启动完整性监视概述

项目
01/09/2024

为了帮助受信任启动更好地抵御对虚拟机的恶意 rootkit 攻击，可使用通过 Azure 证明 (MAA) 终结点的来宾证明来监视启动序列的完整性。此证明对于验证平台的状态至关重要。如果 Azure 受信任虚拟机已启用安全启动和 vTPM，并且安装了证明扩展，则 Microsoft Defender for Cloud 会验证 VM 的状态和启动完整性是否已正确设置。若要详细了解 MDC 集成，请参阅与 Microsoft Defender for Cloud 的受信任启动集成。

先决条件

活动 Azure 订阅 + 受信任启动虚拟机

启用完整性监视

登录 Azure 门户。
选择资源（虚拟机）。
在“设置”下，选择“配置”。在安全类型面板中，选择“完整性监视”。
保存更改。

现在，在虚拟机概述页下，完整性监视的安全类型应该为已启用。

这将安装来宾证明扩展，可以通过“扩展 + 应用程序”选项卡中的设置来引用该扩展。

可以使用快速入门模板为受信任启动 VM 部署来宾证明扩展：

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}

通过初始部署受信任启动虚拟机，创建具有安全启动 + vTPM 功能的受信任启动虚拟机。使用 (--enable_integrity_monitoring) 部署来宾证明扩展。虚拟机所有者 (az vm create) 可自定义虚拟机的配置。
对于现有 VM，可以通过更新来启用启动完整性监视设置，以确保已启用完整性监视 (--enable_integrity_monitoring)。

注意

需要对来宾证明扩展进行显式配置。

来宾证明扩展安装故障排除指南

症状

当客户设置网络安全组或代理时，Azure 证明扩展将无法正常工作。出现类似于“Microsoft.Azure.Security.WindowsAttestation.GuestAttestation 预配失败”的错误。

解决方案

在 Azure 中，网络安全组 (NSG) 用于帮助过滤 Azure 资源之间的网络流量。 NSG 包含安全规则，这些规则可允许或拒绝多种 Azure 资源的入站或出站网络流量。对于 Azure 证明终结点，它应该能够与来宾证明扩展进行通信。如果没有此终结点，受信任启动将无法访问来宾证明，后者可让 Microsoft Defender for Cloud 监视虚拟机启动序列的完整性。

若要使用包含服务标记的 NSG 来取消阻止流量，请为 Azure 证明设置允许规则。

导航到要允许出站流量的虚拟机。
在左侧边栏中的“网络”下，选择“网络设置”选项卡。
然后选择“创建端口规则”和“添加出站端口规则”。
若要允许 Azure 证明，请将目标设置为“服务标记”。这允许更新 IP 地址范围，并自动为 Azure 证明设置允许规则。目标服务标记为 AzureAttestation，并且操作设置为“允许”。

注意

用户可以配置其源类型、服务、目标端口范围、协议、优先级和名称。

此服务标记是一个全局终结点，可取消阻止任何区域中的 Azure 证明流量。

后续步骤

详细了解受信任启动和部署受信任的虚拟机。

Share via