「トラステッド起動」にした話

とある企業で脆弱性診断が行われ、数ある指摘事項の中に「仮想マシンをトラステッド起動にしてください」というものがあった。

設定自体は大したことなく、「設定」→「構成」で以下の箇所でトラステッド起動に変更できる。

だが、トラステッド起動にするにはいくつか制約がある。

• 仮想マシンは「停止（割り当て解除）」していること。
• Azureバックアップしている場合、バックアップポリシーは「拡張ポリシー」であること。
• 仮想マシンのサイズとOSバージョンがトラステッド起動でサポートされていること。

以前は「V1世代の仮想マシン」や「Premium SSD v2 を持つ仮想マシン」はサポート外だったが、サポートされるようになった。

仮想マシンを起動したままトラステッド起動にしようとすると「Premium SSD v2 ディスクを持つ仮想マシンのセキュリティの種類は更新できません」と表示されるが、仮想マシンを停止すると問題なく変更できる。ポータル画面の修正がまだ追いついていないのか？

「トラステッド起動」に変更できない！？

で、条件をクリアしているにも関わらず、Azureポータルで変更しようとしたら「現在のイメージではセキュリティの種類を更新できません。」と出る仮想マシンを発見。

検証したところ、このメッセージが出るケースは、ソースイメージの詳細が以下のようにディスク名になっていた。

仮想マシンをマーケットプレイスからデプロイした状態だと、ソースイメージの詳細は次のようになる。この状態であればトラステッド起動に変更できる。

ではトラステッド起動に変更できないのか？というとそんなことはなく、Azure CLI で変更できる。PowerShellのコマンドも用意されているがやってない。コマンドは以下マイクロソフトのページに書かれてある。

https://learn.microsoft.com/ja-jp/azure/virtual-machines/trusted-launch-existing-vm?tabs=cli

Azureポータルで cloud shell を開き、このコマンドを実行すると無事トラステッド起動に変更できた。

ちなみに同じコマンドでV1世代の仮想マシンもトラステッド起動に変更できる。