Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Aplica a: ✔️ máquinas virtuales Linux ✔️ máquinas virtuales Windows ✔️ conjuntos de escalado flexibles ✔️ conjuntos de escalado uniformes
Azure ofrece inicio seguro como una manera perfecta de mejorar la seguridad de Generation 2 máquinas virtuales (VM). El inicio seguro protege frente a técnicas de ataque persistentes y avanzadas. El inicio seguro se compone de varias tecnologías de infraestructura coordinadas que se pueden habilitar de forma independiente. Cada tecnología proporciona otro nivel de defensa contra amenazas sofisticadas.
Trusted Launch es compatible con arquitecturas x64 y Arm64.
Importante
- Trusted Launch es el estado predeterminado para las máquinas virtuales y los conjuntos de escalado de Azure Gen2 recién creado. Consulte las preguntas más frecuentes sobre el inicio seguro si la nueva máquina virtual requiere características que no se admiten con el inicio de confianza.
- Puede actualizar las máquinas virtuales existentes de Azure Gen1 a Gen2-Trusted Launch para habilitar Secure Boot y vTPM. Consulte Actualización de máquinas virtuales existentes de Azure Gen1 a Gen2-Inicio seguro.
- Las máquinas virtuales existentes pueden tener habilitado el inicio de confianza después de crearse. Para obtener más información, consulte Habilitación del inicio seguro en máquinas virtuales de Gen2 existentes.
- Los conjuntos de escalado de máquinas virtuales existentes pueden habilitar el arranque seguro después de ser creados. Para obtener más información, consulte Habilitar inicio seguro en conjuntos de escalado existentes.
Ventajas
- Implemente máquinas virtuales de forma segura con cargadores de arranque comprobados, kernels del sistema operativo (OS) y controladores.
- Proteja de forma segura las claves, los certificados y los secretos en las máquinas virtuales.
- Obtenga información y confianza de la integridad de toda la cadena de arranque.
- Asegúrese de que las cargas de trabajo son de confianza y verificables.
Tamaños de máquinas virtuales
| Tipo | Familias de tamaños admitidas | Familias de tamaños no admitidas actualmente | Familias de tamaños no admitidas |
|---|---|---|---|
| Uso general | Familia B, Familia D, Dpsv6-series1, Dplsv6-series1 | Serie Dpsv5, Serie Dpdsv5, Serie Dplsv5, Serie Dpldsv5 | Familia A, Serie Dv2, Serie Dv3 y Familia confidencial DC |
| Proceso optimizado | Familia F y Familia Fx | Se admiten todos los tamaños. | |
| Memoria optimizada | Familia E, Eb-family, Epsv6-series1 | Familia M | Familia confidencial EC |
| Almacenamiento optimizado | Familia L | Se admiten todos los tamaños. | |
| GPU | Familia NC, Familia ND y Familia NV | Serie NDasrA100_v4, serie NDm_A100_v4 | Serie NC, Serie NV, Serie NP |
| Proceso de alto rendimiento | Serie HBv22, serie HBv3, serie HBv4, serie HBv5, serie HC3, serie HX | Se admiten todos los tamaños. |
1Tamaños de Arm64 basados en Cobalt 100 que admiten Inicio seguro.
2La serie HBv2 es compatible actualmente con Trusted Launch, pero está programada para su retirada el 31 de mayo de 2027. Para las nuevas implementaciones de inicio seguro de HPC, prefiera los tamaños de las series HBv5, HX, HBv4 o HBv3.
3Los tamaños de la serie HC (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) están programados para su retirada el 31 de mayo de 2027. Después de esta fecha, las máquinas virtuales restantes de la serie HC se desaprovisionarán y dejarán de generar cargos. Además, la serie HC ya no contará con un Acuerdo de Nivel de Servicio (SLA) ni soporte técnico. Las ventas de Instancias Reservadas de 1 año y 3 años finalizaron el 2 de abril de 2026. En el caso de las nuevas implementaciones de lanzamiento confiable de HPC, considere la serie HBv5 para un mayor rendimiento y mejor relación calidad-precio, o bien la serie HX para cargas de trabajo de HPC con alta demanda de memoria. Planee realizar la transición fuera de la serie HC antes de la fecha de retirada para evitar interrupciones.
Nota:
- Instalación del CUDA y los controladores GRID en máquinas virtuales Windows con arranque seguro no requiere ningún paso adicional.
- La instalación del controlador CUDA en máquinas virtuales Ubuntu habilitadas para arranque seguro requiere pasos adicionales. Para obtener más información, consulte Instalación de controladores de GPU de NVIDIA en máquinas virtuales de la serie N que ejecutan Linux. El arranque seguro debe deshabilitarse para instalar controladores CUDA en otras máquinas virtuales Linux.
- La instalación del controlador GRID requiere que se deshabilite el arranque seguro para las máquinas virtuales Linux.
- No se admiten familias de tamaño no admiten máquinas virtualesGeneración 2. Cambie el tamaño de la máquina virtual a familias de tamaño equivalentes admitidos para habilitar el inicio seguro.
Sistemas operativos admitidos
| SO | Versión |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux de CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Se admiten variaciones de este sistema operativo.
Nota:
Inicio seguro se admite en Arm64 cuando se usan imágenes de Marketplace de Arm64 aplicables para distribuciones y versiones compatibles. Para tamaños Cobalt 100, implemente Trusted Launch utilizando imágenes Arm64 disponibles en Azure Marketplace.
Más información
Regiones:
- Todas las regiones públicas
- Todas las regiones de Azure Government
- Todas las regiones de Azure China
Precios: el inicio seguro no aumenta los costos de precios de las máquinas virtuales existentes.
Características no admitidas
Actualmente, las siguientes características de máquina virtual no se admiten con el inicio seguro:
- Managed Image (se recomienda a los clientes usar Azure Compute Gallery).
- Hibernación de máquinas virtuales Linux
Arranque seguro
En la raíz del inicio seguro es arranque seguro para la máquina virtual. El arranque seguro, que se implementa en el firmware de la plataforma, protege contra la instalación de rootkits y kits de arranque basados en malware. El arranque seguro funciona para asegurarse de que solo se puedan arrancar los sistemas operativos y controladores firmados. Establece una "raíz de confianza" para la pila de software en la máquina virtual.
Con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) requieren la firma de editores de confianza. Tanto Windows como algunas distribuciones de Linux admiten Arranque Seguro. Si el arranque seguro no puede autenticar que la imagen está firmada con un publicador de confianza, la máquina virtual no se puede iniciar. Para obtener más información, consulte Arranque seguro.
vTPM
Trusted Launch también presenta el módulo de plataforma confiable virtual (vTPM) para las Máquinas Virtuales de Azure. Esta versión virtualizada de un Módulo de plataforma segura de hardware es compatible con la especificación TPM2.0. Sirve como almacén seguro dedicado para las claves y las medidas.
El inicio seguro proporciona a la máquina virtual su propia instancia de TPM dedicada que se ejecuta en un entorno seguro fuera del alcance de cualquier máquina virtual. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).
Inicio seguro usa vTPM para realizar la atestación remota a través de la nube. Las atestaciones habilitan las comprobaciones de estado de la plataforma y se usan para tomar decisiones basadas en confianza. Como comprobación de estado, el inicio seguro puede certificar criptográficamente que la máquina virtual se ha arrancado correctamente.
Si se produce un error en el proceso, posiblemente porque la máquina virtual ejecuta un componente no autorizado, Microsoft Defender for Cloud emite alertas de integridad. Las alertas incluyen detalles sobre los componentes que no superaron las comprobaciones de integridad.
Seguridad basada en virtualización
Seguridad basada en virtualización (VBS) usa el hipervisor para crear una región segura y aislada de memoria. Windows usa estas regiones para ejecutar varias soluciones de seguridad con mayor protección contra vulnerabilidades y vulnerabilidades de seguridad malintencionadas. El inicio seguro le permite habilitar la integridad de código del hipervisor (HVCI) y Windows Defender Credential Guard.
HVCI es una eficaz mitigación del sistema que protege Windows procesos en modo kernel frente a la inyección y ejecución de código malintencionado o no comprobado. Comprueba los controladores y los archivos binarios del modo kernel antes de que se ejecuten, evitando que los archivos sin firmar se carguen en la memoria. Comprueba que el código ejecutable no se puede modificar después de que HVCI lo permita cargar. Para obtener más información sobre VBS y HVCI, consulte Seguridad basada en virtualización e integridad de código aplicada por hipervisor.
Con inicio seguro y VBS, puede habilitar Windows Defender Credential Guard. Credential Guard aísla y protege los secretos para que solo el software del sistema con privilegios pueda acceder a ellos. Ayuda a evitar el acceso no autorizado a secretos y ataques de robo de credenciales, como ataques pass-the-hash. Para obtener más información, consulte Credential Guard.
integración de Microsoft Defender for Cloud
El inicio seguro se integra con Defender for Cloud para asegurarse de que las máquinas virtuales están configuradas correctamente. Defender for Cloud evalúa continuamente las máquinas virtuales compatibles y emite recomendaciones pertinentes:
Recomendación para habilitar lade arranque seguro: la recomendación de arranque seguro solo se aplica a las máquinas virtuales que admiten el inicio seguro. Defender for Cloud identifica las máquinas virtuales que tienen deshabilitado el arranque seguro. Emite una recomendación de gravedad baja para habilitarla.
Recomendación de habilitación de vTPM: Si vTPM está habilitado para la máquina virtual, Defender for Cloud puede utilizarlo para realizar la atestación del huésped e identificar patrones avanzados de amenazas. Si Defender for Cloud identifica las máquinas virtuales que admiten el inicio seguro con vTPM deshabilitada, emite una recomendación de gravedad baja para habilitarla.
Recomendación para instalar la extensión de atestación de invitado: si la máquina virtual tiene habilitado el Arranque Seguro y vTPM, pero no tiene instalada la extensión de atestación de invitado, Defender for Cloud ofrece recomendaciones de gravedad baja para instalar la extensión de atestación de invitado en ella. Esta extensión permite que Defender for Cloud atestiguar y supervisar de forma proactiva la integridad de arranque de las máquinas virtuales. La integridad del arranque se atestigua mediante la atestación remota.
Evaluación de salud de atestación o monitoreo de integridad de arranque: Si tu máquina virtual (VM) tiene habilitado el Arranque Seguro (Secure Boot) y vTPM, y la extensión de Atestación está instalada, Defender para la Nube puede validar remotamente que tu VM ha arrancado de manera correcta. Esta práctica se conoce como supervisión de la integridad de arranque. Defender for Cloud emite una evaluación que indica el estado de la atestación remota.
Si las máquinas virtuales están configuradas correctamente con el inicio seguro, Defender for Cloud puede detectar y avisarle de problemas de mantenimiento de la máquina virtual.
Alerta de error de atestación de máquina virtual: Defender for Cloud realiza periódicamente la atestación en las máquinas virtuales. Esta atestación también ocurre después de que la máquina virtual se arranque. Si se produce un error en la atestación, se desencadena una alerta de gravedad media.
Nota:
Las alertas de atestación de arranque de cliente de máquina virtual expuestas en Microsoft Defender for Cloud son informativas y no se presentan actualmente en el portal de Defender.
La atestación de la máquina virtual puede producir un error por las razones siguientes:
La información atestada, que incluye un registro de arranque, se desvía de una línea base de confianza. Cualquier desviación puede indicar que se cargan módulos que no son de confianza y que el sistema operativo podría estar en peligro.
No se pudo comprobar que la oferta de atestación se originó en el vTPM de la máquina virtual atestada. Un origen no comprobado puede indicar que el malware está presente y podría interceptar el tráfico al vTPM.
Nota:
Las alertas están disponibles para las máquinas virtuales con vTPM habilitado y la extensión de atestación instalada. El arranque seguro debe estar habilitado para que se supere la atestación. Se produce un error en la atestación si el arranque seguro está deshabilitado. Si debe deshabilitar el arranque seguro, puede suprimir esta alerta para evitar falsos positivos.
Alerta del módulo de kernel de Linux que no es de confianza: para inicio seguro con arranque seguro habilitado, es posible que una máquina virtual arranque incluso si se produce un error en la validación de un controlador de kernel y está prohibido cargar. Si se produce un error de validación del controlador de kernel, Defender for Cloud emite alertas de gravedad baja. Aunque no hay ninguna amenaza inmediata, porque el controlador que no es de confianza no se cargó, estos eventos deben investigarse. Pregúntese lo siguiente:
- ¿Qué controlador de kernel produjo un error? ¿Estoy familiarizado con el controlador de kernel con errores y espero que se cargue?
- ¿La versión exacta del controlador es la misma que la esperada? ¿Los archivos binarios del controlador están intactos? Si el controlador con errores es un controlador asociado, ¿ha superado las pruebas de cumplimiento del sistema operativo para que se firmen?
(Versión preliminar) Inicio seguro como valor predeterminado
Importante
El valor predeterminado de inicio seguro está actualmente en versión preliminar. Esta versión preliminar está pensada solo para fines de prueba, evaluación y comentarios. No se recomiendan las cargas de trabajo de producción. Al registrarse en versión preliminar, acepta los términos de uso complementarios. Algunos aspectos de esta característica pueden cambiar con disponibilidad general (GA).
El inicio seguro como predeterminado (TLaD) está disponible en versión preliminar para las nuevas máquinas virtuales (VM) de Gen2 y conjuntos de escalado de máquinas virtuales (conjuntos de escalado).
TLaD es un medio rápido y sin interacción para mejorar la postura de seguridad de las implementaciones basadas en Gen2 de máquinas virtuales de Azure y conjuntos de escalas de máquinas virtuales. Con el inicio seguro como predeterminado, las nuevas máquinas virtuales de Gen2 o conjuntos de escalado creados a través de cualquier herramienta de cliente (como la plantilla de ARM, Bicep) tiene como valor predeterminado máquinas virtuales de inicio seguro con arranque seguro y vTPM habilitado.
La versión preliminar pública le permite validar estos cambios en su entorno respectivo para todas las nuevas máquinas virtuales de Azure Gen2, conjunto de escalado y preparación para este próximo cambio.
Nota:
Todas las nuevas máquinas virtuales Gen2, los conjuntos de escalado y las implementaciones con cualquier herramienta de cliente (plantilla de ARM, Bicep, Terraform, etc.) tienen como valor predeterminado "Inicio de Confianza" después de la incorporación durante la versión preliminar. Este cambio no invalida las entradas proporcionadas como parte del código de implementación.
Habilitación de la versión preliminar de TLaD
Registre la función de vista previa TrustedLaunchByDefaultPreview dentro del espacio de nombres Microsoft.Compute en la suscripción de la máquina virtual. Para obtener más información, consulte Set up preview features in Azure subscription
Para crear una nueva máquina virtual de Gen2 o un conjunto de escalado con el inicio de confianza predeterminado, ejecute el script de implementación existente tal como está a través de SDK de Azure, Terraform u otro método que no sea Azure portal, CLI o PowerShell. La nueva máquina virtual o el conjunto de escalado creados en la suscripción registrada da como resultado una máquina virtual de inicio seguro o un conjunto de escalado de máquinas virtuales.
Implementaciones de VM y conjuntos de escalado con versión preliminar de TLaD
Comportamiento existente
Para crear un conjunto de escalado y máquina virtual de inicio seguro, debe agregar el siguiente elemento securityProfile en la implementación:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
La ausencia de elemento securityProfile en el código de implementación implementa la máquina virtual y el conjunto de escalado sin habilitar el inicio seguro.
Ejemplos
- vm-windows-admincenter: la plantilla de Azure Resource Manager (ARM) implementa una máquina virtual de Gen2 sin habilitar el inicio seguro.
-
vm-simple-windows – la plantilla de ARM implementa la máquina virtual de inicio confiable (sin el valor predeterminado
securityProfilese agrega explícitamente a la plantilla de ARM).
Nuevo comportamiento
Al usar la versión de API 2021-11-01 o superior AND en versión preliminar, la ausencia de securityProfile elemento de la implementación habilitará el lanzamiento de confianza de forma predeterminada en el nuevo conjunto de escalado y máquina virtual implementado si se cumplen las condiciones siguientes:
- La imagen de sistema operativo de Marketplace de origen admite el Inicio seguro.
- La imagen de ACG OS de origen admite y se valida para el Inicio seguro.
- El disco de origen admite el Inicio seguro.
- El tamaño de máquina virtual admite el arranque seguro.
La implementación no tendrá como valor predeterminado Inicio seguro si no se cumplen una o varias de las condiciones enumeradas y se completan correctamente para crear un nuevo conjunto de escalado y máquina virtual Gen2 sin Inicio seguro.
Puede optar por ignorar explícitamente el valor predeterminado para la implementación de VM y el conjunto de escalamiento configurando Standard como el valor del parámetro securityType. Para más información, consulte ¿Puedo deshabilitar el inicio seguro para una nueva implementación de máquina virtual?
Limitaciones conocidas
No se puede omitir el valor predeterminado de inicio confiable y crear una máquina virtual Gen2 (inicio no confiable) usando el portal de Azure después de registrarse en la vista previa.
Después de registrar la suscripción en versión preliminar, establecer el tipo de seguridad en Standard en Azure portal implementará la máquina virtual o el conjunto de escalado Trusted launch. Esta limitación se solucionará antes de la disponibilidad general de Inicio seguro confiable por defecto.
Para mitigar esta limitación, puede anular el registro de la característica de vista previa quitando la marca de funcionalidad TrustedLaunchByDefaultPreview bajo el espacio de nombres Microsoft.Compute en la suscripción dada.
No se puede volver a cambiar el tamaño de la máquina virtual o VMSS a una familia de tamaño de máquina virtual de Inicio seguro (como la serie M) posterior al Inicio seguro.
No se admitirá el cambio de tamaño de la máquina virtual de inicio de confianza a familia de tamaños de máquina virtual no compatible con inicio de confianza.
Como mitigación, registre la bandera de características UseStandardSecurityType en el espacio de nombres Microsoft.Compute Y realice una reversión de la máquina virtual desde inicio confiable a solo Gen2 (inicio no confiable) estableciendo securityType = Standard mediante herramientas de cliente disponibles (excepto Azure portal).
Comentarios de la versión preliminar de TLaD
Póngase en contacto con nosotros para cualquier comentario, consulta o preocupación con respecto a este próximo cambio a través de la encuesta de retroalimentación de la versión preliminar predeterminada de lanzamiento confiable.
Deshabilitación de la versión preliminar de TLaD
Para deshabilitar la versión preliminar de TLaD, anula el registro de la función de vista previa TrustedLaunchByDefaultPreview en el espacio de nombres Microsoft.Compute de la suscripción de máquina virtual. Para obtener más información, consulte Anulación del registro de la característica de vista previa.
Contenido relacionado
- Implementación de unaMáquina virtual de inicio seguro.