Informacje o poufnych maszynach wirtualnych platformy Azure
Poufne maszyny wirtualne platformy Azure oferują silne zabezpieczenia i poufność dzierżawców. Tworzą one wymuszoną sprzętowo granicę między aplikacją a stosem wirtualizacji. Można ich używać do migracji do chmury bez modyfikowania kodu, a platforma zapewnia ochronę stanu maszyny wirtualnej.
Ważne
Poziomy ochrony różnią się w zależności od konfiguracji i preferencji. Na przykład firma Microsoft może posiadać klucze szyfrowania lub zarządzać nimi w celu zwiększenia wygody bez dodatkowych kosztów.
Microsoft Mechanics
Korzyści z poufnych maszyn wirtualnych
- Niezawodna izolacja sprzętowa między maszynami wirtualnymi, funkcją hypervisor i kodem zarządzania hostami.
- Dostosowywalne zasady zaświadczania w celu zapewnienia zgodności hosta przed wdrożeniem.
- Poufne szyfrowanie dysków systemu operacyjnego w chmurze przed pierwszym rozruchem.
- Klucze szyfrowania maszyn wirtualnych, które platforma lub klient (opcjonalnie) są właścicielami i zarządzają nimi.
- Bezpieczne wydanie klucza za pomocą powiązania kryptograficznego między pomyślnym zaświadczeniem platformy a kluczami szyfrowania maszyny wirtualnej.
- Dedykowane wystąpienie modułu TPM (Virtual Trusted Platform Module) na potrzeby zaświadczania i ochrony kluczy i wpisów tajnych na maszynie wirtualnej.
- Funkcja bezpiecznego rozruchu podobna do zaufanego uruchamiania maszyn wirtualnych platformy Azure
Poufne szyfrowanie dysków systemu operacyjnego
Poufne maszyny wirtualne platformy Azure oferują nowy i rozszerzony schemat szyfrowania dysków. Ten schemat chroni wszystkie krytyczne partycje dysku. Wiąże również klucze szyfrowania dysków z modułem TPM maszyny wirtualnej i udostępnia chronioną zawartość dysku tylko maszynie wirtualnej. Te klucze szyfrowania mogą bezpiecznie pomijać składniki platformy Azure, w tym funkcję hypervisor i system operacyjny hosta. Aby zminimalizować potencjał ataku, dedykowana i oddzielna usługa w chmurze szyfruje również dysk podczas początkowego tworzenia maszyny wirtualnej.
Jeśli platforma obliczeniowa nie ma krytycznych ustawień izolacji maszyny wirtualnej, zaświadczenie platformy Azure nie będzie świadczyć o kondycji platformy podczas rozruchu i uniemożliwi uruchomienie maszyny wirtualnej. Ten scenariusz występuje, jeśli na przykład nie włączono protokołu SEV-SNP.
Poufne szyfrowanie dysków systemu operacyjnego jest opcjonalne, ponieważ ten proces może wydłużyć początkowy czas tworzenia maszyny wirtualnej. Do wyboru są następujące opcje:
- Poufne maszyny wirtualnej z szyfrowaniem poufnych dysków systemu operacyjnego przed wdrożeniem maszyny wirtualnej korzystającej z kluczy zarządzanych przez platformę (PMK) lub klucza zarządzanego przez klienta (CMK).
- Poufne maszyny wirtualnej bez poufnego szyfrowania dysku systemu operacyjnego przed wdrożeniem maszyny wirtualnej.
Aby zapewnić dalszą integralność i ochronę, poufne maszyny wirtualne oferują bezpieczny rozruch domyślnie po wybraniu poufnego szyfrowania dysku systemu operacyjnego.
W przypadku bezpiecznego rozruchu zaufany wydawcy muszą podpisać składniki rozruchu systemu operacyjnego (w tym moduł ładujący rozruchu, jądro i sterowniki jądra). Wszystkie zgodne poufne obrazy maszyn wirtualnych obsługują bezpieczny rozruch.
Poufne szyfrowanie dysku tymczasowego
Można również rozszerzyć ochronę szyfrowania dysków poufnych na dysk tymczasowy. Umożliwiamy to dzięki wykorzystaniu technologii szyfrowania klucza symetrycznego maszyny wirtualnej po dołączeniu dysku do CVM.
Dysk tymczasowy zapewnia szybki, lokalny i krótkoterminowy magazyn dla aplikacji i procesów. Ma ona na celu przechowywanie tylko danych, takich jak pliki stron, pliki dziennika, dane buforowane i inne typy danych tymczasowych. Dyski tymczasowe na CVM zawierają plik strony, znany również jako plik wymiany, który może zawierać poufne dane. Bez szyfrowania dane na tych dyskach mogą być dostępne dla hosta. Po włączeniu tej funkcji dane na dyskach tymczasowych nie są już widoczne dla hosta.
Tę funkcję można włączyć za pomocą procesu zgody. Więcej informacji zawiera dokumentacja.
Różnice cen szyfrowania
Poufne maszyny wirtualne platformy Azure używają zarówno dysku systemu operacyjnego, jak i małego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS) kilku megabajtów. Dysk usługi VMGS zawiera stan zabezpieczeń składników maszyny wirtualnej. Niektóre składniki obejmują moduł rozruchowy vTPM i UEFI. Mały dysk USŁUGI VMGS może spowodować naliczanie miesięcznych kosztów magazynowania.
Od lipca 2022 r. zaszyfrowane dyski systemu operacyjnego będą ponosić wyższe koszty. Aby uzyskać więcej informacji, zobacz przewodnik cenowy dotyczący dysków zarządzanych.
Zaświadczenie i moduł TPM
Poufne maszyny wirtualne platformy Azure są uruchamiane dopiero po pomyślnym zaświadczaniu o krytycznych składnikach i ustawieniach zabezpieczeń platformy. Raport zaświadczania obejmuje:
- Podpisany raport zaświadczania
- Ustawienia rozruchu platformy
- Pomiary oprogramowania układowego platformy
- Pomiary systemu operacyjnego
Możesz zainicjować żądanie zaświadczania wewnątrz poufnej maszyny wirtualnej, aby sprawdzić, czy poufne maszyny wirtualne uruchamiają wystąpienie sprzętowe z procesorami AMD SEV-SNP lub Intel TDX. Aby uzyskać więcej informacji, zobacz Zaświadczenie gościa poufnej maszyny wirtualnej platformy Azure.
Poufne maszyny wirtualne platformy Azure oferują wirtualny moduł TPM (vTPM) dla maszyn wirtualnych platformy Azure. VTPM to zwirtualizowana wersja sprzętowego modułu TPM i jest zgodna ze specyfikacją modułu TPM 2.0. Maszynę wirtualną vTPM można używać jako dedykowanego, bezpiecznego magazynu dla kluczy i pomiarów. Poufne maszyny wirtualne mają własne dedykowane wystąpienie vTPM, które działa w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej.
Ograniczenia
Istnieją następujące ograniczenia dotyczące poufnych maszyn wirtualnych. Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące poufnych maszyn wirtualnych.
Obsługa rozmiaru
Poufne maszyny wirtualne obsługują następujące rozmiary maszyn wirtualnych:
- Ogólnego przeznaczenia bez dysku lokalnego: seria DCasv5, seria DCesv5
- Ogólnego przeznaczenia z dyskiem lokalnym: seria DCadsv5, seria DCedsv5
- Zoptymalizowane pod kątem pamięci bez dysku lokalnego: seria ECasv5, seria ECesv5
- Pamięć zoptymalizowana pod kątem dysku lokalnego: seria ECadsv5, seria ECedsv5
- Procesor GPU firmy NVIDIA H100 Tensor Core z procesorem NCCadsH100v5
Obsługa systemu operacyjnego
Obrazy systemu operacyjnego dla poufnych maszyn wirtualnych muszą spełniać określone wymagania dotyczące zabezpieczeń. Te kwalifikowane obrazy zostały zaprojektowane pod kątem obsługi opcjonalnego poufnego szyfrowania dysków systemu operacyjnego i zapewnienia izolacji od podstawowej infrastruktury chmury. Spełnienie tych wymagań pomaga chronić poufne dane i zachować integralność systemu.
Poufne maszyny wirtualne obsługują następujące opcje systemu operacyjnego:
| Linux | Klient z systemem Windows | Serwer z systemem Windows |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (TYLKO AMD SEV-SNP) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session | 2019 Server Core |
| 22.04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2019 Datacenter |
| 24.04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session | 2022 Server Core |
| RHEL | Windows 10 | Wersja platformy Azure 2022 |
| 9.4 (Tylko AMD SEV-SNP) | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2022 Azure Edition Core |
| 2022 Datacenter | ||
| SUSE (Tech Preview) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 dla sap (Intel TDX, AMD SEV-SNP) |
Regiony
Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie dostępnym w określonych regionach maszyn wirtualnych.
Cennik
Ceny zależą od poufnego rozmiaru maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Kalkulator cen.
Obsługa funkcji
Poufne maszyny wirtualne nie obsługują:
- Azure Backup
- Azure Site Recovery
- Ograniczona obsługa galerii zasobów obliczeniowych platformy Azure
- Dyski udostępnione
- Accelerated Networking
- Migracja na żywo
- Zrzuty ekranu w obszarze diagnostyki rozruchu
Następne kroki
Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące poufnej maszyny wirtualnej.