Avvio attendibile per le macchine virtuali di Azure
Si applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi
Azure offre l’avvio attendibile come un modo semplice per migliorare la sicurezza delle macchine virtuali di Seconda generazione. L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate.
Importante
- L'avvio attendibile è selezionato come stato predefinito per le macchine virtuali di Azure appena create. Se la nuova macchina virtuale richiede funzionalità non supportate dall'avvio attendibile, consultare le Domande frequenti sull'avvio attendibile.
- Nelle macchine virtuali esistenti è possibile abilitare l'avvio attendibile dopo la creazione. Per altre informazioni vedere Abilitare l'avvio attendibile nelle macchine virtuali esistenti.
- Nei set di scalabilità di macchine virtuali esistenti è possibile abilitare l'avvio attendibile dopo la creazione. Per altre informazioni vedere Abilitare l'avvio attendibile nei set di scalabilità esistenti.
Vantaggi
- Distribuire in modo sicuro le macchine virtuali con caricatori di avvio, kernel del sistema operativo e driver verificati.
- Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
- Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
- Assicurarsi che i carichi di lavoro siano attendibili e verificabili.
Dimensioni delle macchine virtuali
Nota
- L'installazione dei driver CUDA e GRID nelle macchine virtuali Windows abilitate per l'avvio sicuro non richiede passaggi aggiuntivi.
- L'installazione del driver CUDA nelle macchine virtuali Ubuntu abilitate per l'avvio sicuro richiede passaggi aggiuntivi. Per altre informazioni vedere Installare i driver GPU NVIDIA nelle macchine virtuali della serie N che eseguono Linux. L'avvio sicuro deve essere disabilitato per l'installazione dei driver CUDA in altre macchine virtuali Linux.
- Per l'installazione del driver GRID è necessario disabilitare l'avvio sicuro per le macchine virtuali Linux.
- Le famiglie di dimensioni non supportate non supportano le macchine virtuali di seconda generazione. Modificare la dimensione della macchine virtuale in famiglie di dimensioni supportate equivalenti per abilitare l'avvio attendibile.
Sistemi operativi supportati
Sistema operativo | Versione |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Le varianti di questo sistema operativo sono supportate.
Ulteriori informazioni
Aree di Azure:
- Tutte le aree pubbliche
- Tutte le aree di Azure per enti pubblici
- Tutte le aree di Azure Cina
Prezzi: l'avvio attendibile non aumenta i prezzi delle macchine virtuali esistenti.
Funzionalità non supportate
Attualmente le seguenti funzionalità delle macchine virtuali non sono supportate con Avvio attendibile:
- Azure Site Recovery (disponibile a livello generale per Windows).
- Immagine gestita (i clienti sono invitati a usare la Raccolta di calcolo di Azure).
- Virtualizzazione annidata (famiglie di dimensione per macchine virtuali v5 supportate)
- Ibernazione di macchine virtuali Linux
Avvio protetto
Nella radice dell'avvio attendibile si trova l’avvio sicuro per la macchina virtuale. L'avvio sicuro, implementato nel firmware della piattaforma, protegge dall'installazione di kit avvio e rootkit basati su malware. L'avvio sicuro funziona per garantire che solo i sistemi operativi e i driver firmati possano essere avviati. Stabilisce una "radice di attendibilità" per lo stack software nella macchina virtuale.
Con l'avvio sicuro abilitato, tutti i componenti di avvio del sistema operativo (driver kernel, kernel, caricatore avvio) richiedono la firma di autori attendibili. Sia Windows che alcune distribuzioni Linux supportano l'avvio sicuro. Se l'avvio sicuro non riesce ad autenticare che l'immagine è firmata da un autore attendibile, l'avvio della macchina virtuale non riesce. Per altre informazioni, vedere Avvio protetto.
vTPM
Avvio attendibile introduce anche virtual Trusted Platform Module (vTPM) per le macchine virtuali di Azure. Questa versione virtualizzata di un Trusted Platform Module hardware è conforme alla specifica TPM2.0. Serve come insieme di credenziali sicuro dedicato per chiavi e misure.
L'avvio attendibile fornisce alla macchina virtuale una propria istanza dedicata del modulo TPM, che viene eseguita in un ambiente sicuro al di fuori della portata di altre macchine virtuali. vTPM abilita l’attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
L'avvio attendibile usa vTPM per eseguire l'attestazione remota tramite il cloud. Le attestazioni abilitano i controlli integrità della piattaforma e vengono usate per prendere decisioni basate sull'attendibilità. Come controllo integrità, l'avvio attendibile può certificare tramite crittografia che la macchina virtuale è stata avviata correttamente.
Se il processo ha esito negativo, probabilmente perché la macchina virtuale esegue un componente non autorizzato, Microsoft Defender per il cloud genera avvisi di integrità. Gli avvisi includono i dettagli sui componenti che non sono riusciti a superare i controlli di integrità.
Sicurezza basata sulla virtualizzazione
La Sicurezza basata su virtualizzazione (VBS) usa l'hypervisor per creare un'area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità ed exploit dannosi. L'avvio attendibile consente di abilitare l'integrità del codice hypervisor (HVCI) e Windows Defender Credential Guard.
HVCI è una potente mitigazione del sistema che protegge i processi in modalità kernel di Windows dall'inserimento e dall'esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell'esecuzione, impedendo il caricamento dei file non firmati in memoria. I controlli garantiscono che il codice eseguibile non venga modificato dopo che è stato abilitato il caricamento. Per altre informazioni su VBS e HVCI vedere Sicurezza basata su virtualizzazione (VBS) e Integrità del codice applicata dall’hypervisor (HVCI).
Con l'avvio attendibile e la sicurezza basata su virtualizzazione è possibile abilitare Windows Defender Credential Guard. Credential Guard isola e protegge i segreti in modo che solo il software di sistema con privilegi possa accedervi. Consente di impedire l'accesso non autorizzato ai segreti, oltre a impedire attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash. Per altre informazioni, vedere Credential Guard.
Integrazione di Microsoft Defender per il cloud
L'avvio attendibile è integrato con Microsoft Defender per il cloud al fine di garantire la corretta configurazione delle macchine virtuali. Microsoft Defender per il cloud valuta continuamente le macchine virtuali compatibili e genera raccomandazioni pertinenti.
Raccomandazione per abilitare l’avvio sicuro:la raccomandazione di avvio sicuro si applica solo alle macchine virtuali che supportano l'avvio attendibile. Microsoft Defender per il cloud identifica le macchine virtuali che possono abilitare l'avvio sicuro, ma lo hanno disabilitato. Genera una raccomandazione di gravità bassa al fine di abilitarlo.
Raccomandazione per abilitare vTPM: se la macchina virtuale ha il modulo vTPM abilitato, Microsoft Defender per il cloud può usarla per eseguire l'attestazione guest e identificare modelli di minaccia avanzati. Se Defender per il cloud identifica macchine virtuali che supportano l'avvio attendibile, ma hanno il modulo vTPM disabilitato, genera una raccomandazione di gravità bassa al fine di abilitarlo.
Raccomandazione per installare l'estensione di attestazione guest: se la macchina virtuale ha l'avvio sicuro e il modulo vTPM abilitato, ma non ha l'estensione di attestazione guest installata, Defender per il cloud genera raccomandazioni di gravità bassa al fine di installare l'estensione di attestazione guest. Questa estensione consente a Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio delle macchine virtuali. L'integrità dell'avvio viene attestata tramite attestazione remota.
Valutazione integrità dell'attestazione o Monitoraggio dell'integrità dell’avvio: se la macchina virtuale ha abilitato l’Avvio sicuro e il modulo vTPM e l’estensione di attestazione installata, Defender per il cloud può convalidare in remoto che la macchina virtuale è stata avviata in modo integro. Questa procedura è nota come monitoraggio dell'integrità dell'avvio. Defender per Cloud genera una valutazione che indica lo stato dell'attestazione remota.
Se le macchine virtuali sono configurate correttamente con l'avvio attendibile, Defender per il cloud può rilevare e segnalare problemi di integrità delle macchine virtuali.
Avviso di errore di attestazione della macchina virtuale: Defender per il cloud esegue periodicamente l'attestazione nelle macchine virtuali. L'attestazione si verifica anche dopo gli avvii della macchina virtuale. Se l'attestazione ha esito negativo, viene generato un avviso di gravità media. L'attestazione della macchina virtuale può avere esito negativo per i motivi seguenti:
Le informazioni attestate, che includono un log di avvio, deviano da una baseline attendibile. Qualsiasi deviazione può indicare che i moduli non attendibili sono stati caricati e che il sistema operativo potrebbe essere compromesso.
Non è stato possibile verificare che l'offerta di attestazione abbia origine dal vTPM della macchina virtuale con attestazione. Un'origine non verificata può indicare che il malware è presente e potrebbe intercettare il traffico verso vTPM.
Nota
Gli avvisi sono disponibili per le macchine virtuali con vTPM abilitato e l'estensione Attestazione installata. L'avvio sicuro deve essere abilitato per il passaggio dell'attestazione. L'attestazione ha esito negativo se l'avvio sicuro è disabilitato. Se è necessario disabilitare l'avvio sicuro, è possibile eliminare questo avviso per evitare falsi positivi.
Avviso di modulo kernel Linux non attendibile: l'avvio attendibile con avvio sicuro abilitato consente di avviare una macchina virtuale, anche se la convalida di un driver del kernel ha esito negativo e non è consentito il caricamento. Se si verifica questo scenario, Defender for Cloud genera avvisi con gravità bassa. Anche se non esiste alcuna minaccia immediata, perché il driver non attendibile non è stato caricato, questi eventi devono essere esaminati. Chiediti:
- Quale driver del kernel non è riuscito? Si conosce questo driver e ci si aspetta che venga caricato?
- Questa è la versione esatta del driver che mi aspetto? I file binari del driver sono intatti? In caso di driver di terze parti, il fornitore ha superato i test di conformità del sistema operativo per ottenere la firma?
Contenuto correlato
Distribuire una macchina virtuale con avvio attendibile.