Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Applies to: ✔️ Linux VMs ✔️ Windows VMs ✔️ Flexibele schaalsets ✔️ Uniforme schaalsets
Azure biedt Trusted Launch als een naadloze manier om de beveiliging van Generatie 2 virtuele machines (VM) te verbeteren. Trusted Launch beschermt tegen geavanceerde en permanente aanvalstechnieken. Trusted Launch bestaat uit verschillende gecoördineerde infrastructuurtechnologieën die onafhankelijk kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen.
Trusted Launch wordt ondersteund voor zowel x64- als Arm64-architecturen.
Belangrijk
- Vertrouwd starten is de standaardstatus voor nieuw gemaakte Azure Gen2-VM en schaalsets. Zie de veelgestelde vragen over vertrouwde lanceringen als voor uw nieuwe VIRTUELE machine functies zijn vereist die niet worden ondersteund met vertrouwde start.
- U kunt bestaande Azure Gen1-VM's upgraden naar Gen2-Trusted starten om Beveiligd opstarten en vTPM in te schakelen. Zie Bestaande Gen1-VM's upgraden naar Gen2-Trusted launch.
- Bestaande VM's kunnen vertrouwde start hebben ingeschakeld nadat deze is gemaakt. Zie Vertrouwde start inschakelen op bestaande Gen2-VM's voor meer informatie.
- Bestaande virtuele-machineschaalsets kunnen met Vertrouwde Start worden ingeschakeld nadat ze zijn gemaakt. Zie Vertrouwde start inschakelen voor bestaande schaalsets voor meer informatie.
Vergoedingen
- Implementeer virtuele machines met geverifieerde opstartlaadders, besturingssysteemkernels en stuurprogramma's veilig.
- Beveilig sleutels, certificaten en geheimen veilig in de VM's.
- Krijg inzicht en vertrouwen in de integriteit van de gehele opstartketen.
- Zorg ervoor dat workloads betrouwbaar en verifieerbaar zijn.
Grootten van virtuele machines
| Typologie | Ondersteunde groottefamilies | Momenteel worden er geen groottefamilies ondersteund. | Niet-ondersteunde groottefamilies |
|---|---|---|---|
| Algemeen gebruik | B-familie, D-familie, Dpsv6-serie1, Dplsv6-serie1 | Dpsv5-serie, Dpdsv5-serie, Dplsv5-serie, Dpldsv5-serie | A-family, Dv2-serie, Dv3-serie, DC-Confidential-family |
| Geoptimaliseerde rekenkracht | F-family, Fx-family | Alle grootten worden ondersteund. | |
| Geoptimaliseerd voor geheugen | E-family, Eb-family, Epsv6-serie1 | M-familie | EC-Confidential-Family |
| Geoptimaliseerd voor opslag | L-familie | Alle grootten worden ondersteund. | |
| GPU | NC-family, ND-family, NV-family | NDasrA100_v4-serie, NDm_A100_v4-serie | NC-serie, NV-serie, NP-serie |
| High Performance Compute | HBv2-serie2, HBv3-serie, HBv4-serie, HBv5-serie, HC-serie3, HX-serie | Alle grootten worden ondersteund. |
1Arm64 Cobalt 100-gebaseerde maten die ondersteuning bieden voor Vertrouwde Lancering.
2HBv2-serie wordt momenteel ondersteund voor Trusted Launch, maar is gepland voor uitfasering op 31 mei 2027. Voor nieuwe HPC Trusted Launch-implementaties geeft u de voorkeur aan HBv5-serie, HX-serie, HBv4-serie of HBv3-seriegrootten.
3De grootten van de HC-serie (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) zijn gepland voor buitengebruikstelling op 31 mei 2027. Na deze datum worden de resterende VM's uit de HC-serie gedealloceerd en worden er geen kosten meer in rekening gebracht. De HC-serie zal dan geen SLA of ondersteuning meer bieden. De verkoop van gereserveerde instanties van 1 jaar en 3 jaar is beëindigd op 2 april 2026. Voor nieuwe HPC Trusted Launch-implementaties kunt u HBv5-serie overwegen voor hogere prestaties en betere prijsprestaties of HX-serie voor HPC-workloads met hoog geheugen. Maak een plan om al ruim vóór de buitengebruikstellingsdatum met de HC-serie te stoppen om onderbrekingen te voorkomen.
Notitie
- Installatie van de
CUDA & GRID-stuurprogramma's op beveiligde opstartapparaten Windows VM's vereist geen extra stappen. - Voor de installatie van het CUDA-stuurprogramma op Ubuntu-VM's met beveiligd opstarten zijn extra stappen vereist. Zie NVIDIA GPU-stuurprogramma's installeren op VM's uit de N-serie waarop Linux wordt uitgevoerd voor meer informatie. Beveiligd opstarten moet worden uitgeschakeld voor het installeren van CUDA-stuurprogramma's op andere Linux-VM's.
- Voor de installatie van het GRID-stuurprogramma moet Beveiligd opstarten worden uitgeschakeld voor Linux-VM's.
- Niet-ondersteunde groottefamilies bieden geen ondersteuning voor VM's van de tweede generatie. Wijzig de VM-grootte in equivalente ondersteunde groottefamilies voor het inschakelen van vertrouwd starten.
Ondersteunde besturingssystemen
| Besturingssysteem | Versie |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux van CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Variaties van dit besturingssysteem worden ondersteund.
Notitie
Betrouwbare start op Arm64 wordt ondersteund bij het gebruik van geschikte Arm64 Marketplace-installatiekopieën voor ondersteunde distributies en versies. Voor Cobalt 100 grootten implementeert u Trusted Launch met behulp van Arm64-installatiekopieën die beschikbaar zijn in Azure Marketplace.
Meer informatie
Regio's:
- Alle openbare regio's
- Alle Azure Overheid regio's
- Alle Azure China-regio's
Prijzen: Vertrouwde Start verhoogt de bestaande VM-kosten niet.
Niet-ondersteunde functies
Momenteel worden de volgende VM-functies niet ondersteund met Vertrouwde start:
- Managed Image (klanten worden aangemoedigd om Azure Compute Gallery te gebruiken).
- Linux VM-sluimerstand
Beveiligd opstarten
Aan de basis van Vertrouwde start staat Secure Boot voor uw virtuele machine. Beveiligd opstarten, dat is geïmplementeerd in platformfirmware, beschermt tegen de installatie van op malware gebaseerde rootkits en bootkits. Beveiligd opstarten werkt om ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart. Hiermee wordt een 'vertrouwensanker' voor de softwarestack op uw virtuele machine tot stand gebracht.
Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) vertrouwde uitgevers ondertekenen. Zowel Windows als selecteer Linux-distributies ondersteunen Beveiligd opstarten. Wanneer Secure Boot de authenticatie faalt van een installatiekopie die is ondertekend door een vertrouwde uitgever, kan de VM niet opstarten. Zie voor meer informatie beveiligd opstarten.
vTPM
Trusted Launch introduceert ook virtuele Trusted Platform Module (vTPM) voor Azure VM's. Deze gevirtualiseerde versie van een vertrouwde platformmodule voor hardware voldoet aan de TPM2.0-specificatie. Het fungeert als een speciale beveiligde kluis voor sleutels en metingen.
Trusted Launch biedt uw virtuele machine een eigen toegewezen TPM-instantie die wordt uitgevoerd in een beveiligde omgeving buiten het bereik van elke virtuele machine. Met vTPM kunt u attestation inschakelen door de volledige opstartketen van uw VM (UEFI, BEsturingssysteem, systeem en stuurprogramma's) te meten.
Trusted Launch maakt gebruik van vTPM om externe attestation uit te voeren via de cloud. Attestations maken platformstatuscontroles mogelijk en worden gebruikt voor het nemen van beslissingen op basis van vertrouwen. Als statuscontrole kan Trusted Launch cryptografisch certificeren dat uw VIRTUELE machine correct is opgestart.
Als het proces mislukt, mogelijk omdat uw VM een niet-geautoriseerd onderdeel uitvoert, Microsoft Defender voor Cloud integriteitswaarschuwingen krijgt. De waarschuwingen bevatten details over welke onderdelen niet voldoen aan integriteitscontroles.
Beveiliging op basis van virtualisatie
Beveiliging op basis van virtualisatie (VBS) maakt gebruik van de hypervisor om een beveiligd en geïsoleerd geheugengebied te maken. Windows gebruikt deze regio's om verschillende beveiligingsoplossingen uit te voeren met verbeterde bescherming tegen beveiligingsproblemen en schadelijke aanvallen. Met Trusted Launch kunt u de integriteit van hypervisorcode (HVCI) en Windows Defender Credential Guard inschakelen.
HVCI is een krachtige systeembeperking die Windows kernelmodusprocessen beschermt tegen injectie en uitvoering van schadelijke of niet-geverifieerde code. De kernelmodusstuurprogramma's en binaire bestanden worden gecontroleerd voordat ze worden uitgevoerd, waardoor niet-ondertekende bestanden niet in het geheugen kunnen worden geladen. Controleert of uitvoerbare code niet kan worden gewijzigd nadat het door HVCI is toegestaan om te laden. Zie Beveiliging op basis van virtualisatie en door hypervisor afgedwongen code-integriteit voor meer informatie over VBS en HVCI.
Met Vertrouwde start en VBS kunt u Windows Defender Credential Guard inschakelen. Credential Guard isoleert en beveiligt geheimen, zodat alleen bevoegde systeemsoftware toegang heeft tot deze geheimen. Het helpt onbevoegde toegang tot geheimen en diefstalaanvallen van referenties te voorkomen, zoals Pass-the-Hash-aanvallen. Zie Credential Guard voor meer informatie.
integratie van Microsoft Defender voor Cloud
Vertrouwde start is geïntegreerd met Defender voor Cloud om ervoor te zorgen dat uw VM's correct zijn geconfigureerd. Defender voor Cloud voortdurend compatibele VM's beoordeelt en relevante aanbevelingen geeft:
Aanbeveling voor het inschakelen van beveiligd opstarten: de aanbeveling beveiligd opstarten is alleen van toepassing op VM's die ondersteuning bieden voor vertrouwd starten. Defender voor Cloud identificeert VM's waarvoor beveiligd opstarten is uitgeschakeld. Er wordt een aanbeveling met een lage ernst opgegeven om deze in te schakelen.
Aanbeveling om vTPM in te schakelen: als vTPM is ingeschakeld voor vm's, kan Defender voor Cloud deze gebruiken om gastattestatie uit te voeren en geavanceerde bedreigingspatronen te identificeren. Als Defender voor Cloud VM's identificeert die ondersteuning bieden voor Vertrouwde lancering met vTPM uitgeschakeld, wordt er een aanbeveling met een lage ernst opgegeven om deze in te schakelen.
Aanbeveling voor het installeren van de gastattestatie-extensie: Als op uw virtuele machine Secure Boot en vTPM zijn ingeschakeld, maar de gastattestatie-extensie niet is geïnstalleerd, geeft Defender voor Cloud een lage prioriteitsaanbeveling om de gastattestatie-extensie te installeren. Met deze extensie kan Defender voor Cloud proactief de opstartintegriteit van uw VM's bevestigen en bewaken. Opstartintegriteit wordt geattesteerd via remote attestation.
Attestation-statusbeoordeling of bewaking van opstartintegriteit: Als op uw VM Beveiligd opstarten en vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd, kan Defender voor Cloud op afstand valideren of uw VM op een gezonde manier is opgestart. Deze praktijk staat bekend als monitoring van de integriteit van het opstartproces. Defender voor Cloud geeft een evaluatie uit die de status van externe attestation aangeeft.
Als uw VM's correct zijn ingesteld met Vertrouwde Launch, kan Defender voor Cloud detecteren en u waarschuwen voor problemen met de VM-status.
Alert voor VM-attestation-fout: Defender voor Cloud voert regelmatig attestation uit op uw VM's. De attestation vindt ook plaats nadat de VM is opgestart. Als de attestation mislukt, wordt er een waarschuwing met een gemiddelde ernst geactiveerd.
Notitie
Vm client opstartbevestigingswaarschuwingen die in Microsoft Defender voor Cloud verschijnen zijn informatief en worden daarom momenteel niet in het Defender-portaal weergegeven.
VM-attestation kan om de volgende redenen mislukken:
De geteste informatie, die een opstartlogboek bevat, wijkt af van een vertrouwde basislijn. Elke afwijking kan erop wijzen dat niet-vertrouwde modules worden geladen en dat het besturingssysteem kan worden aangetast.
De attestatie kan niet worden geverifieerd als afkomstig zijnde van de vTPM van de geattesteerde VM. Een niet-geverifieerde oorsprong kan erop wijzen dat malware aanwezig is en kan verkeer naar de vTPM onderscheppen.
Notitie
Waarschuwingen zijn beschikbaar voor VM's waarvoor vTPM is ingeschakeld en de Attestation-extensie is geïnstalleerd. Beveiligd opstarten moet zijn ingeschakeld om de attestatie te laten slagen. Attestation mislukt als Beveiligd opstarten is uitgeschakeld. Als u Secure Boot moet uitschakelen, kunt u deze waarschuwing onderdrukken om vals-positieven te voorkomen.
Waarschuwing voor niet-vertrouwde Linux-kernelmodule: voor vertrouwd starten met Beveiligd opstarten ingeschakeld, is het mogelijk dat een VIRTUELE machine wordt opgestart, zelfs als een kernelstuurprogramma de validatie mislukt en niet kan worden geladen. Als er een fout optreedt bij de validatie van kernelstuurprogramma's, geeft Defender voor Cloud waarschuwingen met een lage ernst af. Hoewel er geen onmiddellijke bedreiging is, omdat het niet-vertrouwde stuurprogramma niet is geladen, moeten deze gebeurtenissen worden onderzocht. Stel uzelf de volgende vragen:
- Welk kernelstuurprogramma is mislukt? Ben ik bekend met het mislukte kernelstuurprogramma en verwacht ik dat het wordt geladen?
- Is de exacte versie van het stuurprogramma hetzelfde als verwacht? Zijn de stuurprogramma-binaries intact? Als het mislukte stuurprogramma een partnerstuurprogramma is, heeft de partner de nalevingstests van het besturingssysteem doorstaan om het te ondertekenen?
(Preview) Vertrouwde start als standaard
Belangrijk
De standaardinstelling vertrouwde start is momenteel beschikbaar als preview-versie. Deze preview is alleen bedoeld voor test-, evaluatie- en feedbackdoeleinden. Productieworkloads worden niet aanbevolen. Wanneer u zich registreert voor preview, gaat u akkoord met de aanvullende gebruiksvoorwaarden. Sommige aspecten van deze functie kunnen veranderen met algemene beschikbaarheid (GA).
Vertrouwde start als standaard (TLaD) is beschikbaar in preview voor nieuwe Virtuele Gen2-machines (VM) en virtuele machineschaalsets (schaalsets).
TLaD is een snelle en zero-touch wijze om de beveiligingshoudingen van nieuwe op Gen2 gebaseerde Azure-VM's en Virtual Machine Scale Sets implementaties te verbeteren. Met Vertrouwde Start als standaardinstelling worden alle nieuwe Gen2 virtuele machines of schaalsets die zijn gemaakt via clienthulpmiddelen (zoals ARM-sjabloon, Bicep) standaard ingesteld op Vertrouwde Start-VM's, waarbij beveiligde-boot en vTPM zijn ingeschakeld.
Met de openbare preview-versie kunt u deze wijzigingen in uw respectieve omgeving valideren voor alle nieuwe Azure Gen2 virtuele machines en Azure Gen2-schaalsets, en u kunt zich voorbereiden op deze toekomstige wijziging.
Notitie
Alle nieuwe Gen2-VM's, schaalsets, implementaties met behulp van een clienthulpprogramma (ARM-sjabloon, Bicep, Terraform, enzovoort) worden standaard ingesteld op Vertrouwd starten na het instappen naar preview. Deze wijziging overschrijft geen invoer die is opgegeven als onderdeel van de implementatiecode.
TLaD-preview inschakelen
Registreer de preview-functie TrustedLaunchByDefaultPreview onder Microsoft.Compute naamruimte op het abonnement van de virtuele machine. Zie Preview-functies instellen in Azure abonnement voor meer informatie.
Als u een nieuwe Gen2-VM of schaalset wilt maken met de standaardinstelling voor Trusted launch, voert u uw bestaande implementatiescript uit zoals het is via Azure SDK, Terraform of via een andere methode dan Azure portal, CLI of PowerShell. De nieuwe VM of schaalset die in het geregistreerde abonnement is gemaakt, resulteert in een vertrouwde start-VM of virtuele-machineschaalset.
Implementaties van VM & schaalsets met TLaD preview
Bestaand gedrag
Als u een Trusted Launch opstart-VM en schaalset wilt maken, moet u het volgende securityProfile-element toevoegen bij de implementatie.
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
Als het securityProfile-element niet aanwezig is in de implementatiecode, worden VM en schaalset uitgevoerd zonder Trusted Launch in te schakelen.
Voorbeelden
- vm-windows-admincenter – De Azure Resource Manager (ARM)-sjabloon implementeert een Gen2 VM zonder Trusted Launch in te schakelen.
-
vm-simple-windows : met de ARM-sjabloon implementeert Trusted Launch-VM (zonder standaardinstelling, aangezien
securityProfileexpliciet aan de ARM-sjabloon is toegevoegd)
Nieuw gedrag
Door API-versie 2021-11-01 of hoger te gebruiken en de onboarding voor preview te gebruiken, zorgt het ontbreken van securityProfile elementen uit de implementatie ervoor dat vertrouwde start standaard is ingeschakeld voor nieuwe VM&schaalsets die zijn geïmplementeerd als aan de volgende voorwaarden wordt voldaan:
- Broninstallatiekopieën van Marketplace-besturingssysteem ondersteunen vertrouwde lancering.
- De ACG OS-bronimage ondersteunt en is gevalideerd voor vertrouwde start.
- Bronstation ondersteunt beveiligde opstart.
- VM-grootte ondersteunt vertrouwd starten.
De implementatie zal niet automatisch naar een Vertrouwde start overschakelen als niet aan een of meer van de vermelde voorwaarden wordt voldaan en als ze niet succesvol worden voltooid om een nieuwe Gen2-VM en schaalset zonder Vertrouwde start te maken.
U kunt ervoor kiezen om de standaardinstellingen voor de implementatie van VM's en schaalsets expliciet te omzeilen door Standard in te stellen als waarde van de parameter securityType. Zie Kan ik Vertrouwde start uitschakelen voor een nieuwe VM-implementatie voor meer informatie.
Bekende beperkingen
Kan de standaard voor vertrouwde start niet omzeilen en een Gen2 VM (niet-vertrouwde start) maken met behulp van de Azure-portal nadat u zich voor de preview hebt geregistreerd.
Nadat u een abonnement op preview hebt geregistreerd en het beveiligingstype hebt ingesteld op Standard in de Azure-portal, wordt de VM of schaalset Trusted launch geïmplementeerd. Deze beperking wordt opgelost vóór de algemene beschikbaarheid van de standaardfunctie Trusted Launch.
Om deze beperking tegen te gaan, kunt u de preview-functie uitschrijven door de functievlag te verwijderen TrustedLaunchByDefaultPreview onder Microsoft.Compute naamruimte op een gegeven abonnement.
Kan de grootte van VM's of VMSS niet wijzigen naar een niet-ondersteunde familie van vertrouwde opstart-VM-groottes (zoals de M-serie) nadat standaard is overgeschakeld naar vertrouwd opstarten.
Het wijzigen van de vertrouwde start-VM naar een VM-groottefamilie die niet wordt ondersteund met vertrouwde start zal niet worden ondersteund.
Als mitigatie registreert u de functievlag UseStandardSecurityType onder de naamruimte Microsoft.Compute en draai de vm terug van Trusted launch naar alleen Gen2 (niet-vertrouwde lancering). Stel securityType = Standard in met behulp van beschikbare clienthulpprogramma's (behalve Azure portal).
Feedback op TLaD-preview
Neem contact met ons op met feedback, vragen of problemen met betrekking tot deze aanstaande wijziging via de standaardfeedback-enquête voor vertrouwde lancering.
TLaD-voorbeeld uitschakelen
Als u de TLaD-preview wilt uitschakelen, moet u de registratie van de preview-functie ongedaan maken TrustedLaunchByDefaultPreview onder Microsoft.Compute naamruimte op het abonnement van de virtuele machine. Zie De registratie van de preview-functie ongedaan maken voor meer informatie
Gerelateerde inhoud
- Implementeer een vertrouwde start-VM.