Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
O Azure oferece o Lançamento Confiável como uma maneira perfeita de melhorar a segurança das VMs (máquinas virtuais ) de geração 2 . O início confiável protege contra técnicas de ataque avançadas e persistentes. O Início Confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas.
Importante
- Trusted Launch é o estado padrão para VMs e conjuntos de dimensionamento do Azure Gen2 recém-criados. Consulte as perguntas frequentes de inicialização confiável se sua nova VM exigir recursos que não são compatíveis com a inicialização confiável.
- A VM existente pode ter o Início Confiável habilitado após a criação. Para obter mais informações, confira o artigo Habilitar Início Confiável em VMs existentes.
- O conjunto de dimensionamento de máquinas virtuais existente pode ter o Início Confiável habilitado após a criação. Para obter mais informações, consulte Habilitar Inicialização Confiável no conjunto de dimensionamento existente.
Benefícios
- Implantar VMs de forma segura com carregadores de inicialização verificados, kernels do sistema operacional (SO) e drivers.
- Proteger chaves, certificados e segredos com segurança nas VMs.
- Obter informações e confiança da integridade da cadeia de inicialização inteira.
- Garantir que as cargas de trabalho sejam confiáveis e verificáveis.
Tamanhos de máquinas virtuais
| Tipo | Famílias de tamanho com suporte | Famílias de tamanho sem suporte no momento | Famílias de tamanho sem suporte |
|---|---|---|---|
| Propósito geral | Família B, Família D | Série Dpsv5, série Dpdsv5, série Dplsv5, série Dpldsv5 | Família A, Série Dv2, série Dv3, Família Confidencial DC |
| Computação otimizada | Família F, família Fx | Todos os tamanhos com suporte. | |
| Memória otimizada | Família E, família Eb | Família-M | Família Confidencial EC |
| Armazenamento otimizado | Família-L | Todos os tamanhos com suporte. | |
| GPU | Família NC, família ND, família NV | série NDasrA100_v4, série NDm_A100_v4 | Série NC, série NV, série NP |
| Computação de Alto Desempenho | Série HBv2, série HBv3, série HBv4, série HC, série HX | Todos os tamanhos com suporte. |
Observação
- A instalação dos drivers CUDA e GRID em VMs do Windows habilitadas para Inicialização Segura não exige etapas adicionais.
- A instalação do driver CUDA em VMs do Ubuntu habilitadas para Inicialização Segura exige etapas adicionais. Para obter mais informações, confira Instalar drivers NVIDIA de GPU em VMs da série N que executam o Linux. A Inicialização Segura deve ser desabilitada para instalar drivers CUDA em outras VMs do Linux.
- A instalação do driver GRID exige que a Inicialização Segura seja desabilitada para VMs do Linux.
- Famílias de tamanho sem suporte não são compatíveis com VMs da Geração 2. Mude o Tamanho da VM para famílias de tamanhos compatíveis equivalentes para habilitar o Início Confiável.
Sistemas operacionais com suporte
| Sistema operacional | Versão |
|---|---|
| Alma Linux | 8.7, 8.8, 9.0 |
| Azure Linux | 1.0, 2.0 |
| Debian | 11, 12 |
| Oracle Linux | 8.3, 8.4, 8.5, 8.6, 8.7, 8.8 LVM, 9.0, 9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| Rocky Linux do CIQ | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3, 15SP4, 15SP5 |
| Servidor Ubuntu | 18.04 LTS, 20.04 LTS, 22.04 LTS, 23.04, 23.10 |
| Windows 10 | Pro, Enterprise, Enterprise de várias sessões * |
| Windows 11 | Pro, Enterprise, Enterprise de várias sessões * |
| Servidor Windows | 2016, 2019, 2022, 2022-Azure-Edition, 2025, 2025-Azure-Edition * |
* Há suporte para variações desse SO.
Mais informações
Regiões:
- Todas as regiões públicas
- Regiões do Azure Governamental
- Todas as regiões do Azure China
Preços: o Início Confiável não aumenta os custos de preços de VM existentes.
Recursos sem suporte
No momento, os seguintes recursos de VM não são compatíveis com o Início Confiável:
- Imagem Gerenciada (os clientes são incentivados a usar a Galeria de Computação do Azure).
- Hibernação de VM do Linux
Inicialização segura
Na raiz de Início Confiável está a Inicialização Segura para a sua VM. A Inicialização Segura, que é implementada no firmware da plataforma, protege contra a instalação de rootkits e kits de inicialização baseados em malware. A Inicialização Segura funciona para garantir que apenas sistemas operacionais e drivers assinados possam ser inicializados. Ela estabelece uma "raiz de confiança" para a pilha de software da VM.
Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) exigem assinatura de editores confiáveis. O Windows e algumas distribuições do Linux oferecem suporte à Inicialização Segura. Se a Inicialização Segura falhar ao autenticar que a imagem está assinada com um publicador confiável, a VM não será inicializada. Para saber mais, confira Inicialização Segura.
vTPM
O Início Confiável também apresenta o módulo vTPM (Trusted Platform Module virtual) para VMs no Azure. Essa versão virtualizada de um Trusted Platform Module de hardware está em conformidade com a especificação TPM2.0. Ela serve como um cofre seguro dedicado para chaves e medidas.
O Início Confiável fornece à VM uma instância de TPM dedicada, em execução em um ambiente seguro, inacessível por qualquer outra VM. O vTPM habilita o atestado medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).
O Início Confiável usa o vTPM para executar o atestado remoto por meio da nuvem. Os atestados permitem verificações de integridade da plataforma e são usados para a tomada de decisões baseadas em confiança. Como uma verificação de integridade, o Início Confiável pode certificar criptograficamente que sua VM foi inicializada corretamente.
Se o processo falhar, possivelmente porque sua VM está executando um componente não autorizado, o Microsoft Defender para Nuvem emite alertas de integridade. Os alertas incluem detalhes sobre quais componentes não passaram nas verificações de integridade.
Segurança com base em virtualização
A segurança baseada em virtualização (SVB) usa o hipervisor para criar uma região segura e isolada da memória. O Windows usa essas regiões para executar várias soluções de segurança com maior proteção contra vulnerabilidades e explorações mal-intencionadas. O Início Confiável permite habilitar a HVCI (integridade de código aplicada pelo hipervisor) e o Windows Defender Credential Guard.
O HVCI é uma mitigação de sistema poderosa que protege os processos do modo kernel do Windows contra injeção e execução de código mal-intencionado ou não verificado. Ele verifica os drivers e os binários do modo kernel antes de executá-los, impedindo que arquivos não assinados sejam carregados na memória. As verificações garantem que o código executável não pode ser modificado depois que o carregamento é permitido pelo HVCI. Para obter mais informações sobre SVB e HVCI, confira o tópico Segurança baseada em virtualização e integridade de código aplicada pelo hipervisor.
Com o Início Confiável e a SVB você pode habilitar o Windows Defender Credential Guard. O Credential Guard isola e protege segredos para que apenas o software do sistema privilegiado possa acessá-los. Isso ajuda a impedir o acesso não autorizado a segredos e ataques de roubo de credenciais, como ataques do tipo Pass-the-hash. Para obter mais informações, consulte Credential Guard.
Integração do Microsoft Defender para Nuvem
O Início Confiável é integrado ao Defender para Nuvem para garantir que as VMs serão configuradas corretamente. O Defender para Nuvem avalia continuamente VMs compatíveis e emite recomendações relevantes:
Recomendação para habilitar a Inicialização Segura: a recomendação de Inicialização Segura aplica-se apenas a VMs que dão suporte ao Início Confiável. O Defender para Nuvem identifica as VMs que têm a inicialização segura desabilitada. Ele emite uma recomendação de baixa gravidade para habilitá-la.
Recomendação para habilitar o vTPM: se o vTPM estiver habilitado para VM, o Defender para Nuvem poderá usá-lo para executar o atestado de convidado e identificar padrões avançados de ameaça. Se o Defender para Nuvem identificar VMs que dão suporte ao Lançamento Confiável com o vTPM desabilitado, ele emitirá uma recomendação de baixa gravidade para habilitá-lo.
Recomendação para instalar a extensão de atestado de convidado: se a VM tiver Inicialização Segura e vTPM habilitados, mas não tiver a extensão de atestado de convidado instalada, o Defender para Nuvem emitirá recomendações de baixa gravidade para instalar a extensão de atestado de convidado nela. Essa extensão possibilita que o Defender para Nuvem ateste e monitore proativamente a integridade de início das VMs. A integridade da inicialização é atestada por meio do atestado remoto.
Avaliação de integridade de atestado ou monitoramento de integridade da inicialização: se a VM tiver Inicialização Segura e vTPM habilitados, e também contar a extensão de atestado instalada, o Defender para Nuvem poderá validar de forma remota se a inicialização foi feita de maneira íntegra. Essa prática é conhecida como monitoramento da integridade da inicialização. O Defender para Nuvem emite uma avaliação que indica o status do atestado remoto.
Se as VMs estiverem configuradas corretamente com o Início Confiável, o Defender para Nuvem poderá detectar e alertar sobre problemas de integridade nelas.
Alerta para falha de atestado de VM: o Defender para Nuvem executa periodicamente o atestado em suas VMs. O atestado também ocorre após a inicialização da VM. Se o atestado falhar, ele disparará um alerta de gravidade média. O atestado da VM pode falhar pelos seguintes motivos:
As informações atestadas, que incluem um log de inicialização, se desviam de uma linha de base confiável. Qualquer desvio pode indicar que módulos não confiáveis são carregados e o sistema operacional pode ser comprometido.
A cotação de atestado não pôde ser verificada para se originar do vTPM da VM atestada. Uma origem não verificada pode indicar que o malware está presente e pode estar interceptando o tráfego para o vTPM.
Observação
Os alertas estão disponíveis para VMs com o vTPM habilitado e a extensão atestado instalada. A Inicialização Segura deve ser habilitada para que o atestado passe. O atestado falhará se a Inicialização Segura estiver desabilitada. Se você precisar desabilitar a Inicialização Segura, poderá suprimir esse alerta para evitar falsos positivos.
Alerta para o módulo kernel do Linux não confiável: para o Início Confiável com a Inicialização Segura habilitada, é possível que uma VM seja inicializada mesmo se um driver de kernel falhar na validação e o carregamento não for permitido. Se ocorrer uma falha na validação do driver de kernel, o Defender para Nuvem emitirá alertas de baixa gravidade. Embora não haja nenhuma ameaça imediata, porque o driver não confiável não foi carregado, esses eventos devem ser investigados. Pergunte-se:
- Qual driver de kernel falhou? Estou familiarizado com o driver de kernel com falha e espero que ele carregue?
- A versão exata do driver é a mesma do esperado? Os binários de driver estão intactos? Se o driver com falha for um driver parceiro, o parceiro passou nos testes de conformidade do sistema operacional para assinar?
(Versão prévia) Inicialização confiável como padrão
Importante
O padrão de Inicialização Confiável está atualmente em versão prévia. Esta versão prévia destina-se apenas a fins de teste, avaliação e comentários. Cargas de trabalho de produção não são recomendadas. Ao se registrar para visualização, você concorda com os termos de uso complementares. Alguns aspectos desse recurso podem mudar com a disponibilidade geral (GA).
O TLaD (Inicialização Confiável como padrão) está disponível em versão prévia para novas VMs (máquinas virtuais) Gen2 e Conjuntos de dimensionamento de máquinas virtuais (conjuntos de dimensionamento).
O TLaD é um meio rápido e de toque zero para melhorar a postura de segurança das novas implantações da VM do Azure baseadas na Gen2 e nos Conjuntos de Dimensionamento de Máquinas Virtuais. Com o Início Confiável como padrão, todas as novas VMs Gen2 ou conjuntos de dimensionamento criados com as ferramentas de cliente (como o modelo do ARM, Bicep) terão como padrão as VMs de Início Confiável com inicialização segura e vTPM habilitados.
A versão de visualização pública permite que você valide essas alterações em seu respectivo ambiente para todas as novas VMs do Azure Gen2, conjunto de dimensionamento e preparação para essa próxima alteração.
Observação
Todas as novas VMs Gen2, conjuntos de dimensionamento e implantações usando qualquer ferramenta de cliente (modelo ARM, Bicep, Terraform etc.) terão com parão o Início Confiável após as integrações para a versão prévia. Essa alteração NÃO substitui as entradas fornecidas como parte do código de implantação.
Habilitar visualização do TLaD
Registre o versão prévia do recurso TrustedLaunchByDefaultPreview no namespace Microsoft.Compute na assinatura da máquina virtual. Para obter mais informações, consulte Configurar recursos de visualização na assinatura do Azure
Para criar uma nova VM ou conjunto de dimensionamento Gen2 com o padrão de inicialização confiável, execute o script de implantação existente como está por meio do SDK do Azure, Terraform ou outro método que não seja o portal do Azure, a CLI ou o PowerShell. A nova VM ou conjunto de dimensionamento criado na assinatura registrada resulta em uma VM de Inicialização Confiável ou Conjunto de Dimensionamento de Máquinas Virtuais.
Implantações de VMs e conjuntos de dimensionamento com a versão prévia do TLaD
Comportamento existente
Para criar VMs e conjuntos de dimensionamento com Início Confiável, você precisará adicionar o seguinte elemento securityProfile na implantação:
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
A ausência do elemento securityProfile no código de implantação implantará a VM e o conjunto de dimensionamento sem habilitar o Início Confiável.
Exemplos
- vm-windows-admincenter – O modelo do ARM (Azure Resource Manager) implanta a VM Gen2 sem habilitar a inicialização confiável.
- vm-simple-windows – O modelo do ARM implanta a VM de Trusted launch (sem configuração padrão, pois
securityProfileé adicionado explicitamente ao modelo ARM)
Novo comportamento
Ao usar a API versão 2021-11-01 ou superior e também a integração para versão prévia, a ausência do elemento securityProfile na implantação habilitará o Início Confiável por padrão na nova VM e no novo conjunto de dimensionamento implantados se as seguintes condições forem atendidas:
- A imagem de origem do sistema operacional do Marketplace suporta o Início Confiável.
- A imagem de origem do sistema operacional do ACG suporta e é validada para o Início Confiável.
- O disco de origem dá suporte à inicialização confiável.
- O tamanho da VM dá suporte à inicialização confiável.
A implantação não terá o Início Confiável como padrão se uma ou mais das condições listadas não forem atendidas e concluídas com êxito para criar uma nova VM Gen2 e um novo conjunto de dimensionamento sem o Início Confiável.
Você pode optar por ignorar explicitamente o valor padrão para implantação de VM e conjunto de escalas definindo Standard como valor do parâmetro securityType. Para obter mais informações, confira Posso desabilitar o Lançamento Confiável para uma nova implantação de VM.
Limitações conhecidas
Não é possível ignorar o padrão de inicialização confiável e criar uma VM gen2 (inicialização não confiável) usando o portal do Azure depois de se registrar para visualização.
Após registrar a assinatura para versão prévia, definir o tipo de segurança como Standard no portal do Azure implantará a VM ou o conjunto de dimensionamento Trusted launch. Essa limitação será tratada antes da disponibilização padrão geral do Trusted Launch.
Para atenuar essa limitação, você pode cancelar o registro do recurso de visualização removendo o sinalizador TrustedLaunchByDefaultPreview de recursos no Microsoft.Compute namespace em determinada assinatura.
Não é possível redimensionar a VM ou o VMSS para uma família de tamanhos da VM com Início Confiável sem suporte (como a Série M) após ter o Início Confiável por padrão.
Não haverá suporte para redimensionar a VM de inicialização confiável para a família de tamanhos de VM que não é compatível com inicialização confiável.
Como mitigação, registre o feature flag UseStandardSecurityType no namespace Microsoft.Compute E reverta a VM de Trusted launch para somente Gen2 (Non-Trusted launch) configurando securityType = Standard usando ferramentas de cliente disponíveis (com exceção do portal do Azure).
Comentários sobre a prévia do TLaD
Entre em contato conosco com comentários, consultas ou preocupações sobre essa próxima alteração na Pesquisa de comentários sobre visualização padrão de início confiável.
Desabilitar a versão prévia do TLaD
Para desabilitar a versão prévia do TLaD, cancele o registro do recurso de visualização TrustedLaunchByDefaultPreview no namespace Microsoft.Compute na assinatura da máquina virtual. Para obter mais informações, consulte o recurso de visualização de cancelamento de registro
Conteúdo relacionado
Implantar uma VM com Início Confiável.