Cet article fournit des réponses à certaines des questions les plus courantes sur les machines virtuelles confidentielles.
Que sont les machines virtuelles confidentielles ?
Les machines virtuelles confidentielles sont une solution IaaS pour les locataires dont les exigences en matière de sécurité et de confidentialité sont élevées. Les machines virtuelles confidentielles offrent :
- Chiffrement des « données en cours d’utilisation », y compris l’état du processeur et la mémoire de l’ordinateur virtuel. Les clés sont générées par le processeur et ne le quittent jamais.
- L’attestation de l’ordinateur hôte vous permet de vérifier l’intégrité et la conformité du serveur avant le début du traitement des données.
- Le module de sécurité matériel (HSM) peut être joint pour protéger les clés des disques de machine virtuelle confidentielle que le locataire possède exclusivement.
- Nouvelle architecture de démarrage UEFI prenant en charge le système d’exploitation invité pour des paramètres et des fonctionnalités de sécurité améliorés.
- Un module de plateforme sécurisée (TPM) virtuel dédié certifie l’intégrité de la machine virtuelle, fournit une gestion renforcée des clés et prend en charge les cas d’usage tels que BitLocker.
Pourquoi dois-je utiliser des machines virtuelles confidentielles ?
Les machines virtuelles confidentielles répondent aux préoccupations des clients concernant le déplacement de charges de travail sensibles hors site dans le cloud. Les machines virtuelles confidentielles fournissent des protections élevées pour les données client de l’infrastructure sous-jacente et des opérateurs de Cloud. Contrairement à d’autres approches et solutions, vous n’avez pas besoin d’adapter vos charges de travail existantes en fonction des besoins techniques de la plateforme.
Qu’est-ce que AMD SEV-SNP et comment se rapporte-t-il aux machines virtuelles confidentielles Azure ?
SEV-SNP est l’acronyme de Secure Encrypted Virtualization-Secure Nested Paging. Il s’agit d’une technologie TEE (environnement d’exécution de confiance) fournie par AMD et qui offre de multiples protections : par exemple, le chiffrement de la mémoire, les clés uniques du processeur, le chiffrement de l’état des registres du processeur, la protection de l’intégrité, la prévention de la restauration du microprogramme, le renforcement des canaux latéraux et les restrictions sur le comportement des interruptions et des exceptions. Collectivement, les technologies AMD gravité renforcent les protections invitées pour refuser l’hyperviseur et le code de gestion de l’ordinateur hôte pour la mémoire et l’état de la machine virtuelle. Confidential VMs tire profit d’AMD SEV-SNP avec les technologies Azure comme le chiffrement du disque complet et Azure Key Vault Managed HSM. Vous pouvez chiffrer les données en cours d’utilisation, en transit et au repos avec les clés que vous contrôlez. Grâce aux fonctionnalités Azure Attestation intégrées, vous pouvez établir de manière indépendante la confiance dans la sécurité, l’intégrité et l’infrastructure sous-jacente de vos machines virtuelles confidentielles.
Qu’est-ce que les technologies Intel TDX et comment sont-elles liées aux machines virtuelles confidentielles Azure ?
Intel TDX signifie Intel Trust Domain Extensions (Intel TDX). Il s’agit d’une technologie TEE (environnement d’exécution de confiance) fournie par Intel et offre plusieurs protections : Intel TDX utilise des extensions matérielles pour gérer et chiffrer la mémoire et protège à la fois la confidentialité et l’intégrité de l’état du processeur. En outre, Intel TDX contribue à renforcer l’environnement virtualisé en interdisant à l’hyperviseur, à d’autres codes de gestion de l’hôte et aux administrateurs d’accéder à la mémoire et à l’état de la machine virtuelle. Les machines virtuelles confidentielles combinent Intel TDX avec des technologies Azure telles que le chiffrement complet du disque et Azure Key Vault Managed HSM. Vous pouvez chiffrer les données en cours d’utilisation, en transit et au repos avec les clés que vous contrôlez.
Comment les machines virtuelles confidentielles Azure offrent-elles une meilleure protection contre les menaces provenant à la fois de l’intérieur et de l’extérieur de l’infrastructure cloud Azure ?
Les machines virtuelles Azure offrent déjà une sécurité et une protection de premier plan contre les autres locataires et les intrus malveillants. Les machines virtuelles confidentielles Azure renforcent ces protections en utilisant des TEE matériels tels que AMD SEV-SNP et Intel TDX pour isoler et protéger par chiffrement la confidentialité et l’intégrité de vos données. Cela signifie que les administrateurs ou services hôtes (notamment l’hyperviseur Azure) peuvent afficher ou modifier directement l’état de la mémoire ou du processeur de votre machine virtuelle. De plus, grâce à une capacité d’attestation complète, un chiffrement intégral du disque du système d’exploitation et des modules de plateforme virtuelle protégés par le matériel, l’état persistant confidentiel de la machine virtuelle est protégé de telle sorte que ni vos clés privées, ni le contenu de votre mémoire ne soient jamais exposés à l’environnement d’hébergement sans être chiffrés.
Les disques virtuels attachés aux machines virtuelles confidentielles sont-ils automatiquement protégés ?
Actuellement, les disques de système d’exploitation pour les machines virtuelles confidentielles peuvent être chiffrés et sécurisés. Pour plus de sécurité, vous pouvez activer le chiffrement au niveau invité (tel que BitLocker ou dm-crypt) pour tous les lecteurs de données.
La mémoire écrite dans le fichier d’échange Windows (pagefile.sys) est-elle protégée par l’environnement TEE ?
Oui, mais uniquement si le fichier pagefile.sys se trouve sur le disque de système d’exploitation chiffré. Sur les machines virtuelles confidentielles avec un bureau temporaire, le fichier pagefile.sys peut être déplacé vers le système d’exploitation chiffré Conseils pour déplacer pagefile.sys vers le lecteur c:\.
Puis-je générer une image mémoire de l’hôte à partir de ma machine virtuelle confidentielle ?
Non, cette fonctionnalité n’existe pas pour les machines virtuelles confidentielles.
Comment puis-je déployer des machines virtuelles Azure confidentielles ?
Voici quelques façons de déployer une VM confidentielle :
Puis-je effectuer une attestation pour mes machines virtuelles confidentielles basées sur AMD ?
Les machines virtuelles confidentielles Azure sur AMD SEV-SNP subissent une attestation dans le cadre de leur phase de démarrage. Ce processus est opaque pour l’utilisateur et est effectué dans le système d’exploitation cloud avec les services Microsoft Azure Attestation et Azure Key Vault. Les machines virtuelles confidentielles permettent également aux utilisateurs d’effectuer une attestation indépendante pour leurs machines virtuelles confidentielles. Cette attestation est générée à l’aide d’un nouvel outil appelé Attestation d’invité de machine virtuelle confidentielle Azure. L’attestation d’invité permet aux clients d’attester que leurs machines virtuelles confidentielles s’exécutent sur des processeurs AMD sur lesquels SEV-SNP est activé.
Puis-je effectuer une attestation pour mes machines virtuelles confidentielles basées sur Intel ?
Les machines virtuelles confidentielles Azure qui utilisent Intel TDX peuvent être attestées de manière transparente dans le cadre du flux de démarrage afin de garantir que la plateforme est conforme et à jour. Le processus est opaque pour l’utilisateur et se déroule à l’aide de Microsoft Azure Attestation et d’Azure Key Vault. Si vous souhaitez aller plus loin pour effectuer des vérifications après le démarrage, l’attestation de la plateforme invité est disponible. Cela vous permet de vérifier que votre machine virtuelle fonctionne sur du matériel Intel TDX. Pour accéder à la fonctionnalité, visitez notre branche en préversion. De plus, nous prenons en charge Intel® Trust Authority pour les entreprises recherchant une attestation indépendante de l'opérateur. La prise en charge de l’attestationcomplète dans l’invité, semblable à AMD SEV-SNP sera bientôt disponible. Cela permet aux organisations d’aller plus loin et de valider d’autres aspects, même jusqu’à la couche d’application invitée.
Toutes les images de système d’exploitation fonctionnent-elles avec des machines virtuelles confidentielles ?
Pour s’exécuter sur une machine virtuelle confidentielle, les images du système d’exploitation doivent répondre à certaines exigences de sécurité et de compatibilité. Cela permet aux machines virtuelles confidentielles d’être montées en toute sécurité, sanctionnées et isolées de l’infrastructure cloud sous-jacente. À l’avenir, nous prévoyons de fournir des conseils sur la façon de prendre une version personnalisée de Linux et d’appliquer un ensemble de correctifs open source pour la qualifier comme une image de machine virtuelle confidentielle.
Puis-je personnaliser une des images de machine virtuelle confidentielles disponibles ?
Oui. Vous pouvez utiliser la Galerie Azure Compute pour modifier une image de machine virtuelle confidentielle, par exemple en installant des applications. Vous pouvez ensuite déployer des machines virtuelles confidentielles en fonction de votre image modifiée.
Dois-je utiliser le schéma de chiffrement de disque intégral ? Puis-je utiliser un schéma standard à la place ?
Le schéma de chiffrement de disque complet facultatif est le plus sécurisé d’Azure et répond aux principes informatiques confidentiels. Toutefois, vous pouvez également utiliser d’autres schémas de chiffrement de disque avec ou au lieu du chiffrement de disque complet. Si vous utilisez plusieurs schémas de chiffrement de disque, le chiffrement double peut avoir un impact négatif sur les performances.
Étant donné que les machines virtuelles confidentielles Azure prennent en charge le module TPM virtuel, puis-je ajouter des secrets/clés au module TPM virtuel de ma machine virtuelle confidentielle ?
Chaque machine virtuelle confidentielle Azure possède son propre module TPM virtuel, sur lequel les clients peuvent sceller leurs secrets/clés. Il est recommandé aux clients de vérifier l’état vTPM (via TPM.msc pour les machines virtuelles Windows). Si l’état n’est pas prêt à être utilisé, nous vous recommandons de redémarrer vos machines virtuelles avant de sceller les secrets/clés sur vTPM.
Puis-je activer ou désactiver le nouveau modèle de chiffrement de disque intégral après la création de la machine virtuelle ?
Non. Une fois que vous avez créé une machine virtuelle confidentielle, vous ne pouvez pas désactiver ou réactiver le chiffrement de disque complet. Créez à la place une machine virtuelle confidentielle.
Puis-je contrôler davantage d’aspects de Trusted Computing Base pour appliquer une gestion des clés, une attestation et un chiffrement de disque indépendants de l’opérateur ?
Les développeurs souhaitant une « séparation des tâches » plus poussée entre les services TCB et le fournisseur de services cloud doivent utiliser le type de sécurité « NonPersistedTPM ».
- Cette expérience n'est disponible que dans le cadre de la version préliminaire publique d'Intel TDX. Les organisations qui l’utilisent ou qui fournissent des services à l’aide de ce système contrôlent la TCB et les responsabilités qui en découlent.
- Cette expérience contourne les services Azure natifs, ce qui vous permet d’apporter votre propre solution de chiffrement de disque, de gestion des clés et d’attestation.
- Chaque machine virtuelle dispose toujours d’une vTPM, qui devrait être utilisée pour récupérer les preuves matérielles, mais l’état de la vTPM n’est pas conservé lors des redémarrages, ce qui signifie que cette solution est excellente pour les charges de travail éphémères et les organisations qui souhaitent se découpler du fournisseur de services cloud.
Puis-je convertir un ordinateur virtuel non confidentiel en machine virtuelle confidentielle ?
Non. Pour des raisons de sécurité, vous devez créer une machine virtuelle confidentielle en tant que tel depuis le début.
Puis-je convertir un CVM DCasv5/ECasv5 en CVM DCesv5/ECesv5 ou un CVM DCesv5/ECesv5 en CVM DCasv5/ECasv5 ?
Oui, la conversion d’une VM confidentielle vers une autre VM confidentielle est autorisée sur DCasv5/ECasv5 et DCesv5/ECesv5 dans les régions qu’ils partagent.
Si vous utilisez une image Windows, assurez-vous que vous disposez de toutes les mises à jour les plus récentes.
Si vous utilisez une image Ubuntu Linux, assurez-vous que vous utilisez l’image confidentielle Ubuntu 22.04 LTS avec la version minimale du noyau 6.2.0-1011-azure
.
Pourquoi ne puis-je pas trouver les machines virtuelles DCasv5/ECasv5 ou DCesv5/ECesv5 dans le sélecteur de taille du Portail Microsoft Azure ?
Assurez-vous que vous avez sélectionné une région disponible pour les VMs confidentielles. Veillez également à sélectionner Effacer tous les filtres dans le sélecteur de taille.
Puis-je activer la mise en réseau accélérée Azure sur des machines virtuelles confidentielles ?
Non. Les machines virtuelles confidentielles ne prennent pas en charge l’accélération réseau. Vous ne pouvez pas activer la mise en réseau accélérée pour un déploiement de machine virtuelle confidentiel ou un déploiement de cluster de service Azure Kubernetes qui s’exécute sur un informatique confidentielle.
Que signifie cette erreur ? « L'opération n'a pas pu être terminée car elle entraîne le dépassement du quota de cœurs de la famille DCasV5/ECasv5 ou DCesv5/ECesv5 standard approuvé »
Vous pouvez recevoir l'erreur L'opération n'a pas pu être achevée car elle entraîne un dépassement du quota de cœurs de la famille DCasv5/ECasv5 standard approuvé. Cette erreur de modèle de Azure Resource Manager (modèle ARM) signifie que le déploiement a échoué en raison d’un manque de cœurs de calcul Azure. Les abonnements d’essai gratuit Azure ne disposent pas d’un quota de base suffisant pour les machines virtuelles confidentielles. Créez une demande de support pour augmenter votre quota.
Quelle est la différence entre les machines virtuelles des séries DCasv5/DCesv5 et ECasv5/ECesv5 ?
Les séries ECasv5 et ECesv5 sont des tailles de VM optimisées en mémoire, qui offrent un rapport mémoire/CPU plus élevé. Ces tailles sont particulièrement adaptées pour les serveurs de base de données relationnelle, les caches moyens à grands et l’analytique en mémoire.
Les machines virtuelles confidentielles sont-elles disponibles dans le monde entier ?
Non. Pour l’instant, ces machines virtuelles ne sont disponibles que dans certaines régions. Pour obtenir la liste actuelle des régions disponibles, consultez la rubrique produits de machines virtuelles par région.
Que se passe-t-il si j’ai besoin de Microsoft pour m’aider à traiter les données ou à y accéder sur ma machine virtuelle confidentielle ?
Azure ne dispose pas de procédures permettant d’accorder un accès à des machines virtuelles confidentielles à ses employés, même si un client autorise l’accès. Par conséquent, différents scénarios de récupération et de prise en charge ne sont pas disponibles pour les machines virtuelles confidentielles.
Les machines virtuelles confidentielles prennent-elles en charge la virtualisation, telle que la solution VMware Azure ?
Non, les machines virtuelles confidentielles ne prennent pas actuellement en charge la virtualisation imbriquée, comme la possibilité d’exécuter un hyperviseur à l’intérieur d’une machine virtuelle.
L’utilisation de machines virtuelles confidentielles coûte-t-elle un coût supplémentaire ?
La facturation des machines virtuelles confidentielles dépend de votre utilisation et de votre stockage, ainsi que de la taille et de la région de la machine virtuelle. Les machines virtuelles confidentielles utilisent un petit disque d’État invité de machine virtuelle chiffré (VMGS) de plusieurs mégaoctets. VMGS encapsule l’état de sécurité de la machine virtuelle des composants tels que le bootloader vTPM et UEFI. Ce disque peut entraîner des frais de stockage mensuels. Par ailleurs, si vous choisissez d’activer le chiffrement de disque complet facultatif, les disques de système d’exploitation chiffrés entraînent des coûts plus élevés. Pour plus d’informations sur les frais de stockage, consultez le Guide de tarification des disques gérés. Enfin, pour certains paramètres de sécurité et de confidentialité élevés, vous pouvez choisir de créer des ressources liées, telles qu’un pool HSM géré. Azure facture ces ressources séparément des coûts confidentiels de la machine virtuelle.
Que puis-je faire si l’heure de ma VM de la série DCesv5/ECesv5 diffère de l’heure UTC ?
Dans de rares cas, certaines machines virtuelles des séries DCesv5/ECesv5 peuvent rencontrer un léger décalage horaire par rapport à l'heure UTC. Un correctif à long terme sera bientôt disponible. En attendant, voici les solutions de contournement pour les machines virtuelles Windows et Ubuntu Linux :
sc config vmictimesync start=disabled
sc stop vmictimesync
Pour les images Ubuntu Linux, exécutez le script suivant :
#!/bin/bash
# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak
# check chronyd.service status
status=$(systemctl is-active chronyd.service)
# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
echo "chronyd.service is active."
else
echo "chronyd.service is not active. Exiting script."
exit 1
fi
# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf
# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."
echo "Restart chronyd service"
systemctl restart chronyd.service
echo "Check chronyd status"
systemctl status chronyd.service