Démarrage sécurisé
Le démarrage sécurisé est conçu pour garantir que seul un logiciel de confiance est utilisé pour démarrer le système. Le firmware dispose d’une base de données de certificats de confiance et vérifie que l’image qu’il charge est signée par l’un de ces certificats de confiance. Si cette image charge d’autres images, alors cette image doit également être vérifiée de la même manière. Le vTPM est une instance logicielle virtualisée d’un module TPM physique traditionnel. Le vTPM permet l’attestation en mesurant l’intégralité de la chaîne de démarrage de votre VM (UEFI, OS, système et pilotes).
Consultez les informations suivantes pour plus de détails sur les services cloud pris en charge :
- Démarrage sécurisé dans AWS
- Démarrage sécurisé dans Google Cloud Platform
- Démarrage sécurisé dans Microsoft Azure
- Démarrage sécurisé dans VMware
Démarrage sécurisé dans AWS
Dans les environnements AWS, vous pouvez sélectionner une image principale (AMI) avec NitroTPM et/ou le démarrage sécurisé UEFI activé. En conséquence, les VM provisionnées dans le catalogue sont également activées avec NitroTPM et/ou le démarrage sécurisé UEFI. Cette implémentation garantit que les VM sont sécurisées et fiables. Pour plus d’informations sur NitroTPM et le démarrage sécurisé UEFI, consultez la documentation Amazon. Pour créer un catalogue activé avec NitroTPM et le démarrage sécurisé UEFI, consultez Activer NitroTPM et le démarrage sécurisé UEFI pour les instances de VM.
Démarrage sécurisé dans Google Cloud Platform
Vous pouvez provisionner des machines virtuelles blindées sur GCP. Une machine virtuelle blindée est renforcée à l’aide d’un ensemble de contrôles de sécurité qui garantissent l’intégrité vérifiable de vos instances Compute Engine, en utilisant des capacités de sécurité de plateforme avancées telles que le démarrage sécurisé, un module de plateforme fiable virtuel, le firmware UEFI et la surveillance de l’intégrité.
Pour plus d’informations sur l’utilisation de PowerShell pour créer un catalogue avec une VM blindée, consultez Utilisation de PowerShell pour créer un catalogue avec une VM blindée.
Remarque :
Si vous installez Windows 11 sur l’image principale, vous devez activer le vTPM pendant le processus de création de l’image principale. De plus, vous devez activer le vTPM sur la source du profil de machine (VM ou modèle d’instance). Pour plus d’informations sur la création de VM Windows 11 sur le nœud à locataire unique, consultez Créer des VM Windows 11 sur le nœud à locataire unique.
Démarrage sécurisé dans Microsoft Azure
Dans les environnements Azure, vous pouvez créer des catalogues de machines activés avec le lancement sécurisé. Azure offre le lancement sécurisé comme un moyen transparent d’améliorer la sécurité des machines virtuelles de génération 2. Le lancement sécurisé protège contre les techniques d’attaque avancées et persistantes. À la base du lancement sécurisé se trouve le démarrage sécurisé pour votre machine virtuelle. Le lancement sécurisé utilise également le vTPM pour effectuer une attestation à distance par le cloud. Ceci est utilisé pour les vérifications de l’intégrité de la plateforme et pour prendre des décisions basées sur la confiance. Vous pouvez activer individuellement le démarrage sécurisé et le vTPM. Pour plus d’informations sur la création d’un catalogue de machines avec le lancement sécurisé, consultez Catalogues de machines avec lancement sécurisé.
Démarrage sécurisé dans VMware
MCS prend en charge la création d’un catalogue de machines avec un modèle VMware auquel un vTPM est attaché comme source pour l’entrée du profil de machine. Si Windows 11 est installé sur l’image principale, il est alors nécessaire d’activer le vTPM pour l’image principale. Par conséquent, le modèle VMware, qui est une source de profil de machine, doit avoir un vTPM attaché. Pour plus d’informations, consultez Créer un catalogue de machines à l’aide d’un profil de machine.