Nejčastější dotazy k důvěrným virtuálním počítačům Azure

Důvěrné virtuální počítače jsou řešení IaaS pro tenanty s vysokými požadavky na zabezpečení a důvěrnost. Nabídka důvěrných virtuálních počítačů:

• Šifrování pro "data se používají", včetně stavu procesoru a paměti virtuálního počítače. Klíče jsou generovány procesorem a nikdy je neopustí.
• Ověření identity hostitele vám pomůže ověřit úplný stav a dodržování předpisů serveru před zahájením zpracování dat.
• Modul hardwarového zabezpečení (HSM) je možné připojit k ochraně klíčů důvěrných disků virtuálních počítačů, které tenant vlastní výhradně.
• Nová spouštěcí architektura UEFI podporující hostovaný operační systém pro vylepšené nastavení a možnosti zabezpečení
• Vyhrazený virtuální čip TPM (Trusted Platform Module) certifikuje stav virtuálního počítače, poskytuje posílenou správu klíčů a podporuje případy použití, jako je BitLocker.

Důvěrné virtuální počítače řeší obavy zákazníků ohledně přesunu citlivých úloh místně do cloudu. Důvěrné virtuální počítače poskytují zvýšenou ochranu zákaznických dat ze základní infrastruktury a cloudových operátorů. Na rozdíl od jiných přístupů a řešení nemusíte přizpůsobovat stávající úlohy tak, aby vyhovovaly technickým potřebám platformy.

SEV-SNP je zkratka pro vnořené stránkování Secure Encrypted Virtualization-Secure. Jedná se o technologii důvěryhodného spouštěcího prostředí (TEE), kterou poskytuje AMD a nabízí několik ochrany: například šifrování paměti, jedinečné klíče procesoru, šifrování stavu registru procesoru, ochranu integrity, ochranu proti vrácení firmwaru, posílení zabezpečení kanálu na straně a omezení chování přerušení a výjimek. Technologie AMD SEV společně posílit ochranu hostů, aby odepřela hypervisor a další kód pro správu hostitelů přístup k paměti a stavu virtuálního počítače. Důvěrné virtuální počítače využívají AMD SEV-SNP s technologiemi Azure, jako je šifrování úplného disku a spravovaný HSM služby Azure Key Vault. Pomocí klíčů, které řídíte, můžete šifrovat použitá data, přenášená a neaktivní uložená data. Díky integrovaným možnostem ověření identity Azure můžete nezávisle navázat důvěru v zabezpečení, stav a základní infrastrukturu důvěrných virtuálních počítačů.

Intel TDX je zkratka pro technologii Intel Trust Domain Extensions (Intel TDX) It a Trusted Execution Environment (TEE), kterou poskytuje Intel a nabízí více ochrany: Intel TDX používá hardwarové rozšíření pro správu a šifrování paměti a chrání jak důvěrnost, tak integritu stavu procesoru. Intel TDX navíc pomáhá posílit virtualizované prostředí odepřením hypervisoru, dalšího kódu pro správu hostitelů a přístupu správců k paměti a stavu virtuálního počítače. Důvěrné virtuální počítače kombinují Intel TDX s technologiemi Azure, jako je úplné šifrování disků a spravovaný HSM služby Azure Key Vault. Pomocí klíčů, které řídíte, můžete šifrovat použitá data, přenášená a neaktivní uložená data.

Virtuální počítače Azure již nabízejí špičkové zabezpečení a ochranu před jinými tenanty a škodlivými útočníky. Důvěrné virtuální počítače Azure rozšiřují tyto ochrany pomocí hardwarových TEE, jako jsou AMD SEV-SNP a Intel TDX, k kryptografické izolaci a ochraně důvěrnosti a integrity vašich dat. Správci hostitelů ani hostitelské služby (včetně hypervisoru Azure) nemůžou přímo zobrazit nebo upravit stav paměti nebo procesoru vašeho důvěrného virtuálního počítače. Kromě toho s plnou schopností ověření identity, úplným šifrováním disků s operačním systémem a hardwarem chráněnými virtuálními čipy Trusted Platform Modules je trvalý stav chráněn tak, aby vaše privátní klíče a obsah paměti nebyl zpřístupněn hostitelskému prostředí nešifrovaný.

Disky operačního systému pro důvěrné virtuální počítače je v současné době možné zašifrovat a zabezpečit. Kvůli dodatečnému zabezpečení můžete povolit šifrování na úrovni hosta (například BitLocker nebo dm-crypt) pro všechny datové jednotky.

Ano, ale pouze v případě, že je pagefile.sys umístěn na šifrovaný disk s operačním systémem. Na důvěrných virtuálních počítačích s dočasným diskem lze soubor pagefile.sys přesunout do šifrovaného Tipy operačního systému pro přesun pagefile.sys na jednotku c:\.

Ne, tato funkce neexistuje pro důvěrné virtuální počítače.

Tady je několik způsobů, jak můžete nasadit důvěrný virtuální počítač:

• Nasazení z webu Azure Portal
• Nasazení z rozhraní příkazového řádku Azure (Azure CLI)
• Nasazení pomocí šablony ARM

Důvěrné virtuální počítače Azure na AMD SEV-SNP procházejí ověřením v rámci fáze spouštění. Tento proces je pro uživatele neprůhlený a probíhá v cloudovém operačním systému se službami Microsoft Azure Attestation a Azure Key Vault. Důvěrné virtuální počítače také umožňují uživatelům provádět nezávislá ověření identity pro jejich důvěrné virtuální počítače. K tomuto ověření identity dochází pomocí nových nástrojů, které se nazývají důvěrné ověření hosta virtuálního počítače Azure. Ověření identity hosta umožňuje zákazníkům ověřit, že jejich důvěrné virtuální počítače běží na procesorech AMD s povoleným SEV-SNP.

Důvěrné virtuální počítače Azure využívající Intel TDX je možné transparentně ověřit jako součást spouštěcího toku, aby se zajistilo, že platforma dodržuje předpisy a je aktuální. Proces je neprůhlé pro uživatele a provádí se pomocí ověřování Microsoft Azure a služby Azure Key Vault. Pokud chcete pokračovat v provádění kontrol po spuštění, je k dispozici ověření identity na platformě hosta. To vám umožní ověřit, že váš virtuální počítač běží na originálním procesoru Intel TDX. Pokud chcete získat přístup k této funkci, navštivte naši větev Preview. Kromě toho podporujeme Intel® Trust Authority pro podniky, které hledají operátora nezávislé ověření identity. Podpora úplné ověření identity v hostovi, podobně jako AMD SEV-SNP, bude brzy k dispozici. To organizacím umožňuje přejít hlouběji a ověřit další aspekty, a to i do vrstvy hostované aplikace.

Pokud chcete běžet na důvěrném virtuálním počítači, musí image operačního systému splňovat určité požadavky na zabezpečení a kompatibilitu. To umožňuje bezpečné připojení důvěrných virtuálních počítačů, jejich testování a izolaci od základní cloudové infrastruktury. V budoucnu plánujeme poskytnout pokyny k tomu, jak vytvořit vlastní sestavení Linuxu a použít sadu opensourcových oprav, aby se kvalifikoval jako důvěrná image virtuálního počítače.

Ano. Galerii výpočetních prostředků Azure můžete použít k úpravě důvěrné image virtuálního počítače, například instalací aplikací. Pak můžete nasadit důvěrné virtuální počítače na základě upravené image.

Volitelné schéma šifrování na plný disk je nejbezpečnější v Azure a splňuje principy důvěrného computingu. Můžete ale také použít jiná schémata šifrování disků spolu s šifrováním na plný disk nebo místo šifrování na plný disk. Pokud používáte více schémat šifrování disků, může dvojité šifrování negativně ovlivnit výkon.

Každý důvěrný virtuální počítač Azure má svůj vlastní virtuální čip TPM, kde zákazníci můžou zapečetit tajné kódy a klíče. Zákazníkům se doporučuje ověřit stav virtuálního počítače vTPM (přes TPM.msc pro virtuální počítače s Windows). Pokud stav není připravený k použití, doporučujeme restartovat virtuální počítače před uzavřením tajných kódů nebo klíčů do virtuálního počítače vTPM.

Ne. Po vytvoření důvěrného virtuálního počítače nemůžete deaktivovat ani znovu aktivovat šifrování na plný disk. Místo toho vytvořte nový důvěrný virtuální počítač.

Vývojáři, kteří hledají další oddělení povinností pro služby TCB od poskytovatele cloudových služeb, by měli použít typ zabezpečení NonPersistedTPM.

• Toto prostředí je k dispozici pouze v rámci verze Public Preview pro Intel TDX. Organizace, které ji používají, nebo poskytují služby, mají kontrolu nad TCB a odpovědností, které spolu s ní přicházejí.
• Toto prostředí obchází nativní služby Azure a umožňuje vám přinést vlastní šifrování disků, správu klíčů a řešení ověření identity.
• Každý virtuální počítač stále má virtuální počítač vTPM, který by se měl použít k načtení důkazů o hardwaru, ale stav virtuálního počítače se neprovádí restartováním, což znamená, že toto řešení je vynikající pro dočasné úlohy a organizace, které chtějí oddělit od poskytovatele cloudových služeb.

Ne. Z bezpečnostních důvodů musíte od začátku vytvořit důvěrný virtuální počítač.

Ano, převod z jednoho důvěrného virtuálního počítače na jiný důvěrný virtuální počítač je povolený na virtuálním počítači DCasv5/ECasv5 i DCesv5/ECesv5 v oblastech, které sdílejí. Pokud používáte image Windows, ujistěte se, že máte všechny nejnovější aktualizace. Pokud používáte image Ubuntu Linuxu, ujistěte se, že používáte důvěrnou image Ubuntu 22.04 LTS s minimální verzí 6.2.0-1011-azurejádra.

Ujistěte se, že jste pro důvěrné virtuální počítače vybrali dostupnou oblast. Nezapomeňte také vybrat vymazat všechny filtry v selektoru velikosti.

Ne. Důvěrné virtuální počítače nepodporují akcelerované síťové služby. Akcelerované síťové služby nemůžete povolit pro žádné důvěrné nasazení virtuálního počítače ani pro nasazení clusteru Azure Kubernetes Service, které běží na důvěrném výpočetním prostředí.

Možná se zobrazí chybová operace, protože výsledkem je překročení schválené kvóty pro jádra rodiny DCasv5/ECasv5. Tato chyba šablony Azure Resource Manageru (šablona ARM) znamená, že nasazení selhalo kvůli nedostatku výpočetních jader Azure. Bezplatná zkušební předplatná Azure nemají dostatečnou kvótu jader pro důvěrné virtuální počítače. Vytvořte žádost o podporu pro zvýšení kvóty.

ECasv5-series a ECesv5-series jsou velikosti virtuálních počítačů optimalizované pro paměť, které nabízejí vyšší poměr paměti k procesoru. Tyto velikosti jsou zvláště vhodné pro servery relačních databází, střední až velké mezipaměti a analýzu v paměti.

Ne. V tuto chvíli jsou tyto virtuální počítače dostupné jenom ve vybraných oblastech. Aktuální seznam dostupnýchoblastích

Azure nemá provozní postupy pro udělení důvěrného přístupu k virtuálnímu počítači svým zaměstnancům, i když zákazník autorizuje přístup. V důsledku toho nejsou pro důvěrné virtuální počítače dostupné různé scénáře obnovení a podpory.

Ne, důvěrné virtuální počítače v současné době nepodporují vnořenou virtualizaci, například schopnost spustit hypervisor uvnitř virtuálního počítače.

Fakturace důvěrných virtuálních počítačů závisí na využití a úložišti a velikosti a oblasti virtuálního počítače. Důvěrné virtuální počítače používají malý šifrovaný disk hostovaného virtuálního počítače (VMGS) několika megabajtů. VMGS zapouzdřuje stav zabezpečení virtuálního počítače komponent, jako je spouštěcí zavaděč VTPM a UEFI. Tento disk může vést k měsíčnímu poplatku za úložiště. Pokud se také rozhodnete povolit volitelné šifrování na plný disk, zašifrované disky s operačním systémem se účtují vyšší náklady. Další informace o poplatcích za úložiště najdete v průvodci cenami spravovaných disků. A konečně, u některých nastavení zabezpečení a ochrany osobních údajů můžete vytvořit propojené prostředky, jako je spravovaný fond HSM. Azure tyto prostředky fakturuje odděleně od nákladů na důvěrné virtuální počítače.

V některých virtuálních počítačích řady DCesv5/ECesv5 můžou u některých virtuálních počítačů řady DCesv5 docházet k malému časovému rozdílu od UTC. Pro tuto chvíli je k dispozici dlouhodobá oprava. Mezitím tady jsou alternativní řešení pro virtuální počítače s Windows a Ubuntu Linuxem:

sc config vmictimesync start=disabled
sc stop vmictimesync

V případě imagí Ubuntu Linux spusťte následující skript:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service