ou a inicialização segura em um pool de nós de inicialização confiável existente

Você pode atualizar um pool de nós existente para desabilitar o vTPM ou a inicialização segura. Quando isso ocorrer, você ainda permanecerá na imagem de inicialização confiável. Você pode reativar o vTPM ou a inicialização segura a qualquer momento atualizando seu pool de nós.

Atualize um pool de nós para desabilitar a inicialização segura ou vTPM usando o az aks nodepool update comando. Antes de executar o comando, revise os seguintes parâmetros:

--resource-group: Digite o nome de um grupo de recursos existente que hospeda seu cluster AKS existente.
--cluster-name: Insira um nome exclusivo para o cluster AKS, como myAKSCluster.
--name: Introduza o nome do seu pool de nós, como mynodepool.
--enable-secure-boot: Permite que a Inicialização Segura autentique que a imagem foi assinada por um editor confiável.
--enable-vtpm: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.

Para desabilitar o vTPM em um pool de nós existente:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Para desativar a inicialização segura em um pool de nós existente:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot

Crie um modelo com parâmetros de inicialização confiável. Antes de criar o modelo, revise os seguintes parâmetros:
- enableSecureBoot: Permite que a Inicialização Segura autentique uma imagem assinada por um editor confiável.
- enableVTPM: habilita o vTPM e executa o atestado medindo toda a cadeia de inicialização da sua VM.
No modelo, forneça valores para enableVTPM e enableSecureBoot. O mesmo esquema usado para a implantação da Microsoft.ContainerService/managedClusters/agentPools CLI existe na definição em "properties", conforme mostrado no exemplo a seguir:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "false",
        "enableSecureBoot": "false",
    }
}
```
Implante seu modelo com vTPM e inicialização segura desabilitada em seu cluster. Consulte Implantar um cluster AKS usando um modelo ARM para obter instruções detalhadas.

Próximos passos

Neste artigo, você aprendeu como habilitar o Trusted Launch. Saiba mais sobre o Trusted Launch.

Feedback

Esta página foi útil?

Last updated on 2025-08-14