Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi
Azure offre Avvio attendibile come modo semplice per migliorare la sicurezza di Generation 2 macchine virtuali (VM). L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate.
L'avvio attendibile è supportato per le architetture x64 e Arm64.
Importante
- Avvio attendibile è lo stato predefinito per le macchine virtuali e i set di scalabilità di Azure Gen2 appena creati. Vedere le domande frequenti sull'avvio attendibile se la nuova macchina virtuale richiede funzionalità non supportate con l'avvio attendibile.
- È possibile aggiornare le macchine virtuali di Azure Gen1 esistenti all'avvio Gen2-Trusted per abilitare l'avvio protetto e vTPM. Vedere Aggiornare le macchine virtuali Gen1 esistenti all'avvio di Gen2-Trusted.
- Le macchine virtuali esistenti possono avere avvio attendibile abilitato dopo la creazione. Per altre informazioni, vedere Abilitare l'avvio attendibile nelle macchine virtuali gen2 esistenti.
- Per i set di scalabilità di macchine virtuali esistenti è possibile abilitare l'avvio attendibile dopo la creazione. Per altre informazioni, vedere Abilitare l'avvio attendibile nel set di scalabilità esistente.
Vantaggi
- Distribuire in modo sicuro le macchine virtuali con caricatori di avvio, kernel del sistema operativo e driver verificati.
- Proteggere in modo sicuro chiavi, certificati e segreti nelle macchine virtuali.
- Ottenere informazioni dettagliate e attendibilità dell'integrità dell'intera catena di avvio.
- Assicurarsi che i carichi di lavoro siano attendibili e verificabili.
Dimensioni delle macchine virtuali
| TIPO | Famiglie di dimensioni supportate | Attualmente non sono supportate le famiglie di dimensioni | Famiglie di dimensioni non supportate |
|---|---|---|---|
| Utilizzo generico | B-family, D-family, Dpsv6-series1, Dplsv6-series1 | Dpsv5-series, Dpdsv5-series, Dplsv5-series, Dpldsv5-series | A-family, Dv2-series, Dv3-series, DC-Confidential-family |
| Ottimizzato per il calcolo | F-family, Fx-family | Tutte le dimensioni supportate. | |
| Memoria ottimizzata | E-family, Eb-family, serie Epsv61 | Famiglia M | EC-Confidential-family |
| Archiviazione ottimizzata | Famiglia L | Tutte le dimensioni supportate. | |
| GPU | Famiglia NC, famiglia ND, famiglia NV | serie NDasrA100_v4, serie NDm_A100_v4 | Serie NC, serie NV, serie NP |
| High Performance Compute | Serie HBv22, serie HBv3, serie HBv4, serie HBv5, serie HC3, serie HX | Tutte le dimensioni supportate. |
1Dimensioni basate su Arm64 Cobalt 100 che supportano l'avvio sicuro.
2La serie HBv2 è attualmente supportata per l'avvio attendibile, ma è pianificata per il ritiro il 31 maggio 2027. Per le nuove distribuzioni di avvio attendibile HPC, preferire dimensioni serie HBv5, serie HX, serie HBv4 o serie HBv3.
3Le dimensioni della serie HC (Standard_HC44rs, Standard_HC44-16rs, Standard_HC44-32rs) sono pianificate per il ritiro il 31 maggio 2027. Dopo questa data, le macchine virtuali della serie HC rimanenti verranno deallocate e smetteranno di incorrere in addebiti e la serie HC non avrà più contratto di servizio o supporto. Le vendite di istanze riservate di 1 anno e 3 anni sono terminate il 2 aprile 2026. Per le nuove distribuzioni di avvio attendibile HPC, prendere in considerazione la serie HBv5 per prestazioni più elevate e un rapporto prezzo-prestazioni migliore, o la serie HX per carichi di lavoro HPC con elevata capacità di memoria. Pianificare la transizione dalla serie HC ben prima della data di ritiro per evitare interruzioni.
Note
- Installazione dei
driver CUDA e GRID sulle macchine virtuali Windows con avvio protetto abilitato non richiede passaggi aggiuntivi. - L'installazione del driver CUDA nelle macchine virtuali Ubuntu abilitate per l'avvio protetto richiede passaggi aggiuntivi. Per altre informazioni, vedere Installare i driver GPU NVIDIA nelle macchine virtuali serie N che eseguono Linux. L'avvio sicuro deve essere disabilitato per l'installazione dei driver CUDA in altre macchine virtuali Linux.
- Per l'installazione del driver GRID è necessario disabilitare l'avvio protetto per le macchine virtuali Linux.
- Le famiglie di dimensioni non supportate non supportano le macchine virtuali di seconda generazione. Modificare le dimensioni della macchina virtuale in famiglie di dimensioni supportate equivalenti per l'abilitazione dell'avvio attendibile.
Sistemi operativi supportati
| OS | Versione |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux da CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Ubuntu Server | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows 11 | Pro, Enterprise, Enterprise Multi-Session * |
| Windows Server | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Le varianti di questo sistema operativo sono supportate.
Note
L'avvio attendibile in Arm64 è supportato quando si usano immagini di Arm64 Marketplace applicabili per distribuzioni e versioni supportate. Per le dimensioni di Cobalt 100, distribuire il Trusted Launch usando le immagini Arm64 disponibili nel Azure Marketplace.
Ulteriori informazioni
Regioni:
- Tutte le aree pubbliche
- Tutte le aree Azure per enti pubblici
- Tutte le aree Azure Cina
Prezzi: Il lancio attendibile non aumenta i costi delle macchine virtuali esistenti.
Funzionalità non supportate
Attualmente le seguenti funzionalità delle macchine virtuali non sono supportate con Avvio attendibile:
- Managed Image (i clienti sono invitati a usare Azure Compute Gallery).
- Ibernazione di macchine virtuali Linux
Avvio sicuro
Nella radice dell'avvio attendibile si trova l’avvio sicuro per la macchina virtuale. L'avvio sicuro, implementato nel firmware della piattaforma, protegge dall'installazione di kit avvio e rootkit basati su malware. L'avvio sicuro funziona per garantire che solo i sistemi operativi e i driver firmati possano essere avviati. Stabilisce una "radice di attendibilità" per lo stack software nella macchina virtuale.
Con l'avvio sicuro abilitato, tutti i componenti di avvio del sistema operativo (driver kernel, kernel, caricatore avvio) richiedono la firma di autori attendibili. Sia Windows che selezionate distribuzioni Linux supportano il Secure Boot. Se l'avvio protetto non riesce a autenticare che l'immagine è firmata con un autore attendibile, l'avvio della macchina virtuale non riesce. Per altre informazioni, vedere Avvio protetto.
vTPM
Avvio attendibile introduce anche il Trusted Platform Module virtuale (vTPM) per le macchine virtuali Azure. Questa versione virtualizzata di un Modulo Piattaforma Sicura hardware è conforme alla specifica TPM2.0. Funziona come un archivio sicuro dedicato per chiavi e misurazioni.
L'avvio attendibile fornisce alla macchina virtuale una propria istanza dedicata del modulo TPM, che viene eseguita in un ambiente sicuro al di fuori della portata di altre macchine virtuali. VTPM abilita l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
L'avvio attendibile usa vTPM per eseguire l'attestazione remota tramite il cloud. Le attestazioni abilitano i controlli integrità della piattaforma e vengono usate per prendere decisioni basate sull'attendibilità. Come controllo integrità, l'avvio attendibile può certificare tramite crittografia che la macchina virtuale è stata avviata correttamente.
Se il processo ha esito negativo, probabilmente perché la macchina virtuale esegue un componente non autorizzato, Microsoft Defender per il cloud genera avvisi di integrità. Gli avvisi includono i dettagli sui componenti che non sono riusciti a superare i controlli di integrità.
Sicurezza basata sulla virtualizzazione
La sicurezza basata su virtualizzazione usa l'hypervisor per creare un'area di memoria sicura e isolata. Windows usa queste aree per eseguire varie soluzioni di sicurezza con maggiore protezione da vulnerabilità e exploit dannosi. Avvio attendibile ti permette di abilitare l'integrità del codice dell'hypervisor (HVCI) e il Windows Defender Credential Guard.
HVCI è una potente mitigazione del sistema che protegge Windows processi in modalità kernel da attacchi di inserimento ed esecuzione di codice dannoso o non verificato. Controlla i driver e i file binari in modalità kernel prima dell'esecuzione, impedendo il caricamento dei file non firmati in memoria. Verifica che il codice eseguibile non possa essere modificato dopo il caricamento consentito da HVCI. Per ulteriori informazioni sulla sicurezza basata su virtualizzazione e HVCI, vedere Sicurezza basata su virtualizzazione e integrità del codice applicata dall'hypervisor.
Con Avvio Attendibile e VBS (Sicurezza Basata su Virtualizzazione), è possibile abilitare Windows Defender Credential Guard. Credential Guard isola e protegge i segreti in modo che solo il software di sistema con privilegi possa accedervi. Consente di impedire l'accesso non autorizzato ai segreti, oltre a impedire attacchi di furto di credenziali, ad esempio attacchi Pass-the-Hash. Per altre informazioni, vedere Credential Guard.
integrazione di Microsoft Defender per il cloud
Avvio attendibile è integrato con Defender per il cloud per assicurarsi che le macchine virtuali siano configurate correttamente. Defender per il cloud valuta continuamente le macchine virtuali compatibili e fornisce raccomandazioni pertinenti.
Raccomandazione per abilitare l'avvio protetto: la raccomandazione di avvio protetto si applica solo per le macchine virtuali che supportano l'avvio attendibile. Defender per il cloud identifica le macchine virtuali con avvio protetto disabilitato. Genera una raccomandazione di gravità bassa al fine di abilitarlo.
Raccomandazione per abilitare vTPM: Se vTPM è abilitato per la VM, Defender per il cloud può usarlo per eseguire l'attestazione del guest e identificare gli schemi di minaccia avanzati. Se Defender per il cloud identifica le macchine virtuali che supportano l'avvio attendibile con vTPM disabilitato, genera una raccomandazione di gravità bassa per abilitarla.
Recommendation per installare l'estensione di attestazione guest: se la macchina virtuale dispone di avvio protetto e vTPM abilitata, ma non è installata l'estensione attestazione guest, Defender per il cloud genera raccomandazioni di gravità bassa per installare l'estensione attestazione guest. Questa estensione consente Defender per il cloud di attestare e monitorare in modo proattivo l'integrità dell'avvio delle macchine virtuali. L'integrità dell'avvio viene attestata tramite attestazione remota.
Attestation health assessment or boot integrity monitoring: se la macchina virtuale dispone di avvio protetto e vTPM abilitato e l'estensione Attestazione installata, Defender per il cloud può convalidare in remoto che la macchina virtuale è stata avviata in modo integro. Questa procedura è nota come monitoraggio dell'integrità dell'avvio. Defender per il cloud esegue una valutazione che indica lo stato dell'attestazione remota.
Se le macchine virtuali sono configurate correttamente con Avvio attendibile, Defender per il cloud è possibile rilevare e segnalare problemi di salute delle macchine virtuali.
Alert per l'errore di attestazione della macchina virtuale: Defender per il cloud esegue periodicamente l'attestazione nelle macchine virtuali. L'attestazione si verifica anche dopo gli avvii della macchina virtuale. Se l'attestazione ha esito negativo, viene generato un avviso di gravità media.
Note
Gli avvisi di attestazione di avvio del client di macchine virtuali visualizzati in Microsoft Defender per il cloud sono informativi e non sono attualmente presentati nel portale di Defender.
L'attestazione della macchina virtuale può avere esito negativo per i motivi seguenti:
Le informazioni attestate, che includono un log di avvio, deviano da una baseline attendibile. Qualsiasi deviazione può indicare che i moduli non attendibili vengono caricati e che il sistema operativo potrebbe essere compromesso.
Non è stato possibile verificare che l'offerta di attestazione abbia origine dal vTPM della macchina virtuale con attestazione. Un'origine non verificata può indicare che il malware è presente e potrebbe intercettare il traffico verso vTPM.
Note
Gli avvisi sono disponibili per le macchine virtuali con vTPM abilitato e l'estensione Attestazione installata. L'avvio sicuro deve essere abilitato per il passaggio dell'attestazione. L'attestazione ha esito negativo se l'avvio sicuro è disabilitato. Se è necessario disabilitare l'avvio sicuro, è possibile eliminare questo avviso per evitare falsi positivi.
Avviso per il modulo kernel Linux non attendibile: Con l'avvio attendibile e Secure Boot abilitato, è possibile che una macchina virtuale si avvii anche se un driver del kernel non supera la convalida e viene proibito dal caricamento. Se si verifica un errore di convalida del driver del kernel, Defender per il cloud genera avvisi con gravità bassa. Anche se non esiste alcuna minaccia immediata, perché il driver non attendibile non è stato caricato, questi eventi devono essere esaminati. È importante chiedersi:
- Quale driver del kernel non è riuscito? Si ha familiarità con il driver kernel non riuscito e ci si aspetta che venga caricato?
- La versione esatta del driver è uguale a quella prevista? I file binari del driver sono intatti? Se il driver non riuscito è un driver partner, il partner ha superato i test di conformità dell'OS per ottenere la firma?
(Anteprima) Avvio attendibile come predefinito
Importante
L'avvio attendibile predefinito attualmente è in anteprima. Questa anteprima è destinata solo a scopi di test, valutazione e feedback. I carichi di lavoro di produzione non sono consigliati. Quando si esegue la registrazione all'anteprima, si accettano le condizioni supplementari per l'utilizzo. Alcuni aspetti di questa funzionalità potrebbero cambiare con la disponibilità generale (GA).
L'avvio attendibile come predefinito (TLaD) è disponibile in anteprima per le nuove macchine virtuali Gen2 e i set di scalabilità di macchine virtuali (set di scalabilità).
TLaD è un mezzo rapido e senza intervento manuale per migliorare la posizione di sicurezza delle nuove macchine virtuali Azure basate su Gen2 e delle distribuzioni di set di scalabilità di macchine virtuali. Con Avvio attendibile impostato come predefinito, tutte le nuove macchine virtuali Gen2 o i nuovi set di scalabilità creati tramite qualsiasi strumento client (ad esempio il modello ARM, Bicep) vengono impostati su macchine virtuali Avvio attendibile con avvio protetto e vTPM abilitati.
La versione di anteprima pubblica consente di convalidare queste modifiche nel rispettivo ambiente per tutte le nuove macchine virtuali di Azure Gen2, il set di scalabilità e prepararsi a questa modifica imminente.
Note
Tutte le nuove distribuzioni di macchine virtuali Gen2 e set di scalabilità che utilizzano qualsiasi strumento client (modello ARM, Bicep, Terraform e così via) predefinito su Avvio Attendibile una volta completato l'onboarding per l'anteprima. Questa modifica non esegue l'override degli input forniti come parte del codice di distribuzione.
Abilitare l'anteprima di TLaD
Registrare la funzionalità di anteprima TrustedLaunchByDefaultPreview nello spazio dei nomi Microsoft.Compute per la sottoscrizione della macchina virtuale. Per altre informazioni, vedere Impostare le funzionalità di anteprima nella sottoscrizione Azure
Per creare una nuova macchina virtuale Gen2 o un nuovo set di scalabilità con avvio attendibile predefinito, eseguire lo script di distribuzione esistente così com'è tramite Azure SDK, Terraform o un altro metodo che non sia il portale di Azure, CLI o PowerShell. La nuova macchina virtuale o set di scalabilità creato nella sottoscrizione registrata genera un set di scalabilità di macchine virtuali o una macchina virtuale di avvio attendibile.
Distribuzioni di macchine virtuali e set di scalabilità con anteprima TLaD
Comportamento esistente
Per creare una macchina virtuale di avvio attendibile e un set di scalabilità, è necessario aggiungere l'elemento securityProfile seguente nella distribuzione:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
L'assenza dell'elemento securityProfile nel codice di distribuzione distribuisce macchine virtuali e set di scalabilità senza abilitare l'avvio attendibile.
esempi
- vm-windows-admincenter: il modello Azure Resource Manager (ARM) distribuisce la macchina virtuale Gen2 senza abilitare l'avvio attendibile.
-
vm-simple-windows: il modello ARM distribuisce una macchina virtuale Trusted Launch (senza predefinito poiché
securityProfileviene aggiunto esplicitamente al modello ARM)
Nuovo comportamento
Usando l'API versione 01-11-2021 o successiva e l'onboarding per l'anteprima, l'assenza di elementi securityProfile dalla distribuzione abiliterà l'avvio attendibile per impostazione predefinita sulla nuova macchina virtuale al set di scalabilità distribuiti se vengono soddisfatte le condizioni seguenti:
- L'immagine del sistema operativo Marketplace di origine supporta l'avvio attendibile.
- L'immagine del sistema operativo ACG di origine supporta e viene convalidata per l'avvio attendibile.
- Il disco di origine supporta l'avvio attendibile.
- La dimensione VM supporta il Trusted Launch.
Per impostazione predefinita, la distribuzione non verrà avviata come attendibile se una o più condizioni elencate non vengono soddisfatte e completate correttamente per creare una nuova macchina virtuale Gen2 e un nuovo set di scalabilità senza avvio attendibile.
È possibile scegliere di ignorare in modo esplicito il valore predefinito per la distribuzione di macchine virtuali e set di scalabilità impostando Standard come valore del parametro securityType. Per altre informazioni, vedere È possibile disabilitare l'avvio attendibile per una nuova distribuzione di macchine virtuali.
Limitazioni note
Impossibile bypassare il valore predefinito del Trusted launch e creare una VM Gen2 (Non-Trusted launch) utilizzando il portale di Azure dopo la registrazione alla versione di anteprima.
Dopo aver registrato la sottoscrizione in anteprima, l'impostazione del tipo di sicurezza su Standard nel portale di Azure distribuirà la macchina virtuale o il set di scalabilità Trusted launch. Questa limitazione verrà gestita prima della disponibilità generale dell'avvio attendibile predefinito.
Per ridurre questa limitazione, è possibile annullare la registrazione della funzionalità di anteprima rimuovendo il flag di funzionalità TrustedLaunchByDefaultPreview nello spazio dei nomi Microsoft.Compute nella sottoscrizione specificata.
Non è possibile ridimensionare la macchina virtuale o il set di scalabilità di macchine virtuali a una famiglia di dimensioni di macchina virtuale di avvio attendibile (ad esempio la serie M) dopo l'impostazione predefinita di avvio attendibile.
Il ridimensionamento delle macchine virtuali con Trusted launch verso una famiglia di dimensioni di macchine virtuali non supportata con Trusted launch non sarà supportato.
Come mitigazione, registrare il flag di funzionalità UseStandardSecurityType nel namespace Microsoft.Compute E ripristinare la macchina virtuale dall'avvio attendibile a solo Gen2 (avvio non attendibile) impostando securityType = Standard usando gli strumenti client disponibili (ad eccezione del portale di Azure).
Feedback dell'anteprima di TLaD
Contattare Microsoft per qualsiasi feedback, query o dubbi relativi a questa modifica imminente tramite il sondaggio di feedback dell'anteprima dell'avvio attendibile predefinito.
Disabilitare l'anteprima TLaD
Per disabilitare l'anteprima TLaD, deregistrare la funzionalità di anteprima TrustedLaunchByDefaultPreview nello spazio dei nomi Microsoft.Compute nella sottoscrizione della macchina virtuale. Per altre informazioni, vedere Annullare la registrazione della funzionalità di anteprima
Contenuti correlati
- Distribuire una macchina virtuale con avvio attendibile.