Avvio protetto
L’avvio protetto è progettato per garantire che solo il software attendibile venga utilizzato per avviare il sistema. Il firmware dispone di un database di certificati attendibili e verifica che l’immagine caricata sia firmata da uno dei certificati attendibili. Se tale immagine carica ulteriori immagini, anche queste devono essere verificate allo stesso modo. vTPM è un’istanza software virtualizzata di un modulo TPM fisico tradizionale. Il vTPM consente l’attestazione misurando l’intera catena di avvio della VM (UEFI, OS, sistema e driver).
Per ulteriori informazioni sui servizi cloud supportati, vedere quanto segue:
- Avvio protetto in AWS
- Avvio protetto in Google Cloud Platform
- Avvio protetto in Microsoft Azure
- Avvio protetto in VMware
Avvio protetto in AWS
Negli ambienti AWS, è possibile selezionare un’immagine master (AMI) con NitroTPM e/o avvio protetto UEFI abilitato. Di conseguenza, le VM di cui è stato eseguito il provisioning nel catalogo sono anch’esse abilitate con NitroTPM e/o avvio protetto UEFI. Questa implementazione garantisce che le VM siano protette e attendibili. Per ulteriori informazioni su NitroTPM e l’avvio protetto UEFI, consultare la documentazione di Amazon. Per creare un catalogo abilitato con NitroTPM e avvio protetto UEFI, consultare Abilitare NitroTPM e l’avvio protetto UEFI per le istanze VM.
Avvio protetto in Google Cloud Platform
È possibile eseguire il provisioning di macchine virtuali schermate su GCP. Una macchina virtuale schermata è rafforzata utilizzando un set di controlli di sicurezza che forniscono un’integrità verificabile delle istanze di Compute Engine, utilizzando funzionalità di sicurezza della piattaforma avanzate come l’avvio protetto, un modulo di piattaforma attendibile virtuale, il firmware UEFI e il monitoraggio dell’integrità.
Per ulteriori informazioni sull’utilizzo di PowerShell per creare un catalogo con VM schermata, vedere Utilizzo di PowerShell per creare un catalogo con VM schermata.
Nota:
Se si installa Windows 11 sull’immagine master, è necessario abilitare vTPM durante il processo di creazione dell’immagine master. Inoltre, è necessario abilitare vTPM sull’origine del profilo macchina (VM o modello di istanza). Per informazioni sulla creazione di VM Windows 11 sul nodo a tenant singolo, vedere Creare VM Windows 11 sul nodo a tenant singolo.
Avvio protetto in Microsoft Azure
Negli ambienti Azure, è possibile creare cataloghi di macchine abilitati con Avvio attendibile. Azure offre l’avvio attendibile come un modo semplice per migliorare la sicurezza delle VM di generazione 2. L’avvio attendibile protegge dalle tecniche di attacco avanzate e persistenti. Alla base dell’avvio attendibile c’è l’avvio protetto per la VM. L’avvio attendibile utilizza anche il vTPM per eseguire l’attestazione remota da parte del cloud. Questo viene utilizzato per i controlli di integrità della piattaforma e per prendere decisioni basate sulla fiducia. È possibile abilitare individualmente l’avvio protetto e il vTPM. Per maggiori informazioni sulla creazione di un catalogo di macchine con Avvio attendibile, vedere Cataloghi di macchine con Avvio attendibile.
Avvio protetto in VMware
MCS supporta la creazione di un catalogo di macchine con un modello VMware con vTPM allegato come origine per l’input del profilo macchina. Se Windows 11 è installato sull’immagine master, è necessario che il vTPM sia abilitato per l’immagine master. Pertanto, il modello VMware, che è una fonte del profilo macchina, deve avere il vTPM allegato. Per maggiori informazioni, vedere Creare un catalogo di macchine utilizzando un profilo macchina.