В этой статье приведены ответы на некоторые из наиболее распространенных вопросов о конфиденциальных виртуальных машинах.
Что такое конфиденциальные виртуальные машины?
Конфиденциальные виртуальные машины — это решение IaaS для клиентов с высокими требованиями к безопасности и конфиденциальности. Предложение конфиденциальных виртуальных машин:
- Шифрование для использования данных, включая состояние процессора и память виртуальной машины. Ключи создаются процессором и никогда не покидают его.
- Аттестация узла помогает проверить полную работоспособность и соответствие сервера до начала обработки данных.
- Аппаратный модуль безопасности (HSM) можно подключить для защиты ключей конфиденциальных дисков виртуальных машин, которым владеет клиент исключительно.
- Новая архитектура загрузки UEFI, поддерживающая гостевую ОС для расширенных параметров безопасности и возможностей.
- Выделенный виртуальный доверенный модуль платформы (TPM) гарантирует работоспособность виртуальной машины, обеспечивает защищенное управление ключами и поддерживает такие варианты использования, как BitLocker.
Почему следует использовать конфиденциальные виртуальные машины?
Конфиденциальные виртуальные машины устраняют проблемы клиентов по перемещению конфиденциальных рабочих нагрузок вне локальной среды в облако. Конфиденциальные виртуальные машины обеспечивают повышенную защиту данных клиентов от базовых операторов инфраструктуры и облачных операторов. В отличие от других подходов и решений, вам не нужно адаптировать существующие рабочие нагрузки в соответствии с техническими потребностями платформы.
Что такое AMD SEV-SNP и как он связан с конфиденциальными виртуальными машинами Azure?
SEV-SNP — это защищенное вложенное разбиение по страницам с защищенным шифрованием. Это технология доверенной среды выполнения (TEE), предоставляемая AMD и предлагает несколько средств защиты: например, шифрование памяти, уникальные ключи ЦП, шифрование состояния регистра процессора, защита целостности, защита отката встроенного ПО, защита отката встроенного ПО, защита откатов на стороне канала и ограничения на прерывание и исключения. В совокупности технологии AMD SEV ужесточяют защиту гостей, чтобы запретить гипервизор и другой код управления узлами доступ к памяти и состоянию виртуальной машины. Конфиденциальные виртуальные машины используют AMD SEV-SNP с такими технологиями Azure, как шифрование полного диска и управляемый HSM в Azure Key Vault. Вы можете шифровать данные, используемые, передаваемые и неактивные с помощью ключей, которыми вы управляете. С помощью встроенных возможностей Аттестация Azure можно независимо устанавливать доверие к безопасности, работоспособности и базовой инфраструктуре конфиденциальных виртуальных машин.
Что такое технологии Intel TDX и как они связаны с конфиденциальными виртуальными машинами Azure?
Intel TDX обозначает расширения домена Intel Trust (Intel TDX) — это технология доверенной среды выполнения (TEE), предоставляемая Intel, и предлагает несколько средств защиты: Intel TDX использует аппаратные расширения для управления памятью и шифрования памяти и защищает как конфиденциальность, так и целостность состояния ЦП. Кроме того, Intel TDX помогает защитить виртуализированную среду путем запрета гипервизора, другого кода управления узлами и доступа администраторов к памяти и состоянию виртуальной машины. Конфиденциальные виртуальные машины объединяют Intel TDX с технологиями Azure, такими как шифрование полного диска и управляемый HSM Azure Key Vault. Вы можете шифровать данные, используемые, передаваемые и неактивные с помощью ключей, которыми вы управляете.
Как конфиденциальные виртуальные машины Azure обеспечивают более эффективную защиту от угроз, исходящих как из инфраструктуры облака Azure, так и извне?
Виртуальные машины Azure уже предлагают индустрию ведущих средств безопасности и защиты от других клиентов и вредоносных злоумышленников. Конфиденциальные виртуальные машины Azure расширяют эти средства защиты с помощью аппаратных TEEs, таких как AMD SEV-SNP и Intel TDX для шифрования и защиты конфиденциальности и целостности данных. Администраторы узлов или службы узлов (включая гипервизор Azure) не могут напрямую просматривать или изменять состояние памяти или ЦП конфиденциальной виртуальной машины. Кроме того, с полной возможностью аттестации, полным шифрованием дисков ОС и аппаратными виртуальными доверенными платформенными модулями, сохраняемое состояние защищено таким образом, что закрытые ключи и содержимое памяти не предоставляются в среде размещения незашифрованных данных.
Подключены ли виртуальные диски к конфиденциальным виртуальным машинам автоматически защищены?
В настоящее время диски ОС для конфиденциальных виртуальных машин можно шифровать и защищать. Для дополнительной безопасности можно включить шифрование на уровне гостя (например, BitLocker или dm-crypt) для всех дисков данных.
Записывает ли память в файл буфера Windows (pagefile.sys) защищенный TEE?
Да, но только если pagefile.sys находится на зашифрованном диске ОС. На конфиденциальных виртуальных машинах с временным диском файл pagefile.sys можно переместить в зашифрованные советы ос для перемещения pagefile.sys на диск c:\ .
Можно ли создать дамп памяти узла из моей конфиденциальной виртуальной машины?
Нет, эта возможность не существует для конфиденциальных виртуальных машин.
Как развернуть конфиденциальные виртуальные машины Azure?
Ниже приведены некоторые способы развертывания конфиденциальной виртуальной машины:
Можно ли выполнить аттестацию для конфиденциальных виртуальных машин на основе AMD?
Конфиденциальные виртуальные машины Azure в AMD SEV-SNP проходят аттестацию в рамках этапа загрузки. Этот процесс непрозрачн для пользователя и выполняется в облачной операционной системе со службами Microsoft Аттестация Azure и Azure Key Vault. Конфиденциальные виртуальные машины также позволяют пользователям выполнять независимую аттестацию для конфиденциальных виртуальных машин. Эта аттестация происходит с помощью новых инструментов, называемых аттестацией гостевой виртуальной машины Azure. Аттестация гостей позволяет клиентам подтвердить, что конфиденциальные виртуальные машины работают на процессорах AMD с включенным SEV-SNP.
Можно ли выполнить аттестацию для конфиденциальных виртуальных машин на основе Intel?
Конфиденциальные виртуальные машины Azure с помощью Intel TDX можно прозрачно проверить как часть потока загрузки, чтобы обеспечить соответствие платформы и актуальности платформы. Процесс непрозрачн для пользователя и выполняется с помощью Microsoft Аттестация Azure и Azure Key Vault. Если вы хотите продолжить проверку после загрузки, аттестация на гостевой платформе доступна. Это позволяет проверить, работает ли виртуальная машина на подлинной платформе Intel TDX. Чтобы получить доступ к этой функции, посетите нашу ветвь предварительной версии. Кроме того, мы поддерживаем Центр доверия Intel® для предприятий, ищущих независимых аттестаций. Поддержка полной аттестации в гостях, аналогичная AMD SEV-SNP, скоро ожидается. Это позволяет организациям более глубоко изучить и проверить дополнительные аспекты даже до уровня гостевого приложения.
Работают ли все образы ОС с конфиденциальными виртуальными машинами?
Для запуска на конфиденциальной виртуальной машине образы ОС должны соответствовать определенным требованиям к безопасности и совместимости. Это позволяет безопасно подключать конфиденциальные виртуальные машины, тестировать и изолироваться от базовой облачной инфраструктуры. В будущем мы планируем предоставить рекомендации по принятию пользовательской сборки Linux и применению набора исправлений с открытым исходным кодом, чтобы квалифицировать его как конфиденциальный образ виртуальной машины.
Можно ли настроить один из доступных образов конфиденциальных виртуальных машин?
Да. Вы можете использовать коллекцию вычислений Azure для изменения образа конфиденциальной виртуальной машины, например путем установки приложений. Затем можно развернуть конфиденциальные виртуальные машины на основе измененного образа.
Нужно ли использовать схему полного шифрования дисков? Можно ли использовать стандартную схему?
Необязательная схема полного шифрования диска является наиболее безопасной и соответствует принципам конфиденциальной вычислительной техники Azure. Однако вы также можете использовать другие схемы шифрования дисков вместе с полным шифрованием диска или вместо полного шифрования. При использовании нескольких схем шифрования дисков двойное шифрование может отрицательно повлиять на производительность.
Так как конфиденциальные виртуальные машины Azure поддерживают виртуальный TPM, можно ли запечатывать секреты и ключи для виртуального доверенного платформенного модуля конфиденциальной виртуальной машины?
Каждая конфиденциальная виртуальная машина Azure имеет собственный виртуальный TPM, где клиенты могут запечатывать свои секреты и ключи. Клиентам рекомендуется проверить состояние vTPM (через TPM.msc для виртуальных машин Windows). Если состояние не готово для использования, рекомендуется перезагрузить виртуальные машины перед запечатыванием секретов и ключей в vTPM.
Можно ли включить или отключить новую схему полного шифрования дисков после создания виртуальной машины?
№ После создания конфиденциальной виртуальной машины невозможно отключить или повторно активировать шифрование полного диска. Создайте новую конфиденциальную виртуальную машину.
Можно ли контролировать дополнительные аспекты доверенной вычислительной базы для применения независимого управления ключами, аттестации и шифрования дисков?
Разработчики, стремящиеся к дальнейшему разделению обязанностей для служб TCB от поставщика облачных служб, должны использовать тип безопасности NonPersistedTPM.
- Этот интерфейс доступен только в рамках общедоступной предварительной версии Intel TDX. Организации, использующие его или предоставляющие им услуги, контролируют TCB и обязанности, которые приходят вместе с ним.
- Этот интерфейс проходит собственные службы Azure, что позволяет использовать собственное шифрование дисков, управление ключами и решение аттестации.
- Каждая виртуальная машина по-прежнему имеет VTPM, которая должна использоваться для получения аппаратных доказательств, однако состояние vTPM не сохраняется с помощью перезагрузки, то есть это решение отлично подходит для временных рабочих нагрузок и организаций, желающих отключиться от поставщика облачных служб.
Можно ли преобразовать не конфиденциальную виртуальную машину в конфиденциальную виртуальную машину?
№ По соображениям безопасности необходимо создать конфиденциальную виртуальную машину с самого начала.
Можно ли преобразовать DCasv5/ECasv5 CVM в DCesv5/ECesv5 CVM или DCesv5/ECesv5 CVM в DCasv5/ECasv5 CVM?
Да, преобразование одной конфиденциальной виртуальной машины в другую конфиденциальную виртуальную машину разрешено как в DCasv5/ECasv5, так и DCesv5/ECesv5 в регионах, которыми они совместно используются.
Если вы используете образ Windows, убедитесь, что у вас есть все последние обновления.
Если вы используете образ Ubuntu Linux, убедитесь, что вы используете конфиденциальный образ Ubuntu 22.04 LTS с минимальной версией 6.2.0-1011-azure
ядра.
Почему я не могу найти виртуальные машины DCasv5/ECasv5 или DCesv5/ECesv5 в селекторе размера портал Azure?
Убедитесь, что вы выбрали доступный регион для конфиденциальных виртуальных машин. Кроме того, обязательно выделите все фильтры в селекторе размера.
Можно ли включить ускоренную сеть Azure на конфиденциальных виртуальных машинах?
№ Конфиденциальные виртуальные машины не поддерживают ускоренную сеть. Вы не можете включить ускорение сети для любого развертывания конфиденциальной виртуальной машины или любого развертывания кластера Служба Azure Kubernetes, работающего в конфиденциальных вычислениях.
Что означает эта ошибка? "Операция не может быть завершена, так как она приводит к превышению утвержденной стандартной квоты DCasV5/ECasv5 или DCesv5/ECesv5 Family Cores".
Возможно, операция ошибки не может быть завершена, так как она приводит к превышению утвержденной стандартной квоты DCasv5/ECasv5 Family Cores. Эта ошибка шаблона Azure Resource Manager (шаблон ARM) означает, что развертывание завершилось сбоем из-за отсутствия вычислительных ядер Azure. Бесплатные пробные подписки Azure не имеют достаточно большой основной квоты для конфиденциальных виртуальных машин. Создайте запрос в службу поддержки для увеличения квоты.
Какова разница между виртуальными машинами серии DCasv5/DCesv5 и ECasv5-series/ECesv5-series?
Серии ECasv5 и ECesv5 — это оптимизированные для памяти размеры виртуальных машин, которые обеспечивают более высокое соотношение памяти к ЦП. Эти размеры особенно хорошо подходят для реляционных серверов баз данных, средних и больших кэшей и аналитики в памяти.
Доступны ли конфиденциальные виртуальные машины глобально?
№ В настоящее время эти виртуальные машины доступны только в выборе регионов. Текущий список доступных регионов см. в разделе "Продукты виртуальных машин по регионам".
Что произойдет, если мне нужна корпорация Майкрософт, чтобы помочь мне в обслуживании или получить доступ к данным на моей конфиденциальной виртуальной машине?
В Azure нет операционных процедур для предоставления доступа к конфиденциальной виртуальной машине своим сотрудникам, даже если клиент авторизовать доступ. В результате для конфиденциальных виртуальных машин недоступны различные сценарии восстановления и поддержки.
Поддерживают ли конфиденциальные виртуальные машины виртуализацию, например Решение Azure VMware?
Нет, конфиденциальные виртуальные машины в настоящее время не поддерживают вложенную виртуализацию, например возможность запуска гипервизора внутри виртуальной машины.
Существует ли дополнительная стоимость использования конфиденциальных виртуальных машин?
Выставление счетов за конфиденциальные виртуальные машины зависит от использования и хранилища, а также размера и региона виртуальной машины. Конфиденциальные виртуальные машины используют небольшой зашифрованный диск состояния гостевой машины (VMGS) нескольких мегабайт. VMGS инкапсулирует состояние безопасности виртуальной машины компонентов, таких как vTPM и загрузчик UEFI. Этот диск может привести к ежемесячной плате за хранение. Кроме того, если вы решили включить необязательное шифрование полного диска, зашифрованные диски ОС несут более высокие затраты. Дополнительные сведения о сборе за хранение см. в руководстве по ценам на управляемые диски. Наконец, для некоторых параметров безопасности и конфиденциальности можно создать связанные ресурсы, например управляемый пул HSM. Azure выставляет счета за такие ресурсы отдельно от затрат на конфиденциальную виртуальную машину.
Что делать, если время на виртуальной машине серии DCesv5/ECesv5 отличается от UTC?
Редко некоторые виртуальные машины серии DCesv5/ECesv5 могут иметь небольшую разницу во времени от UTC. Долгосрочное исправление доступно для этого в ближайшее время. В то же время ниже приведены обходные пути для виртуальных машин Windows и Ubuntu Linux:
sc config vmictimesync start=disabled
sc stop vmictimesync
Для образов Ubuntu Linux выполните следующий сценарий:
#!/bin/bash
# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak
# check chronyd.service status
status=$(systemctl is-active chronyd.service)
# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
echo "chronyd.service is active."
else
echo "chronyd.service is not active. Exiting script."
exit 1
fi
# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf
# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."
echo "Restart chronyd service"
systemctl restart chronyd.service
echo "Check chronyd status"
systemctl status chronyd.service