Partilhar via

Guia de início rápido: criar VM Intel SGX no portal do Azure

  • Artigo

Este tutorial orienta você pelo processo de implantação de VMs Intel SGX usando o portal do Azure. Caso contrário, recomendamos seguir os modelos do Azure Marketplace .

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Nota

As contas de avaliação gratuita não têm acesso às VMs neste tutorial. Por favor, atualize para uma assinatura Pay-As-You-Go.

Iniciar sessão no Azure

  1. Inicie sessão no Portal do Azure.

  2. Na parte superior, selecione Criar um recurso.

  3. No painel do lado esquerdo, selecione, selecione Computar.

  4. Selecione Criar máquina virtual.

    Implementar uma VM

Configurar uma máquina virtual Intel SGX

  1. Na guia Noções básicas, selecione sua Assinatura e Grupo de Recursos.

  2. Em Nome da máquina virtual, insira um nome para sua nova VM.

  3. Escreva ou selecione os seguintes valores:

    • Região: selecione a região do Azure certa para você.

      Nota

      As VMs Intel SGX são executadas em hardware especializado em regiões específicas. Para obter a disponibilidade regional mais recente, procure as séries DCsv2 ou DCsv3/DCdsv3 nas regiões disponíveis.

  4. Configure a imagem do sistema operacional que você gostaria de usar para sua máquina virtual.

    • Escolha Imagem: Para este tutorial, selecione Ubuntu 20.04 LTS - Gen2. Você também pode selecionar Ubuntu 18.04 LTS - Gen2 ou Windows Server 2019.

    • Atualizar para a Geração 2: Abaixo da Imagem, selecione Configurar geração de VM, no menu suspenso e, em seguida, selecione Geração 2.

      image

  5. Escolha uma máquina virtual com recursos Intel SGX clicando em + Adicionar filtro para criar um filtro, selecione Tipo para Tipo de filtro e marque apenas Computação confidencial na lista suspensa seguinte.

    VMs da série DCsv2

    Gorjeta

    Você deve ver os tamanhos DC(número)s_v2, DC(número)s_v3 e DC(número)ds_v3. Mais informações.

  6. Preencha as seguintes informações:

    • Tipo de autenticação: selecione a chave pública SSH se estiver criando uma VM Linux.

      Nota

      Tem a opção de utilizar uma chave pública SSH ou uma Palavra-passe para autenticação. O SSH é mais seguro. Para obter instruções sobre como gerar uma chave SSH, veja Criar chaves SSH em Linux e Mac para VMs do Linux no Azure.

    • Nome de usuário: insira o nome do administrador para a VM.

    • Chave pública SSH: Se aplicável, introduza a sua chave pública RSA.

    • Palavra-passe: Se aplicável, introduza a sua palavra-passe para autenticação.

    • Portas de entrada públicas: escolha Permitir portas selecionadas e selecione SSH (22) e HTTP (80) na lista Selecionar portas de entrada públicas. Se você estiver implantando uma VM do Windows, selecione HTTP (80) e RDP (3389).

    Nota

    Permitir portas RDP/SSH não é recomendado para implantações de produção.

    Portas de entrada

  7. Faça alterações na guia Discos .

    • A série DCsv2 suporta SSD padrão, SSD Premium é suportado em DC1, DC2 e DC4.
    • As séries DCsv3 e DCdsv3 suportam SSD padrão, SSD Premium e Ultra Disk

  8. Faça as alterações desejadas nas configurações nas guias a seguir ou mantenha as configurações padrão.

    • Redes
    • Gestão
    • Configuração de convidado
    • Etiquetas

  9. Selecione Rever + criar.

  10. No painel Rever + criar, selecione Criar.

Nota

Prossiga para a próxima seção e continue com este tutorial se você implantou uma VM Linux. Se você implantou uma VM do Windows, siga estas etapas para se conectar à sua VM do Windows e, em seguida, instale o SDK OE no Windows.

Conectar-se à VM Linux

Abra seu cliente SSH de escolha, como Bash no Linux ou PowerShell no Windows. O ssh comando é normalmente incluído no Linux, macOS e Windows. Se você estiver usando o Windows 7 ou anterior, onde o Win32 OpenSSH não está incluído por padrão, considere instalar o WSL ou usar o Azure Cloud Shell a partir do navegador. No comando seguinte, substitua o nome de utilizador e o endereço IP da VM para ligar à sua VM do Linux.

ssh azureadmin@40.55.55.555

Você pode encontrar o endereço IP público da sua VM no portal do Azure, na seção Visão geral da sua máquina virtual.

Endereço IP no portal do Azure

Para obter mais informações sobre como ligar a VMs do Linux, veja Criar uma VM do Linux no Azure com o Portal.

Instalar o Cliente DCAP do Azure

O Azure Data Center Attestation Primitives (DCAP), um substituto do Intel Quote Provider Library (QPL), obtém garantias de geração de cotação e validação de cotação diretamente do Serviço THIM.

O serviço THIM (Trusted Hardware Identity Management) lida com o gerenciamento de cache de certificados para todos os ambientes de execução confiáveis (TEE) residentes no Azure e fornece informações de base de computação confiável (TCB) para impor uma linha de base mínima para soluções de atestado.

DCsv3 e DCdsv3 oferecem suporte apenas ao Atestado baseado em ECDSA e os usuários precisam instalar o cliente DCAP do Azure para interagir com THIM e buscar garantias TEE para geração de cotação durante o processo de atestado. O DCsv2 continua a suportar o Atestado baseado em EPID.

Clean up resources (Limpar recursos)

Quando não for mais necessário, você poderá excluir o grupo de recursos, a máquina virtual e todos os recursos relacionados.

Selecione o grupo de recursos para a máquina virtual e, em seguida, selecione Excluir. Confirme o nome do grupo de recursos para concluir a exclusão dos recursos.

Próximos passos

Neste guia de início rápido, você implantou e conectou à sua VM Intel SGX. Para obter mais informações, consulte Soluções em máquinas virtuais.

Descubra como você pode criar aplicativos de computação confidenciais, continuando para os exemplos do Open Enclave SDK no GitHub.

Criando exemplos do SDK do Open Enclave

O Atestado do Microsoft Azure é gratuito e uma estrutura de atestado baseada em ECDSA, para verificar remotamente a confiabilidade de vários TEEs e a integridade dos binários executados dentro dele. Saiba mais