Säkra Dina Azure VMs med Trusted Launch som just blivit GA: Det du behöver veta
Trusted Launch ar en sakerhetsfunktion for Gen2 Azure-VM:ar som skyddar mot attacker pa boot-niva. Den lagger till Secure Boot, en virtuell TPM (vTPM) och boot integrity monitoring till dina virtuella maskiner.
Vad det faktiskt gor
Trusted Launch har tre komponenter som samverkar:
Secure Boot verifierar att bara signerade boot loaders och OS-karnor far koras. Detta forhindrar rootkits och bootkits fran att laddas innan operativsystemet startar.
vTPM (Virtual Trusted Platform Module) tillhandahaller ett hardvarubundet lager for nycklar, certifikat och hemligheter. Den mater aven boot-processen och skapar en fortroendekedja fran firmware genom OS-karnan.
Boot Integrity Monitoring anvander Microsoft Defender for Cloud for att validera att din VM:s boot-sekvens inte har manipulerats. Om en boot-komponent misslyckas med attestation far du en avisering.
Vilka VM:ar stods
Trusted Launch fungerar med de flesta Gen2 VM-storlekar, inklusive:
- D-serien, E-serien, F-serien, M-serien
- Bade Linux (Ubuntu, RHEL, SLES, Debian) och Windows Server
- Flexible och Uniform scale sets
Huvudkravet: VM:en maste skapas som Gen2. Du kan inte lagga till Trusted Launch pa en befintlig Gen1-VM.
Kontrollera dina befintliga VM:ar
Innan du planerar nagra forandringar, se vad du har:
VM:ar utan securityProfile eller med securityType: null ar standard-VM:ar. De behover aterskapas for att fa Trusted Launch.
Deploya en ny VM med Trusted Launch
Azure CLI
Bicep
Migrationsplan for befintliga VM:ar
Eftersom Trusted Launch kraver Gen2-VM:ar och inte kan aktiveras i eftehand innebar migrering av befintliga VM:ar:
- Ta en snapshot av nuvarande OS- och datadiskar
- Skapa en ny Gen2-VM med Trusted Launch aktiverat
- Koppla de snapshotade diskarna (de maste vara kompatibla med Gen2)
- Verifiera att VM:en startar korrekt och klarar attestation
For VM:ar som kor Gen1-images kan du behova konvertera disken till Gen2-format forst, vilket inte alltid ar rakt pa beroende pa OS och boot-konfiguration.
Aktivera Boot Integrity Monitoring
Efter att ha deployat Trusted Launch-VM:ar, installera Guest Attestation-tillaget for att aktivera boot integrity monitoring i Defender for Cloud:
Detta rapporterar boot integrity-status till Defender for Cloud, dar du kan konfigurera aviseringar for misslyckad attestation.
Planerar du att rulla ut Trusted Launch over din Azure-miljo eller behover hjalp med migreringsstrategin fran Gen1 till Gen2? Vara konsulter pa MADIT jobbar med detta regelbundet. Kontakta oss for att diskutera din miljo.
