Início Confiável para máquinas virtuais do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
O Azure oferece o Início Confiável como uma maneira simples de melhorar a segurança de máquinas virtuais (VMs) da Geração 2. O Início Confiável protege contra técnicas de ataque avançadas e persistentes. O Início Confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas.
Importante
- O Início Confiável é selecionado como o estado padrão para VMs do Azure recém-criadas. Se a nova VM exigir recursos que não são compatíveis com o Início Confiável, confira as Perguntas frequentes sobre o Início Confiável.
- É possível habilitar o Início Confiável para as máquinas virtuais (VMs) existentes após a criação. Para obter mais informações, confira o artigo Habilitar Início Confiável em VMs existentes.
- É possível habilitar o Início Confiável para os Conjuntos de dimensionamento de máquinas virtuais (VMSS) existentes a criação. Para obter mais informações, confira o artigo Habilitar o Início Confiável nos conjuntos de dimensionamento existentes.
Benefícios
- Implantar VMs de forma segura com carregadores de inicialização verificados, kernels do sistema operacional (SO) e drivers.
- Proteger chaves, certificados e segredos com segurança nas VMs.
- Obter informações e confiança da integridade da cadeia de inicialização inteira.
- Garantir que as cargas de trabalho sejam confiáveis e verificáveis.
Tamanhos de máquinas virtuais
Observação
- A instalação dos drivers CUDA e GRID em VMs do Windows habilitadas para Inicialização Segura não exige etapas adicionais.
- A instalação do driver CUDA em VMs do Ubuntu habilitadas para Inicialização Segura exige etapas adicionais. Para obter mais informações, confira Instalar drivers NVIDIA de GPU em VMs da série N que executam o Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs do Linux.
- A instalação do driver GRID exige que a Inicialização Segura seja desabilitada para VMs do Linux.
- Famílias de tamanho sem suporte não são compatíveis com VMs da Geração 2. Mude o Tamanho da VM para famílias de tamanhos compatíveis equivalentes para habilitar o Início Confiável.
Sistemas operacionais com suporte
Sistema operacional | Versão |
---|---|
Alma Linux | 8.7, 8.8, 9.0 |
Azure Linux | 1.0, 2.0 |
Debian | 11, 12 |
Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
RedHat Enterprise Linux | 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.0, 9.1, 9.2, 9.3, 9.4, 9.5 |
SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Há suporte para variações desse SO.
Mais informações
Regiões:
- Todas as regiões públicas
- Regiões do Azure Governamental
- Todas as regiões do Azure China
Preços: o Início Confiável não aumenta os custos de preços de VM existentes.
Recursos sem suporte
No momento, os seguintes recursos de VM não são compatíveis com o Início Confiável:
- Azure Site Recovery (em disponibilidade geral no Windows).
- Imagem Gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure).
- Virtualização aninhada (famílias de tamanho de VM v5 com suporte).
- Hibernação de VM do Linux
Inicialização Segura
Na raiz de Início Confiável está a Inicialização Segura para a sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam ser inicializados. Ela estabelece uma "raiz de confiança" para a pilha de software da VM.
Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) exigem assinatura de editores confiáveis. O Windows e algumas distribuições do Linux oferecem suporte à Inicialização Segura. Se a Inicialização Segura falhar ao autenticar que a imagem é assinada por um editor confiável, a VM não é inicializada. Para saber mais, confira Inicialização Segura.
vTPM
O Início Confiável também apresenta o módulo vTPM (Trusted Platform Module virtual) para VMs no Azure. Essa versão virtualizada de um hardware Trusted Platform Module, está em conformidade com a especificação TPM2.0. Ele serve como um cofre seguro dedicado para chaves e medidas.
O Início Confiável fornece à VM uma instância de TPM dedicada, em execução em um ambiente seguro, inacessível por qualquer outra VM. O vTPM habilita o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).
O Início Confiável usa o vTPM para executar o atestado remoto por meio da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para a tomada de decisões baseadas em confiança. Como uma verificação de integridade, o Início Confiável pode certificar criptograficamente que sua VM foi inicializada corretamente.
Em caso de falha do processo, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender para Nuvem emite alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança com base em virtualização
A segurança baseada em virtualização (SVB) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações mal-intencionadas. O Início Confiável permite habilitar a HVCI (integridade de código aplicada pelo hipervisor) e o Windows Defender Credential Guard.
O HVCI é uma mitigação de sistema poderosa que protege os processos do modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado. Ele verifica os drivers e os binários do modo kernel antes de executá-los, impedindo que arquivos não assinados sejam carregados na memória. As verificações garantem que o código executável não pode ser modificado após receber permissão para carregar. Para obter mais informações sobre SVB e HVCI, confira o tópico Segurança baseada em virtualização e integridade de código aplicada pelo hipervisor.
Com o Início Confiável e a SVB você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas o software do sistema privilegiado possa acessá-los. Isso ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques do tipo Pass-the-hash. Para obter mais informações, consulte Credential Guard.
Integração do Microsoft Defender para Nuvem
O Início Confiável é integrado ao Defender para Nuvem para garantir que as VMs serão configuradas corretamente. O Defender para Nuvem avalia continuamente VMs compatíveis e emite recomendações relevantes:
Recomendação para habilitar a Inicialização Segura: a recomendação de Inicialização Segura aplica-se apenas a VMs que dão suporte ao Início Confiável. O Defender para Nuvem identifica VMs que podem habilitar a Inicialização Segura, mas que a desabilitam. Ele emite uma recomendação de baixa gravidade para habilitá-la.
Recomendação para habilitar o vTPM: se a VM tiver o vTPM habilitado, o Defender para Nuvem poderá usá-lo na execução de atestado de convidado e identificar padrões avançados de ameaças. Se o Defender para Nuvem identificar VMs que dão suporte ao Início Confiável e estiverem com o vTPM desabilitado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para instalar a extensão de atestado de convidado: se a VM tiver Inicialização Segura e vTPM habilitados, mas não tiver a extensão de atestado de convidado instalada, o Defender para Nuvem emitirá recomendações de baixa gravidade para instalar a extensão de atestado de convidado nela. Essa extensão possibilita que o Defender para Nuvem ateste e monitore proativamente a integridade de início das VMs. A integridade da inicialização é atestada por meio do atestado remoto.
Avaliação de integridade de atestado ou monitoramento de integridade da inicialização: se a VM tiver Inicialização Segura e vTPM habilitados, e também contar a extensão de atestado instalada, o Defender para Nuvem poderá validar de forma remota se a inicialização foi feita de maneira íntegra. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender para Nuvem emite uma avaliação que indica o status do atestado remoto.
Se as VMs estiverem configuradas corretamente com o Início Confiável, o Defender para Nuvem poderá detectar e alertar sobre problemas de integridade nelas.
Alerta para falha de atestado de VM: o Defender para Nuvem executa periodicamente o atestado em suas VMs. O atestado também ocorre após a inicialização da VM. Se o atestado falhar, ele disparará um alerta de gravidade média. O atestado da VM pode falhar pelos seguintes motivos:
As informações atestadas, que incluem um log de inicialização, se desviam de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis foram carregados e o sistema operacional pode ser comprometido.
A cotação de atestado não pôde ser verificada para se originar do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar interceptando o tráfego para o vTPM.
Observação
Os alertas estão disponíveis para VMs com o vTPM habilitado e a extensão atestado instalada. A Inicialização Segura deve ser habilitada para que o atestado passe. O atestado falhará se a Inicialização Segura estiver desabilitada. Se você precisar desabilitar a Inicialização Segura, poderá suprimir esse alerta para evitar falsos positivos.
Alerta para o módulo kernel do Linux não confiável: para o Início Confiável com a Inicialização Segura habilitada, é possível que uma VM seja inicializada mesmo se um driver de kernel falhar na validação e o carregamento não for permitido. Se esse cenário acontecer, o Defender para Nuvem emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados. Pergunte a si mesmo:
- Qual driver de kernel falhou? Eu conheço esse driver e devo esperar que ele seja carregado?
- Esta é a versão exata do driver que estou esperando? Os binários de driver estão intactos? Se esse for um driver de terceiros, o fornecedor passou nos testes de conformidade do SO para conseguir a assinatura?
Conteúdo relacionado
Implantar uma VM com Início Confiável.