Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: ✔️ virtuella Linux-datorer ✔️ virtuella Windows-datorer ✔️ flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar
Azure erbjuder Trusted Launch som ett smidigt sätt att förbättra säkerheten för Generation 2 virtuella datorer (VM). Trusted Launch skyddar mot avancerade och beständiga attacktekniker. Trusted Launch består av flera samordnade infrastrukturtekniker som kan aktiveras oberoende av varandra. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot.
Betrodd start stöds för både x64- och Arm64-arkitekturer.
Viktigt!
- Betrodd start är standardtillståndet för nyskapade Azure virtuella Gen2-datorer och skalningsuppsättningar. Se vanliga frågor och svar om betrodd start om den nya virtuella datorn kräver funktioner som inte stöds med betrodd start.
- Du kan uppgradera befintliga virtuella Azure-datorer från Gen1 till Gen2-Trusted initiering för att aktivera Secure Boot och vTPM. Se Uppgradera befintliga Gen1-virtuella datorer till Gen2-Trusted start.
- Befintliga virtuella datorer kan ha betrodd start aktiverat när de har skapats. Mer information finns i Aktivera betrodd start på befintliga virtuella Gen2-datorer.
- Befintliga virtuella maskinskalningsuppsättningar kan få Betrodd start aktiverad efter att de har skapats. För mer information, se Aktivera Trusted Launch på befintlig skaluppsättning.
Förmåner
- Distribuera virtuella datorer på ett säkert sätt med verifierade startinläsare, operativsystemkärnor och drivrutiner.
- Skydda nycklar, certifikat och hemligheter på de virtuella datorerna på ett säkert sätt.
- Få insikter och förtroende för hela startkedjans integritet.
- Kontrollera att arbetsbelastningar är betrodda och verifierbara.
Storlekar på virtuella datorer
| Typ | Storleksfamiljer som stöds | För närvarande stöder vi inte storleksfamiljer | Storleksfamiljer som inte stöds |
|---|---|---|---|
| Generell användning | B-familj, D-familj, Dpsv6-serie1, Dplsv6-serie1 | Dpsv5-serien, Dpdsv5-serien, Dplsv5-serien, Dpldsv5-serien | A-familj, Dv2-serien, Dv3-serien, DC-Confidential-family |
| Beräkningsoptimerad | F-familj, Fx-familj | Alla storlekar stöds. | |
| Minnesoptimerad | E-familj, Eb-familj, Epsv6-serie1 | M-familj | EC-Confidential-family |
| Lagringsoptimerad | L-familj | Alla storlekar stöds. | |
| GPU | NC-familj, ND-familj, NV-familj | NDasrA100_v4-serien, NDm_A100_v4-serien | NC-serien, NV-serien, NP-serien |
| Beräkning med höga prestanda | HBv2-serien2, HBv3-serien, HBv4-serien, HBv5-serien, HC-serien3, HX-serien | Alla storlekar stöds. |
1Arm64 Kobolt 100-baserade storlekar som stöder säker start.
2HBv2-serien stöds för närvarande för betrodd lansering men är planerad att dras tillbaka den 31 maj 2027. För nya HPC Trusted Launch-distributioner föredrar du storlekar i HBv5-serien, HX-serien, HBv4-serien eller HBv3-serien.
3Storlekar i HC-serien (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) är planerade att pensioneras den 31 maj 2027. Efter det här datumet avallokeras återstående virtuella datorer i HC-serien och slutar medföra kostnader, HC-serien kommer inte längre att ha Service Level Agreement (SLA) eller support. Försäljningen av 1- och 3-åriga reserverade instanser avslutades den 2 april 2026. För nya HPC Trusted Launch-distributioner bör du överväga HBv5-serien för högre prestanda och bättre prisprestanda eller HX-serien för HPC-arbetsbelastningar med högt minne. Planera att övergå från HC-serien långt före pensionsdatumet för att undvika störningar.
Anteckning
- Installation av
CUDA & GRID-drivrutiner på Secure Boot-aktiverade Windows virtuell dator kräver inga extra steg. - Installation av CUDA-drivrutinen på säkra startaktiverade virtuella Ubuntu-datorer kräver extra steg. Mer information finns i Installera NVIDIA GPU-drivrutiner på virtuella datorer i N-serien som kör Linux. Säker start bör inaktiveras för installation av CUDA-drivrutiner på andra virtuella Linux-datorer.
- Installationen av GRID-drivrutinen kräver att Säker start inaktiveras för virtuella Linux-datorer.
- Storleksfamiljer som inte stöds stöder inte virtuella datorer i generation 2 . Ändra storleken på den virtuella datorn till motsvarande storleksfamiljer som stöds för att aktivera betrodd start.
Operativsystem som stöds
| Olympiska Spelen (OS) | Utgåva |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux från CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Varianter av det här operativsystemet stöds.
Anteckning
Stöd för betrodd start på Arm64 ges när du använder tillämpliga Arm64 Marketplace-avbildningar för de distributioner och versioner som stöds. För Cobalt 100 storlekar distribuerar du Trusted Launch med hjälp av Arm64-avbildningar som är tillgängliga i Azure Marketplace.
Mer information
Regioner:
- Alla offentliga regioner
- Alla Azure Government Regioner
- Alla Azure Kina-regioner
Priser: Den betrodda lanseringen ökar inte de befintliga priskostnaderna för virtuella datorer.
Funktioner som inte stöds
För närvarande stöds inte följande VM-funktioner med Trusted Launch:
- Hanterad bild (kunder uppmanas att använda Azure Compute Gallery).
- Viloläge för virtuella Linux-datorer
Säker startläge
Roten till Betrodd start är Säker start för den virtuella datorn. Säker start, som implementeras i plattformens inbyggda programvara, skyddar mot installation av malware-baserade rootkits och startpaket. Säker start fungerar för att säkerställa att endast signerade operativsystem och drivrutiner kan starta. Den upprättar en förtroenderot för programvarustacken på din VM.
Med Säker start aktiverat kräver alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) signering av betrodda utgivare. Både Windows och välj Linux-distributioner stöder säker start. Om Secure Boot inte kan autentisera att avbildningen är signerad med en betrodd utgivare misslyckas VM med att starta. Mer information finns i Säker start.
vTPM
Trusted Launch introducerar även vTPM (Virtual Trusted Platform Module) för Azure virtuella datorer. Den här virtualiserade versionen av en betrodd plattformsmodul för maskinvara är kompatibel med TPM2.0-specifikationen. Det fungerar som ett dedikerat säkert valv för nycklar och mått.
Betrodd start ger den virtuella datorn en egen dedikerad TPM-instans som körs i en säker miljö utanför alla virtuella datorers räckvidd. VTPM möjliggör attestering genom att mäta hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner).
Trusted Launch använder vTPM för att utföra fjärrattestering via molnet. Attesteringar möjliggör plattformshälsokontroller och används för att fatta förtroendebaserade beslut. Som en hälsokontroll kan Trusted Launch kryptografiskt certifiera att den virtuella datorn har startats korrekt.
Om processen misslyckas, möjligen för att en obehörig komponent körs på din virtuella dator, utfärdar Microsoft Defender för molnet integritetsvarningar. Aviseringarna innehåller information om vilka komponenter som inte kunde passera integritetskontroller.
Virtualiseringsbaserad säkerhet
Virtualiseringsbaserad säkerhet (VBS) använder hypervisor-programmet för att skapa en säker och isolerad minnesregion. Windows använder dessa regioner för att köra olika säkerhetslösningar med ökat skydd mot sårbarheter och skadliga kryphål. Med Trusted Launch kan du aktivera hypervisor-kodintegritet (HVCI) och Windows Defender Credential Guard.
HVCI är en kraftfull systemreducering som skyddar Windows processer i kernelläge mot inmatning och körning av skadlig eller overifierad kod. Den kontrollerar drivrutiner och binärfiler i kernelläge innan de körs, vilket förhindrar att osignerade filer läses in i minnet. Säkerställer att körbar kod inte kan ändras efter att den har fått tillstånd att läsas in av HVCI. Mer information om VBS och HVCI finns i Virtualiseringsbaserad säkerhet och hypervisor-framtvingad kodintegritet.
Med Trusted Launch och VBS kan du aktivera Windows Defender Credential Guard. Credential Guard isolerar och skyddar hemligheter så att endast privilegierad systemprogramvara kan komma åt dem. Det hjälper till att förhindra obehörig åtkomst till hemligheter och stöld av autentiseringsuppgifter, till exempel Pass-the-Hash-attacker. Mer information finns i Credential Guard.
Microsoft Defender för molnet integration
Trusted Launch är integrerat med Defender för molnet för att säkerställa att dina virtuella datorer är korrekt konfigurerade. Defender för molnet utvärderar kontinuerligt kompatibla virtuella datorer och utfärdar relevanta rekommendationer:
Rekommendation för att aktivera säker start: Rekommendationen säker start gäller endast för virtuella datorer som stöder betrodd start. Defender för molnet identifierar virtuella datorer som har säker start inaktiverad. Den utfärdar en rekommendation med låg allvarlighetsgrad för att aktivera den.
Recommendation för att aktivera vTPM: Om vTPM är aktiverat för virtuell dator kan Defender för molnet använda det för att utföra gästattestering och identifiera avancerade hotmönster. Om Defender för molnet identifierar virtuella datorer som stöder betrodd start med vTPM inaktiverat, utfärdar den en rekommendation med låg allvarlighetsgrad för att aktivera den.
Rekommendation om att installera gästattesteringstillägget: Om den virtuella datorn har Säker start och vTPM aktiverat men inte har tillägget för gästattestering installerat, ger Defender för molnet rekommendationer med låg allvarlighetsgrad för att installera gästattesteringstillägget på den. Med det här tillägget kan Defender för molnet proaktivt attestera och övervaka startintegriteten för dina virtuella datorer. Startintegriteten bekräftas via fjärrattestering.
Attestation health assessment or boot integrity monitoring: Om den virtuella datorn har Säker start och vTPM aktiverat och attesteringstillägget installerat kan Defender för molnet fjärrstyra att den virtuella datorn startas på ett felfritt sätt. Den här metoden kallas för övervakning av startintegritet. Defender för molnet utfärdar en utvärdering som anger status för fjärrattestering.
Om dina virtuella datorer har konfigurerats korrekt med betrodd start kan Defender för molnet identifiera och varna dig om problem med den virtuella datorns hälsotillstånd.
Alert för vm-attesteringsfel: Defender för molnet utför regelbundet attestering på dina virtuella datorer. Attesteringen sker också när den virtuella datorn startas. Om attesteringen misslyckas utlöser den en avisering med medelhög allvarlighetsgrad.
Anteckning
Vm-klientens startattesteringsaviseringar som visas i Microsoft Defender för molnet är informationsbaserade och visas för närvarande inte i Defender-portalen.
VM-attesteringen kan misslyckas av följande skäl:
Den intygade informationen, som innehåller en startlogg, avviker från en betrodd baslinje. Alla avvikelser kan indikera att ej betrodda moduler läses in och att operativsystemet kan komprometteras.
Det gick inte att verifiera att styrkecitatet härstammar från den virtuella maskinens vTPM. Ett overifierat ursprung kan tyda på att skadlig kod finns och kan fånga upp trafik till vTPM.
Anteckning
Aviseringar är tillgängliga för virtuella datorer med vTPM aktiverat och attesteringstillägget installerat. Säker start måste vara aktiverat för att attesteringen ska godkännas. Attesteringen misslyckas om säker start är inaktiverad. Om du måste inaktivera Säker start kan du förhindra den här aviseringen för att undvika falska positiva identifieringar.
Avisering för en ej betrodd Linux-kernelmodul: För betrodd start med säker start aktiverad är det möjligt för en virtuell dator att starta även om en kerneldrivrutin misslyckas med valideringen och inte kan läsas in. Om ett valideringsfel för kerneldrivrutiner inträffar, utfärdar Defender för molnet aviseringar med låg allvarlighetsgrad. Även om det inte finns något omedelbart hot, eftersom den obetrodda drivrutinen inte laddades, borde dessa händelser undersökas. Fråga dig själv:
- Vilken kerneldrivrutin misslyckades? Är jag bekant med den misslyckade kerneldrivrutinen och förväntar jag mig att den ska läsas in?
- Är den exakta drivrutinsversionen densamma som förväntat? Är drivrutins binärfilerna intakta? Om den misslyckade drivrutinen är en partnerdrivrutin, klarade partnern OS-kompatibilitetstesterna för att få den signerad?
(Förhandsversion) Betrodd start som standard
Viktigt!
Standardvärdet för Trusted Launch är för närvarande i förhandsversion. Den här förhandsversionen är endast avsedd för testning, utvärdering och feedback. Produktionsarbetsbelastningar rekommenderas inte. När du registrerar dig för förhandsversionen godkänner du de kompletterande användningsvillkoren. Vissa aspekter av den här funktionen kan ändras med allmän tillgänglighet (GA).
Betrodd start som standard (TLaD) är tillgängligt som förhandsversion för nya virtuella Gen2-datorer (VM) och VM-skalningsuppsättningar (skalningsuppsättningar).
TLaD är ett snabbt och automatiserat sätt att förbättra säkerhetsnivån för nya Gen2-baserade Azure-virtuella datorer och Virtual Machine Scale Sets-distribueringar. Med Betrodd start som standardinställning är alla nya Gen2-virtuella datorer eller autoskalningsgrupper som skapats med hjälp av klientverktyg (t.ex. ARM-mallar, Bicep) inställda på Betrodd start med Secure Boot och vTPM aktiverat.
Med den offentliga förhandsversionen kan du verifiera dessa ändringar i din respektive miljö för alla nya virtuella Azure Gen2-datorer, skalningsuppsättningar och förbereda dig för den kommande ändringen.
Anteckning
Alla nya virtuella Gen2-datorer, skalningsuppsättningsdistributioner med alla klientverktyg (ARM-mallar, Bicep, Terraform osv.) har standardinställningen betrodd start när de aktiverats för förhandsversion. Den här ändringen åsidosätter INTE indata som tillhandahålls som en del av distributionskoden.
Aktivera förhandsversion av TLaD
Registrera förhandsfunktionen TrustedLaunchByDefaultPreview under namnrymden Microsoft.Compute i en prenumeration på virtuella datorer. Mer information finns i Set up preview features in Azure subscription
Om du vill skapa en ny virtuell Gen2-dator eller en skalningsuppsättning med betrodd start som standard, kör du ditt befintliga distributionsskript som det är via Azure SDKs, Terraform eller någon annan metod som inte använder Azure-portalen, CLI eller PowerShell. Den nya virtuella datorn eller skalningsuppsättningen som skapades i den registrerade prenumerationen resulterar i en betrodd virtuell startdator eller vm-skalningsuppsättning.
Distributioner av VM och skalningssätt i förhandsversionen av TLaD
Befintligt beteende
Om du vill skapa en Betrodd start-VM och skalningsuppsättning måste du lägga till följande securityProfile-element i implementeringen:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
Avsaknad av securityProfile-element i distributionskoden distribuerar VM och skalningsuppsättning utan att aktivera betrodd start.
Exempel
- vm-windows-admincenter – ARM-mallen (Azure Resource Manager) distribuerar den virtuella Datorn Gen2 utan att aktivera betrodd start.
-
vm-simple-windows – ARM-mallen distribuerar Trusted Launch-VM (utan standardinställning eftersom
securityProfileläggs uttryckligen till i ARM-mallen)
Nytt beteende
Genom att använda API-version 2021-11-01 eller senare OCH on-boarding till förhandsversion, kommer avsaknaden av element securityProfile i distributionen att möjliggöra Trusted Launch som standard för nya virtuella datorer och skalningsuppsättningar som distribueras, om följande villkor uppfylls:
- Marketplace OS-källavbildningen har stöd för betrodd start.
- Acg OS-källavbildningen stöder och verifieras för betrodd start.
- Källdisken har stöd för betrodd start.
- VM-storlek stöder säker start.
Distributionen kommer inte att ha Trusted launch som standard om ett eller flera av de angivna villkoren inte uppfylls eller slutförs för att underlätta skapandet av en ny Gen2-VM utan Trusted launch och skalningsuppsättning utan Trusted launch.
Du kan välja att uttryckligen kringgå standardinställningen för distribution av VM och skalningsuppsättningar genom att sätta Standard som värde för parametern securityType. Mer information finns i Kan jag inaktivera betrodd start för en ny distribution av virtuella datorer.
Kända begränsningar
Det går inte att kringgå standardvärdet för betrodd start och skapa en virtuell Gen2-dator (ej betrodd start) med hjälp av Azure portalen efter registreringen till preview.
När du har registrerat prenumerationen för förhandsgranskning, och har satt säkerhetstypen till Standard i Azure-portalen, distribuerar du den virtuella datorn eller skalningsuppsättningen Trusted launch. Den här begränsningen åtgärdas före den betrodda lanseringens standardmässiga allmänna tillgänglighet.
För att minska den här begränsningen kan du avregistrera förhandsversionsfunktionen genom att ta bort funktionsflaggan TrustedLaunchByDefaultPreview under Microsoft.Compute namnrymd för en viss prenumeration.
Det går inte att ändra storlek på den virtuella datorn eller VMSS till en icke-stödd pålitlig startstorleksfamilj (som M-serien) efter att ha standardiserats till Betrodd start.
Om du ändrar storlek på en Trusted launch-VM till en VM-storleksfamilj som inte stöds för Trusted launch kommer det inte att stödjas.
Som en åtgärd, vänligen registrera funktionsflaggan UseStandardSecurityType under Microsoft.Compute namnområde OCH återställ den virtuella datorn från betrodd start till enbart Gen2 (ej betrodd start) genom att ange securityType = Standard med tillgängliga klientverktyg (förutom Azure Portal).
Feedback om förhandsversionen av TLaD
Kontakta oss med eventuella synpunkter, frågor eller problem angående den kommande ändringen i feedbackenkät för förhandsversionen av betrodd lansering.
Inaktivera förhandsversion av TLaD
Om du vill inaktivera förhandsversionen av TLaD avregistrerar du förhandsgranskningsfunktionen TrustedLaunchByDefaultPreview under Microsoft.Compute namnrymd på en prenumeration på virtuella datorer. Mer information finns i Avregistrera förhandsversionsfunktionen
Relaterat innehåll
- Distribuera en Trusted Launch VM.