部署已启用受信任启动的虚拟机

适用于:✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集。

受信任启动是一种提高第 2 代虚拟机 (VM) 安全性的方法。 受信任启动通过组合虚拟的受信任的平台模块 (vTPM) 和安全启动之类的基础结构技术来防范高级攻击和持续性攻击方法。

先决条件

  • 我们建议你订阅 Microsoft Defender for Cloud(如果尚未订阅它)。 Defender for Cloud 有一个免费层,该层为各种 Azure 资源和混合资源提供有用的见解。 由于缺少 Defender for Cloud,受信任启动 VM 用户无法监视 VM 的启动完整性

  • 将 Azure 策略计划分配到订阅。 只需为每个订阅分配一次策略计划。 策略将有助于部署受信任启动 VM 并针对其进行审核,同时在所有受支持的 VM 上自动安装所有必需的扩展。

    • 配置受信任启动 VM 的内置策略计划
    • 配置先决条件以在启用了受信任启动的 VM 上启用来宾证明。
    • 配置计算机,以在 VM 上自动安装 Azure Monitor 和 Azure 安全代理。
  • 允许网络安全组出站规则中的服务标记 AzureAttestation,以允许 Azure 证明的流量。 有关详细信息,请参阅虚拟网络服务标记

  • 确保防火墙策略允许访问 *.attest.chinacloudapi.cn

注意

如果你使用的是 Linux 映像并预计 VM 可能有未签名的或未由 Linux 发行版供应商签名的内核驱动程序,则可能需要考虑关闭安全启动。 在 Azure 门户中的“创建虚拟机”页上(已针对 Security type 参数选中“受信任启动虚拟机”),选择“配置安全功能”并清除“启用安全启动”复选框。 在 Azure CLI、PowerShell 或 SDK 中,将安全启动参数设置为 false

部署受信任启动 VM

创建启用了受信任启动的 VM。 选择以下选项之一:

  1. 登录 Azure 门户

  2. 搜索“虚拟机”。

  3. 在“服务”下,选择“虚拟机” 。

  4. 在“虚拟机”页上选择“添加”,然后选择“虚拟机”

  5. 在“项目详细信息”下,确保选择了正确的订阅。

  6. 在“资源组”下,选择“新建”。 输入资源组的名称或从下拉列表中选择一个现有资源组。

  7. 在“实例详细信息”下,输入一个名称作为 VM 名称,并选择一个支持受信任启动的区域

  8. 对于“安全类型”,请选择“受信任启动虚拟机”。 当出现“安全启动”、“vTPM”和“完整性监视”选项时,请选择适合你的部署的选项。 有关详细信息,请参阅已启用受信任启动的安全功能

    屏幕截图显示受信任启动的选项。

  9. 在“映像”下,从“推荐的与受信任启动兼容的第 2 代映像”中选择一个映像。 有关列表,请参阅受信任启动

    提示

    如果下拉列表中未显示所需的 Gen2 版本映像,请选择“查看所有映像”。 然后将“安全类型”筛选器更改为“受信任启动”。

  10. 选择支持受信任启动的 VM 大小。 有关详细信息,请参阅支持的大小的列表。

  11. 填写“管理员帐户”信息,然后填写“入站端口规则”。

  12. 在页面底部,选择“查看 + 创建”

  13. 在“创建虚拟机”页上,可以查看有关要部署的 VM 的信息。 在验证显示为通过后,选择“创建”

屏幕截图显示验证页,其中包含受信任启动选项。

部署 VM 需要几分钟。

Azure 受信任启动 VM 支持使用 Azure Compute Gallery 创建和共享自定义映像。 可以根据映像的安全类型创建两种类型的映像:

受信任启动 VM 支持的映像

对于以下映像源,映像定义上的安全类型应设置为 TrustedLaunchsupported

  • Gen2 操作系统 (OS) 磁盘 VHD
  • Gen2 托管映像
  • Gen2 Gallery 映像版本

映像源中不能包含任何 VM 来宾状态信息。

可以使用生成的映像版本创建 Azure Gen2 VM 或受信任启动 VM。

注意

OS 磁盘 VHD、托管映像或 Gallery 映像版本应从与受信任启动 VM 兼容的 Gen2 映像创建。

  1. 登录到 Azure 门户
  2. 在搜索栏中搜索并选择“VM 映像版本”
  3. 在“VM 映像版本”页上,选择“创建”。
  4. 在“创建 VM 映像版本”页上的“基本信息”选项卡上:
    1. 选择 Azure 订阅。
    2. 选择现有资源组或创建新资源组。
    3. 选择 Azure 区域。
    4. 输入映像版本号。
    5. 对于“源”,请选择“存储 Blob (VHD)”或“托管映像”,或选择其他“VM 映像版本”
    6. 如果选择“存储 Blob (VHD)”,请输入 OS 磁盘 VHD(不包含 VM 来宾状态)。 请确保使用 Gen2 VHD。
    7. 如果选择了“托管映像”,请选择 Gen2 VM 的现有托管映像。
    8. 如果选择了“VM 映像版本”,请选择 Gen2 VM 的现有 Gallery 映像版本。
    9. 对于“目标 Azure Compute Gallery”,选择或创建用于共享映像的库。
    10. 对于“操作系统状态”,选择“通用”或“专用”,具体取决于你的用例。 如果使用托管映像作为源,请始终选择“通用”。 如果使用存储 blob (VHD) 且想要选择“通用”,请按照步骤通用化 Linux VHD通用化 Windows VHD,然后再继续操作。 如果你使用的是现有 VM 映像版本,请根据源 VM 映像定义中使用的内容选择“通用”或“专用”
    11. 对于“目标 VM 映像定义”,选择“新建”。
    12. 在“创建 VM 映像定义”窗格中,输入定义的名称。 确保安全类型设置为“支持 Trustedlaunch”。 输入发布者、产品/服务和 SKU 信息。 然后选择确定
  5. 在“复制”选项卡上,根据需要输入映像复制的副本计数和目标区域。
  6. 在“加密”选项卡上,根据需要输入与 SSE 加密相关的信息。
  7. 选择“查看 + 创建” 。
  8. 成功验证配置后,选择“创建”以完成映像创建。
  9. 创建映像版本后,选择“创建 VM”。
  10. 在“创建虚拟机”页的“资源组”下,选择“新建”。 输入资源组的名称或从下拉列表中选择一个现有资源组。
  11. 在“实例详细信息”下,输入一个名称作为 VM 名称,并选择一个支持受信任启动的区域
  12. 对于“安全类型”,请选择“受信任启动虚拟机”。 默认情况下启用“安全启动”和“vTPM”复选框。
  13. 填写“管理员帐户”信息,然后填写“入站端口规则”。
  14. 在验证页上,查看 VM 的详细信息。
  15. 验证成功后,选择“创建”以完成 VM 创建。

受信任启动 VM 映像

对于以下映像源,映像定义上的安全类型应设置为 TrustedLaunch

  • 受信任启动 VM 捕获
  • 托管 OS 磁盘
  • 托管 OS 磁盘快照

只能使用生成的映像版本来创建 Azure 受信任启动 VM。

  1. 登录 Azure 门户
  2. 若要从 VM 创建 Azure Compute Gallery 映像,请打开现有的受信任启动 VM 并选择“捕获”
  3. 在“创建映像”页上,允许将该映像作为 VM 映像版本共享到库。 不支持为受信任启动 VM 创建托管映像。
  4. 创建新的目标 Azure Compute Gallery 或选择现有库。
  5. 将“操作系统状态”选择为“通用”或者“专用”。 若要创建通用映像,请确保在选择此选项之前对 VM 进行通用化操作以删除特定于计算机的信息。 如果在受信任启动 Windows VM 上启用了基于 Bitlocker 的加密,则可能无法对同一 VM 进行通用化操作。
  6. 通过提供名称、发布者、产品/服务和 SKU 详细信息创建新的映像定义。 映像定义的“安全类型”应已设置为“受信任启动”
  7. 提供映像版本的版本号。
  8. 如果有必要,请修改复制选项。
  9. 在“创建映像”页底部,选择“查看 + 创建”。 在验证显示为通过后,选择“创建”
  10. 创建映像版本后,直接转到映像版本。 也可通过映像定义转到所需的映像版本。
  11. 在“VM 映像版本”页上,选择“+ 创建 VM”以转到“创建虚拟机”页。
  12. 在“创建虚拟机”页的“资源组”下,选择“新建”。 输入资源组的名称或从下拉列表中选择一个现有资源组。
  13. 在“实例详细信息”下,输入一个名称作为 VM 名称,并选择一个支持受信任启动的区域
  14. 已根据所选映像版本填充映像和安全类型。 默认情况下启用“安全启动”和“vTPM”复选框。
  15. 填写“管理员帐户”信息,然后填写“入站端口规则”。
  16. 在页面底部,选择“查看 + 创建”
  17. 在验证页上,查看 VM 的详细信息。
  18. 验证成功后,选择“创建”以完成 VM 创建。

若要使用托管磁盘或托管磁盘快照作为映像版本的源(而不使用受信任启动 VM),请按照以下步骤操作。

  1. 登录到 Azure 门户
  2. 搜索“VM 映像版本”并选择“创建”
  3. 提供订阅、资源组、区域和映像版本号。
  4. 选择“磁盘和/或快照”作为源。
  5. 从下拉列表中选择 OS 磁盘作为托管磁盘或托管磁盘快照。
  6. 选择目标 Azure Compute Gallery 以创建和共享映像。 如果没有库,新建一个。
  7. 将“操作系统状态”选择为“通用”或者“专用”。 若要创建通用映像,请确保对磁盘或快照进行通用化操作以删除特定于计算机的信息。
  8. 对于“目标 VM 映像定义”,请选择“新建”。 在打开的窗口中,选择映像定义名称并确保“安全类型”设置为“受信任启动”。 提供发布者、套餐和 SKU 信息,然后选择“确定”
  9. 如果需要,可以使用“复制”选项卡设置映像复制的副本数和目标区域。
  10. 还可视需要将“加密”选项卡用于提供与 SSE 加密相关的信息。
  11. 在“查看 + 创建”选项卡上选择“创建”以创建映像。
  12. 在成功创建映像版本后,选择“+ 创建 VM”以转到“创建虚拟机”页。
  13. 执行前面提到的步骤 12 到 18,以使用该映像版本创建受信任启动 VM。

受信任启动内置策略

为了帮助用户采用受信任启动,可以使用 Azure 策略来帮助资源所有者采用受信任启动。 主要目标是帮助转换具有受信任启动功能的第 1 代和第 2 代 VM。

“虚拟机应启用受信任启动”单一策略检查 VM 当前是否启用了受信任启动安全配置。 “受信任启动支持的磁盘和 OS”策略会检查先前创建的 VM 是否具有适用的第 2 代 OS 和 VM 大小以部署受信任启动 VM。

这两项策略共同构成了受信任启动策略计划。 该计划使你能够对多个相关的策略定义进行分组,以简化用于包括受信任启动配置的分配和管理资源。

要了解详细信息并开始部署,请参阅受信任启动内置策略


验证或更新设置

对于启用了受信任启动的已创建 VM,你可以在 Azure 门户中转到 VM 的“概述”页来查看受信任启动配置。 “属性”选项卡显示受信任启动功能的状态。

屏幕截图显示 VM 的受信任启动属性。

若要更改受信任启动配置,请在左侧菜单上的“设置”下选择“配置”。 在“安全类型”部分,可以启用或禁用“安全启动”、“vTPM”和“完整性监视”。 完成操作后,选择页面顶部的“保存”

屏幕截图显示用于更改受信任启动设置的复选框。

如果 VM 正在运行,你会收到一条消息,指出 VM 将重启。 选择“是”,然后等待 VM 重启,使更改生效。

详细了解受信任启动启动完整性监视 VM。