توفر هذه المقالة إجابات لبعض الأسئلة الأكثر شيوعا حول الأجهزة الظاهرية السرية (VMs).
ما هي الأجهزة الظاهرية السرية؟
الأجهزة الظاهرية السرية هي حل IaaS للمستأجرين ذوي متطلبات الأمان والسرية العالية. عرض الأجهزة الظاهرية السرية:
- تشفير "البيانات قيد الاستخدام"، بما في ذلك حالة المعالج وذاكرة الجهاز الظاهري. يتم إنشاء المفاتيح بواسطة المعالج ولا تتركها أبدا.
- يساعدك إثبات المضيف على التحقق من صحة الخادم الكامل وتوافقه قبل بدء معالجة البيانات.
- يمكن إرفاق وحدة أمان الأجهزة (HSM) لحراسة مفاتيح أقراص الجهاز الظاهري السرية، والتي يمتلكها المستأجر حصريا.
- بنية تمهيد UEFI الجديدة التي تدعم نظام التشغيل الضيف لإعدادات وقدرات الأمان المحسنة.
- تعتمد الوحدة النمطية للنظام الأساسي الموثوق به (TPM) الظاهرية المخصصة صحة الجهاز الظاهري، وتوفر إدارة مفاتيح متصلبة، وتدعم حالات الاستخدام مثل BitLocker.
لماذا يجب استخدام الأجهزة الظاهرية السرية؟
تعالج الأجهزة الظاهرية السرية مخاوف العملاء بشأن نقل أحمال العمل الحساسة خارج الموقع إلى السحابة. توفر الأجهزة الظاهرية السرية حماية عالية لبيانات العملاء من البنية الأساسية ومشغلي السحابة. على عكس الأساليب والحلول الأخرى، لا يتعين عليك تكييف أحمال العمل الحالية لتناسب الاحتياجات التقنية للنظام الأساسي.
ما هو AMD SEV-SNP، وكيف يرتبط بالأجهزة الظاهرية السرية ل Azure؟
يرمز SEV-SNP إلى ترحيل متداخل آمن للظاهرية المشفرة الآمنة. إنها تقنية بيئة التنفيذ الموثوق بها (TEE) التي يوفرها AMD وتوفر حماية متعددة: على سبيل المثال، تشفير الذاكرة ومفاتيح وحدة المعالجة المركزية الفريدة والتشفير لحالة تسجيل المعالج وحماية التكامل ومنع التراجع عن البرامج الثابتة وتصلب القناة الجانبية والقيود المفروضة على سلوك المقاطعة والاستثناءات. بشكل جماعي، تعمل تقنيات AMD SEV على تقوية حماية الضيف لرفض برنامج hypervisor والوصول إلى التعليمات البرمجية لإدارة المضيف الأخرى إلى ذاكرة الجهاز الظاهري وحالته. تستفيد الأجهزة الظاهرية السرية من AMD SEV-SNP مع تقنيات Azure مثل تشفير القرص الكامل وHSM المدار من Azure Key Vault. يمكنك تشفير البيانات المستخدمة، أثناء النقل، والثبات باستخدام المفاتيح التي تتحكم فيها. باستخدام قدرات Azure Attestation المضمنة، يمكنك تأسيس الثقة بشكل مستقل في الأمان والصحة والبنية الأساسية للأجهزة الظاهرية السرية الخاصة بك.
ما هي تقنيات Intel TDX وكيف ترتبط بالأجهزة الظاهرية السرية ل Azure؟
تشير Intel TDX إلى Intel Trust Domain Extensions (Intel TDX) وهي تقنية بيئة التنفيذ الموثوق بها (TEE) التي توفرها Intel وتوفر حماية متعددة: تستخدم Intel TDX ملحقات الأجهزة لإدارة الذاكرة وتشفيرها وتحمي كل من سرية حالة وحدة المعالجة المركزية وتكاملها. بالإضافة إلى ذلك، يساعد Intel TDX على تقوية البيئة الظاهرية عن طريق رفض برنامج hypervisor ورمز إدارة المضيف الآخر والمسؤولين الوصول إلى ذاكرة الجهاز الظاهري وحالته. تجمع الأجهزة الظاهرية السرية بين Intel TDX وتقنيات Azure مثل تشفير القرص الكامل وAzure Key Vault Managed HSM. يمكنك تشفير البيانات المستخدمة، أثناء النقل، والثبات باستخدام المفاتيح التي تتحكم فيها.
كيف توفر أجهزة Azure الظاهرية السرية حماية أفضل من التهديدات الناشئة من داخل وخارج البنية الأساسية السحابية ل Azure؟
توفر أجهزة Azure الظاهرية بالفعل أمان وحماية رائدين في الصناعة ضد المستأجرين الآخرين والمتسللين الضارين. تزيد الأجهزة الظاهرية السرية من Azure من هذه الحماية باستخدام TEEs المستندة إلى الأجهزة مثل AMD SEV-SNP وIntel TDX لعزل سرية البيانات وسلامتها وحمايتها بشكل مشفر. لا يمكن لمسؤولي المضيفين أو خدمات المضيف (بما في ذلك برنامج مراقبة الأجهزة الافتراضية في Azure) عرض الذاكرة أو حالة وحدة المعالجة المركزية الخاصة بالجهاز الظاهري السري أو تعديلها مباشرة. علاوة على ذلك، مع إمكانية التصديق الكامل، وتشفير قرص نظام التشغيل الكامل، ووحدات النظام الأساسي الموثوق به الظاهرية المحمية بالأجهزة، تتم حماية الحالة الدائمة بحيث لا تتعرض المفاتيح الخاصة بك، ومحتويات الذاكرة الخاصة بك لبيئة الاستضافة غير مشفرة.
هل الأقراص الظاهرية المرفقة بالأجهزة الظاهرية السرية محمية تلقائيا؟
يمكن حاليا تشفير أقراص نظام التشغيل للأجهزة الظاهرية السرية وتأمينها. لمزيد من الأمان، يمكنك تمكين تشفير مستوى الضيف (مثل BitLocker أو dm-crypt) لجميع محركات أقراص البيانات.
هل تتم حماية الذاكرة المكتوبة في ملف تبديل Windows (pagefile.sys) بواسطة TEE؟
نعم، ولكن فقط إذا كان pagefile.sys موجودا على قرص نظام التشغيل المشفر. على الأجهزة الظاهرية السرية مع قرص مؤقت، يمكن نقل ملف pagefile.sys إلى تلميحات نظام التشغيل المشفرة لنقل pagefile.sys إلى محرك الأقراص c:\.
هل يمكنني إنشاء تفريغ ذاكرة مضيف من داخل الجهاز الظاهري السري الخاص بي؟
لا، هذه الإمكانية غير موجودة للأجهزة الظاهرية السرية.
كيف يمكنني نشر أجهزة Azure الظاهرية السرية؟
فيما يلي بعض الطرق التي يمكنك من خلالها نشر جهاز ظاهري سري:
هل يمكنني إجراء التصديق على الأجهزة الظاهرية السرية المستندة إلى AMD؟
تخضع أجهزة Azure الظاهرية السرية على AMD SEV-SNP للمصادقة كجزء من مرحلة التمهيد الخاصة بها. هذه العملية مبهمة للمستخدم وتجرى في نظام التشغيل السحابي مع خدمات Microsoft Azure Attestation وAzure Key Vault. تسمح الأجهزة الظاهرية السرية أيضا للمستخدمين بإجراء تصديق مستقل على أجهزتهم الظاهرية السرية. يحدث هذا التصديق باستخدام أدوات جديدة تسمى Azure Confidential VM Guest Attestation. يسمح تصديق الضيف للعملاء بالشهادة على أن الأجهزة الظاهرية السرية الخاصة بهم تعمل على معالجات AMD مع تمكين SEV-SNP.
هل يمكنني إجراء التصديق على الأجهزة الظاهرية السرية المستندة إلى Intel؟
يمكن التصديق على أجهزة Azure الظاهرية السرية باستخدام Intel TDX بشفافية كجزء من تدفق التمهيد لضمان توافق النظام الأساسي وتحديثه. العملية مبهمة للمستخدم وتجرى باستخدام Microsoft Azure Attestation وAzure Key Vault. إذا كنت ترغب في الانتقال إلى أبعد من ذلك لإجراء عمليات التحقق بعد التمهيد، فإن إثبات النظام الأساسي داخل الضيف متاح. يسمح لك هذا بالتحقق من أن الجهاز الظاهري الخاص بك يعمل على Intel TDX الأصلي. للوصول إلى الميزة، تفضل بزيارة فرع المعاينة. بالإضافة إلى ذلك، ندعم Intel® Trust Authority للمؤسسات التي تسعى للحصول على شهادة مستقلة عن المشغل. سيتوفر قريبا دعم التصديق الكامل داخل الضيف، على غرار AMD SEV-SNP. يسمح هذا للمؤسسات بالتعمق، والتحقق من صحة المزيد من الجوانب، حتى وصولا إلى طبقة تطبيق الضيف.
هل تعمل جميع صور نظام التشغيل مع الأجهزة الظاهرية السرية؟
للتشغيل على جهاز ظاهري سري، يجب أن تفي صور نظام التشغيل بمتطلبات أمان وتوافق معينة. يسمح هذا بتركيب الأجهزة الظاهرية السرية بشكل آمن، والمصادقة عليها، وعزلها عن البنية الأساسية السحابية الأساسية. في المستقبل، نخطط لتقديم إرشادات حول كيفية اتخاذ بناء Linux مخصص وتطبيق مجموعة من التصحيحات مفتوحة المصدر لتأهيلها كصورة جهاز ظاهري سرية.
هل يمكنني تخصيص إحدى صور الجهاز الظاهري السرية المتوفرة؟
نعم. يمكنك استخدام Azure Compute Gallery لتعديل صورة جهاز ظاهري سرية، مثل عن طريق تثبيت التطبيقات. بعد ذلك، يمكنك نشر أجهزة ظاهرية سرية استنادا إلى صورتك المعدلة.
هل يجب علي استخدام نظام تشفير القرص الكامل؟ هل يمكنني استخدام نظام قياسي بدلا من ذلك؟
نظام التشفير الاختياري للقرص الكامل هو الأكثر أمانا في Azure ويلبي مبادئ الحوسبة السرية. ومع ذلك، يمكنك أيضا استخدام أنظمة تشفير القرص الأخرى مع أو بدلا من تشفير القرص الكامل. إذا كنت تستخدم أنظمة تشفير قرص متعددة، فقد يؤثر التشفير المزدوج سلبا على الأداء.
نظرا لأن الأجهزة الظاهرية السرية من Azure تدعم TPM الظاهري، هل يمكنني ختم الأسرار/المفاتيح إلى TPM الظاهري للجهاز الظاهري السري الخاص بي؟
يحتوي كل جهاز ظاهري سري من Azure على وحدة TPM ظاهرية خاصة به، حيث يمكن للعملاء ختم أسرارهم/مفاتيحهم. يوصى للعملاء بالتحقق من حالة vTPM (عبر TPM.msc لأجهزة Windows الظاهرية). إذا لم تكن الحالة جاهزة للاستخدام، نوصي بإعادة تشغيل الأجهزة الظاهرية قبل ختم الأسرار/المفاتيح على vTPM.
هل يمكنني تمكين أو تعطيل نظام تشفير القرص الكامل الجديد بعد إنشاء الجهاز الظاهري؟
لا. بعد إنشاء جهاز ظاهري سري، لا يمكنك إلغاء تنشيط تشفير القرص الكامل أو إعادة تنشيطه. إنشاء جهاز ظاهري سري جديد بدلا من ذلك.
هل يمكنني التحكم في المزيد من جوانب قاعدة الحوسبة الموثوق بها لفرض إدارة المفاتيح المستقلة للمشغل والإثبات وتشفير القرص؟
يجب على المطورين الذين يسعون إلى مزيد من "فصل الواجبات" لخدمات TCB عن موفر خدمة السحابة استخدام نوع الأمان "NonPersistedTPM".
- تتوفر هذه التجربة فقط كجزء من المعاينة العامة ل Intel TDX. المنظمات التي تستخدمه، أو تقدم الخدمات معه هي التي تتحكم في TCB والمسؤوليات التي تأتي معه.
- تتجاوز هذه التجربة خدمات Azure الأصلية، ما يسمح لك بإحضار تشفير القرص الخاص بك وإدارة المفاتيح وحل التصديق.
- لا يزال كل جهاز ظاهري يحتوي على vTPM، والذي يجب استخدامه لاسترداد أدلة الأجهزة، ومع ذلك لا تستمر حالة vTPM من خلال عمليات إعادة التشغيل، ما يعني أن هذا الحل ممتاز لأحمال العمل المؤقتة والمؤسسات التي تريد فصلها عن موفر خدمة السحابة.
هل يمكنني تحويل جهاز ظاهري غير سري إلى جهاز ظاهري سري؟
لا. لأسباب أمنية، يجب إنشاء جهاز ظاهري سري على هذا النحو من البداية.
هل يمكنني تحويل DCasv5/ECasv5 CVM إلى DCesv5/ECesv5 CVM أو DCesv5/ECesv5 CVM إلى DCasv5/ECasv5 CVM؟
نعم، يسمح بالتحويل من جهاز ظاهري سري إلى جهاز ظاهري سري آخر على كل من DCasv5/ECasv5 وDCesv5/ECesv5 في المناطق التي يشاركونها.
إذا كنت تستخدم صورة Windows، فتأكد من أن لديك جميع التحديثات الأخيرة.
إذا كنت تستخدم صورة Ubuntu Linux، فتأكد من استخدام صورة Ubuntu 22.04 LTS السرية مع الحد الأدنى من إصدار 6.2.0-1011-azure
kernel .
لماذا لا يمكنني العثور على DCasv5/ECasv5 أو DCesv5/ECesv5 VMs في محدد حجم مدخل Azure؟
تأكد من تحديد منطقة متوفرة للأجهزة الظاهرية السرية. تأكد أيضا من تحديد مسح كافة عوامل التصفية في محدد الحجم.
هل يمكنني تمكين Azure Accelerated Networking على الأجهزة الظاهرية السرية؟
لا. لا تدعم الأجهزة الظاهرية السرية الشبكات المتسارعة. لا يمكنك تمكين الشبكات المسرعة لأي نشر سري للجهاز الظاهري، أو أي نشر نظام مجموعة خدمة Azure Kubernetes الذي يعمل على الحوسبة السرية.
ماذا يعني هذا الخطأ؟ "تعذر إكمال العملية لأنها تؤدي إلى تجاوز DCasV5/ECasv5 القياسي المعتمد أو DCesv5/ECesv5 Family Cores Quota"
قد تتلقى تعذر إكمال عملية الخطأ لأنها تؤدي إلى تجاوز حصة DCasv5/ECasv5 Family Cores القياسية المعتمدة. يعني خطأ قالب Azure Resource Manager (قالب ARM) هذا فشل التوزيع بسبب عدم وجود مراكز حوسبة Azure. لا تحتوي اشتراكات Azure التجريبية المجانية على حصة أساسية كبيرة بما يكفي للأجهزة الظاهرية السرية. إنشاء طلب دعم لزيادة الحصة النسبية.
ما الفرق بين DCasv5-series/DCesv5-series وECasv5-series/ECesv5-series VMs؟
سلسلة ECasv5 وسلسلة ECesv5 هي أحجام أجهزة ظاهرية محسنة للذاكرة، والتي توفر نسبة ذاكرة إلى وحدة المعالجة المركزية أعلى. هذه الأحجام مناسبة بشكل خاص لخوادم قاعدة البيانات الارتباطية، وذاكرة التخزين المؤقت المتوسطة إلى الكبيرة، والتحليلات في الذاكرة.
هل الأجهزة الظاهرية السرية متاحة عالميا؟
لا. في هذا الوقت، تتوفر هذه الأجهزة الظاهرية فقط في مناطق محددة. للحصول على قائمة حالية بالمناطق المتوفرة، راجع منتجات الجهاز الظاهري حسب المنطقة.
ماذا يحدث إذا كنت بحاجة إلى أن تساعدني Microsoft في الخدمة أو الوصول إلى البيانات على جهازي الظاهري السري؟
ليس لدى Azure إجراءات تشغيل لمنح وصول الجهاز الظاهري السري إلى موظفيه، حتى إذا كان العميل يخول الوصول. ونتيجة لذلك، لا تتوفر سيناريوهات استرداد ودعم مختلفة للأجهزة الظاهرية السرية.
هل تدعم الأجهزة الظاهرية السرية الظاهرية، مثل Azure VMware Solution؟
لا، لا تدعم الأجهزة الظاهرية السرية حاليا الظاهرية المتداخلة، مثل القدرة على تشغيل برنامج تشغيل الآلة الافتراضية داخل جهاز ظاهري.
هل هناك تكلفة إضافية لاستخدام الأجهزة الظاهرية السرية؟
تعتمد الفوترة للأجهزة الظاهرية السرية على الاستخدام والتخزين وحجم الجهاز الظاهري والمنطقة. تستخدم الأجهزة الظاهرية السرية قرص حالة ضيف جهاز ظاهري مشفر صغير (VMGS) من عدة ميغابايت. تغلف VMGS حالة أمان الجهاز الظاهري للمكونات مثل vTPM وUEFI bootloader. قد ينتج عن هذا القرص رسوم تخزين شهرية. أيضا، إذا اخترت تمكين تشفير القرص الكامل الاختياري، فإن أقراص نظام التشغيل المشفرة تتحمل تكاليف أعلى. لمزيد من المعلومات حول رسوم التخزين، راجع دليل التسعير للأقراص المدارة. وأخيرا، بالنسبة لبعض إعدادات الأمان والخصوصية العالية، قد تختار إنشاء موارد مرتبطة، مثل تجمع HSM المدار. يقوم Azure بفواتير مثل هذه الموارد بشكل منفصل عن تكاليف الجهاز الظاهري السرية.
ماذا يمكنني أن أفعل إذا كان الوقت على DCesv5/ECesv5-series VM يختلف عن UTC؟
نادرا ما تواجه بعض الأجهزة الظاهرية من سلسلة DCesv5/ECesv5 اختلافا زمنيا صغيرا عن التوقيت العالمي المتفق عليه. يتوفر إصلاح طويل الأجل لهذا قريبا. في هذه الأثناء، إليك الحلول البديلة لأجهزة Windows وUbuntu Linux الظاهرية:
sc config vmictimesync start=disabled
sc stop vmictimesync
بالنسبة لصور Ubuntu Linux، قم بتشغيل البرنامج النصي التالي:
#!/bin/bash
# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak
# check chronyd.service status
status=$(systemctl is-active chronyd.service)
# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
echo "chronyd.service is active."
else
echo "chronyd.service is not active. Exiting script."
exit 1
fi
# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf
# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."
echo "Restart chronyd service"
systemctl restart chronyd.service
echo "Check chronyd status"
systemctl status chronyd.service