Dieser Artikel bietet Antworten auf einige der häufigsten Fragen zu vertraulichen virtuellen Maschinen (VMs).
Was sind vertrauliche VMs?
Vertrauliche VMs sind eine IaaS-Lösung für Mandanten mit hohen Sicherheits- und Vertraulichkeitsanforderungen. Vertrauliche VMs bieten:
- Verschlüsselung für „Daten in Gebrauch“, einschließlich des Prozessorstatus und des Arbeitsspeichers des VMs. Die Schlüssel werden vom Prozessor generiert und verbleiben stets dort.
- Das Hosten eines Nachweises unterstützt Sie dabei, die vollständige Integrität und Konformität des Servers zu überprüfen, bevor die Datenverarbeitung beginnt.
- Ein Hardwaresicherheitsmodul (HSM) kann angefügt werden, um die Schlüssel der vertraulichen VM-Laufwerke zu schützen, die der Mandant ausschließlich besitzt.
- Neue UEFI-Startarchitektur, die das Gastbetriebssystem unterstützt, um die Sicherheitseinstellungen und -funktionen zu verbessern.
- Ein dediziertes virtuelles Trusted Platform Module (TPM) zertifiziert die Integrität der VM, stellt eine verstärkte Schlüsselverwaltung bereit und unterstützt Anwendungsfälle wie BitLocker.
Warum sollte ich vertrauliche VMs verwenden?
Vertrauliche VMs berücksichtigen Kundenanliegen beim Verschieben vertraulicher Workloads aus der lokalen Umgebung in die Cloud. Vertrauliche VMs bieten einen erhöhten Schutz für Kundendaten aus der zugrunde liegenden Infrastruktur und den Cloudbetreibern. Im Gegensatz zu anderen Ansätzen und Lösungen müssen Sie Ihre vorhandenen Workloads nicht an die technischen Anforderungen der Plattform anpassen.
Was ist AMD SEV-SNP, und wie hängt es mit vertraulichem Azure-VMs zusammen?
SEV-SNP steht für „Secure Encrypted Virtualization-Secure Nested Paging“. Dabei handelt es sich um eine Trusted Execution Environment-Technologie (TEE), die von AMD bereitgestellt wird und mehrere Schutzmaßnahmen bietet, z. B. Speicherverschlüsselung, eindeutige CPU-Schlüssel, Verschlüsselung für den Prozessorregisterstatus, Integritätsschutz, Verhinderung von Firmware-Zurücksetzung, Seitenkanalabsicherung und Einschränkungen beim Interrupt- und Ausnahmeverhalten. Insgesamt sichern die AMD SEV-Technologien den Gastschutz, um dem Hypervisor und anderen Host-Management-Codes den Zugriff auf VM-Speicher und -Status zu verweigern. Vertrauliche VMs unterstützen AMD SEV-SNP mit Azure-Technologien wie der vollständigen Datenträgerverschlüsselung (Full Disk Encryption) und Azure Key Vault Managed HSM. Sie können Daten während der Übertragung und im Ruhezustand mit von Ihnen gesteuerten Schlüsseln verschlüsseln. Mit integrierter Azure Attestation können Sie unabhängig voneinander Vertrauen in die Sicherheit, Integrität und die zugrunde liegende Infrastruktur Ihrer vertraulichen VMs aufbauen.
Was sind Intel TDX-Technologien, und wie hängen sie mit vertraulichen Azure-VMs zusammen?
Intel TDX steht für Intel Trust Domain Extensions (Intel TDX). Dabei handelt es sich um eine Trusted Execution Environment-Technologie (TEE) von Intel, die mehrere Schutzmaßnahmen bietet: Intel TDX verwendet Hardwareerweiterungen zum Verwalten und Verschlüsseln des Speichers und schützt sowohl die Vertraulichkeit als auch die Integrität des CPU-Zustands. Darüber hinaus trägt Intel TDX zur Verstärkung der Sicherheit der virtualisierten Umgebung bei, indem es dem Hypervisor, anderem Hostverwaltungscode und Administratoren den Zugriff auf den VM-Speicher und -Zustand verweigert. Vertrauliche VMs kombinieren Intel TDX mit Azure-Technologien wie der vollständigen Datenträgerverschlüsselung (Full-Disk Encryption) und Azure Key Vault Managed HSM. Sie können Daten während der Übertragung und im Ruhezustand mit von Ihnen gesteuerten Schlüsseln verschlüsseln.
Wie bieten vertrauliche Azure-VMs besseren Schutz vor Bedrohungen, die sowohl von innerhalb als auch von außerhalb der Azure-Cloudinfrastruktur stammen?
Azure-VMs bieten bereits branchenweit führende Sicherheit und Schutz vor anderen Mandanten und böswilligen Eindringlingen. Vertrauliche Azure-VMs erweitern diese Schutzfunktionen mithilfe von hardwarebasierten TEEs wie SEV-SNP von AMD und Intel TDX, um die Vertraulichkeit und Integrität Ihrer Daten kryptografisch zu isolieren und zu schützen. Kein Hostadministrator oder -dienst (einschließlich des Azure-Hypervisors) kann den Arbeitsspeicher oder den CPU-Status Ihrer vertraulichen VM direkt anzeigen oder ändern. Darüber hinaus ist der persistente Statusdank der vollständigen Nachweisfunktion, der Verschlüsselung des gesamten Betriebssystemdatenträgers und der hardwareseitig geschützten virtuellen TPMs so geschützt, dass Ihre privaten Schlüssel und der Inhalt Ihres Arbeitsspeichers nicht unverschlüsselt für die Hostingumgebung sichtbar sind.
Sind die an vertrauliche VMs angeschlossenen virtuellen Datenträger automatisch geschützt?
Derzeit können Betriebssystemdatenträger für vertrauliche VMs verschlüsselt und gesichert werden. Für zusätzliche Sicherheit können Sie die Verschlüsselung auf Gastebene (z. B. BitLocker oder dm-crypt) für alle Datenlaufwerke aktivieren.
Wird der in die Windows-Auslagerungsdatei (pagefile.sys) geschriebene Arbeitsspeicher vom TEE geschützt?
Ja, aber nur, wenn sich die Datei „pagefile.sys“ auf dem verschlüsselten Betriebssystemdatenträger befindet. Auf vertraulichen VMs mit einem temporären Datenträger kann die pagefile.sys-Datei in das verschlüsselte Betriebssystem verschoben werden. Tipps zum Verschieben von pagefile.sys auf das Laufwerk C:\.
Kann ich ein Hostspeicherabbild aus meiner vertraulichen VM generieren?
Nein, diese Funktion existiert für vertrauliche VMs nicht.
Wie kann ich vertrauliche Azure-VMs bereitstellen?
Hier sind einige Möglichkeiten, wie Sie einen vertraulichen virtuellen Computer bereitstellen können:
Kann ich einen Nachweis für meine AMD-basierten vertraulichen VM durchführen?
Vertrauliche Azure-VMs auf AMD SEV-SNP werden im Rahmen ihrer Startphase durch Nachweis bestätigt. Dieser Prozess ist für den Benutzer nicht transparent und wird im Cloudbetriebssystem mithilfe des Microsoft Azure Attestation- und Azure Key Vault-Dienstes durchgeführt. Vertrauliche VMs ermöglichen Benutzern außerdem die Durchführung von unabhängigen Nachweisen für vertrauliche VMs. Dieser Nachweis erfolgt mithilfe eines neuen Tools namens Azure Confidential VM-Gastnachweis. Mithilfe des Gastnachweises können Kunden nachweisen, dass ihre vertraulichen VMs auf AMD-Prozessoren ausgeführt werden und dass SEV-SNP aktiviert ist.
Kann ich einen Nachweis für meine auf Intel basierenden vertraulichen VMs durchführen?
Vertrauliche Azure-VMs, die auf Intel TDX zurückgreifen, können als Teil des Startflusses transparent bestätigt werden, sodass sichergestellt werden kann, dass die Plattform konform und auf dem neuesten Stand ist. Der Prozess ist für den Benutzer nicht transparent und erfolgt mithilfe von Microsoft Azure Attestation und Azure Key Vault. Wenn Sie auch nach dem Booten Überprüfungen vornehmen möchten, steht Ihnen der Plattformnachweis als Gast zur Verfügung. Mit seiner Hilfe diese Weise können Sie überprüfen, ob Ihre VM auf einer Originalversion von Intel TDX ausgeführt wird. Um auf diese Funktion zuzugreifen, besuchen Sie unseren Vorschaubranch. Darüber hinaus unterstützen wir Intel® Trust Authority für Unternehmen, die einen unabhängigen Nachweis des Betreibers möchten. Die Unterstützung für einen vollständigen Nachweis als Gast, ähnlich wie AMD SEV-SNP, wird in Kürze verfügbar sein. Auf diese Weise können Organisationen tiefer einsteigen und weitere Aspekte, sogar bis auf die Ebene der Gastanwendung, überprüfen.
Funktionieren alle Betriebssystem-Images mit vertraulichen VMs?
Für die Ausführung auf einem vertraulichen VM müssen Betriebssystem-Images bestimmte Sicherheits- und Kompatibilitätsanforderungen erfüllen. Dies ermöglicht es, vertrauliche VMs sicher einzubinden, zu zertifizieren und von der zugrunde liegenden Cloud-Infrastruktur zu isolieren. In Zukunft möchten wir Anleitungen dazu bereitstellen, wie Sie einen benutzerdefinierten Linux-Build erstellen und eine Reihe von Open-Source-Patches anwenden, um sie als vertrauliches VM-Image zu qualifizieren.
Kann ich eines der verfügbaren vertraulichen VM-Images anpassen?
Ja. Sie können Azure Compute Gallery verwenden, um ein vertrauliches VM-Image zu ändern, z. B. durch Installieren von Anwendungen. Anschließend können Sie vertrauliche VMs basierend auf Ihrem geänderten Image bereitstellen.
Muss ich das Datenträgerverschlüsselungsschema verwenden? Kann ich stattdessen ein Standardschema verwenden?
Das optionale Datenträgerverschlüsselungsschema ist das sicherste von Azure und erfüllt die Confidential Computing-Prinzipien. Sie können jedoch auch andere Datenträgerverschlüsselungsschemas zusammen mit oder anstelle der vollständigen Datenträgerverschlüsselung verwenden. Wenn Sie mehrere Datenträgerverschlüsselungsschemas verwenden, kann sich die doppelte Verschlüsselung negativ auf die Leistung auswirken.
Kann ich, da vertrauliche Azure-VMs virtuelles TPM unterstützen, Geheimschlüssel/Schlüssel zum virtuellen TPM meines vertrauliches virtuellen Computers versiegeln?
Jede vertrauliche Azure-VM verfügt über ein eigenes virtuelles TPM, in dem Kunden ihre Geheimnisse/Schlüssel versiegeln können. Es wird empfohlen, dass Kunden den vTPM-Status (für Windows-VMs über TPM.msc) überprüfen. Wenn der Status nicht bereit zur Verwendung lautet, empfehlen wir Ihnen, Ihre VMs neu zu starten, bevor Sie Geheimnisse/Schlüssel für vTPM versiegeln.
Kann ich das neue Verschlüsselungsschema für vollständige Datenträger nach der Erstellung des virtuellen Computers aktivieren oder deaktivieren?
Nein Nachdem Sie einen vertraulichen virtuellen Computer erstellt haben, können Sie die Verschlüsselung auf vollständigem Datenträger nicht mehr deaktivieren oder erneut aktivieren. Erstellen Sie stattdessen einen neuen vertraulichen virtuellen Computer.
Kann ich weitere Aspekte der Trusted Computing Base steuern, um eine betreiberunabhängige Schlüsselverwaltung, Nachweise und Datenträgerverschlüsselung zu erzwingen?
Fachkräfte in der Entwicklung, die eine weitergehende „Aufgabentrennung“ für TCB-Dienste vom Clouddienstanbieter möchten, sollten den Sicherheitstyp „NonPersistedTPM“ verwenden.
- Diese Erfahrung ist nur als Teil der öffentlichen Vorschau für Intel TDX verfügbar. Organisationen, die sie verwenden oder Dienste damit anbieten, die Kontrolle über das TCB und die damit verbundenen Verpflichtungen haben.
- Diese Erfahrung umgeht die nativen Azure-Dienste, sodass Sie eine eigene Datenträgerverschlüsselung, Schlüsselverwaltung und Nachweislösung bereitstellen können.
- Jede VM verfügt immer noch über ein vTPM, das zum Abrufen von Hardwarenachweisen verwendet werden sollte. Der vTPM-Zustand wird jedoch nicht über Neustarts hinweg beibehalten, sodass sich diese Lösung hervorragend für kurzlebige Workloads und Organisationen eignet, die eine weitergehende Entkoppelung vom Clouddienstanbieter anstreben.
Kann ich einen nicht vertraulichen virtuellen Computer in einen vertraulichen virtuellen Computer konvertieren?
Nein Aus Sicherheitsgründen müssen Sie von Anfang an einen vertraulichen virtuellen Computer als solchen erstellen.
Kann ich eine vertrauliche DCasv5/ECasv5-VM in eine vertrauliche DCesv5/ECesv5-VM oder eine vertrauliche DCesv5/ECesv5-VM in eine vertrauliche DCasv5/ECasv5-VM konvertieren?
Ja, das Konvertieren von einer vertraulichen VM in eine andere vertrauliche VM ist sowohl auf DCasv5/ECasv5 als auch auf DCesv5/ECesv5 in den gemeinsamen Regionen zulässig.
Wenn Sie ein Windows-Image verwenden, stellen Sie sicher, dass Sie über alle neuesten Updates verfügen.
Wenn Sie ein Ubuntu Linux-Image verwenden, stellen Sie sicher, dass Sie das vertrauliche Ubuntu 22.04 LTS-Image mit der minimalen Kernelversion 6.2.0-1011-azure
verwenden.
Warum finde ich keine DCasv5/ECasv5- oder DCesv5/ECesv5-VMs in der Größenauswahl im Azure-Portal?
Stellen Sie sicher, dass Sie eine verfügbare Region für vertrauliche VMs ausgewählt haben. Stellen Sie außerdem sicher, dass Sie in der Größenauswahl Alle Filter löschen ausgewählt haben.
Kann ich den beschleunigten Azure-Netzwerkbetrieb auf vertraulichen VMs aktivieren?
Nein Vertrauliche VMs unterstützen keinen beschleunigten Netzwerkbetrieb. Sie können den beschleunigten Netzwerkbetrieb nicht für eine vertrauliche VM-Bereitstellung oder eine Azure Kubernetes Service Clusterbereitstellung aktivieren, die unter Confidential Computing ausgeführt wird.
Was bedeutet dieser Fehler? „Der Vorgang konnte nicht abgeschlossen werden, weil er zu einer Überschreitung des genehmigten Kontingents für Kerne der Standard DCasV5/ECasv5- oder DCesv5/ECesv5-Familie führt“
Sie erhalten möglicherweise den Fehler Der Vorgang konnte nicht abgeschlossen werden, weil er zu einer Überschreitung des genehmigten Kontingents für Kerne der Standard DCasv5/ECasv5-Familie führt. Dieser Azure Resource Manager (ARM-Vorlage) bedeutet, dass die Bereitstellung aufgrund fehlender Azure-Computekerne fehlgeschlagen ist. Kostenlose Azure-Testabonnements verfügen nicht über ein ausreichend großes Kernkontingent für vertrauliche VMs. Erstellen Sie eine Supportanfrage zur Erhöhung Ihres Kontingents.
Was ist der Unterschied zwischen VMs der DCasv5-Serie/DCesv5-Serie und VMs der ECasv5-Serie/ECesv5-Serie?
Bei der ECasv5-Serie und der ECesv5-Serie handelt es sich um speicheroptimierte VM-Größen, die ein höheres Arbeitsspeicher-zu-CPU-Verhältnis bieten. Diese Größen eignen sich besonders gut für relationale Datenbankserver, mittlere bis große Caches und In-Memory-Analysen.
Sind vertrauliche VMs weltweit verfügbar?
Nein Diese virtuellen Computer sind zurzeit nur in ausgewählten Regionen verfügbar. Eine aktuelle Liste der verfügbaren Regionen finden Sie unter VM-Produkte nach Region.
Was passiert, wenn ich die Hilfe von Microsoft benötige, um Daten auf meinem vertraulichen VM zu warten oder darauf zuzugreifen?
Azure bietet keine Betriebsverfahren zum Gewähren von vertraulichem VM-Zugriff für seine Mitarbeiter, auch wenn ein Kunde den Zugriff autorisiert. Daher sind verschiedene Wiederherstellungs- und Supportszenarien für vertrauliche VMs nicht verfügbar.
Unterstützen vertrauliche VMs Virtualisierung, z. B. Azure VMware Solution?
Nein, vertrauliche VMs unterstützen derzeit keine geschachtelte Virtualisierung, z. B. die Möglichkeit, einen Hypervisor auf einem virtuellen Computer auszuführen.
Gibt es zusätzliche Kosten für die Verwendung vertraulicher VMs?
Die Abrechnung für vertrauliche VMs hängt von Ihrer Nutzung und Ihrem Speicher sowie von der Größe und Region des virtuellen Computers ab. Vertrauliche VMs verwenden einen kleinen verschlüsselten VMGS-Datenträger (Virtual Machine Guest State), der mehrere Megabyte groß ist. VMGS kapselt den VM-Sicherheitsstatus von Komponenten wie vTPM und UEFI-Bootloader. Dieser Datenträger kann zu einer monatlichen Speichergebühr führen. Wenn Sie sich für die optionale Verschlüsselung des gesamten Datenträgers entscheiden, fallen für verschlüsselte Betriebssysteme höhere Kosten an. Weitere Informationen zu Speichergebühren finden Sie im Preisleitfaden für verwaltete Datenträger. Schließlich können Sie für einige Einstellungen für hohe Sicherheit und Datenschutz verknüpfte Ressourcen erstellen, z. B. einen Verwalteten HSM-Pool. Azure berechnet solche Ressourcen getrennt von den Kosten für vertrauliche VMs.
Was kann ich tun, wenn sich die Uhrzeit auf meiner VM der DCesv5/ECesv5-Serie von der UTC-Zeit unterscheidet?
In seltenen Fällen kann es bei einigen VMs der DCesv5/ECesv5-Serie zu einem kleinen Zeitunterschied zur UTC kommen. Ein langfristiger Fix ist in Kürze verfügbar. In der Zwischenzeit sind diese Problemumgehungen für Windows- und Ubuntu Linux-VMs verfügbar:
sc config vmictimesync start=disabled
sc stop vmictimesync
Führen Sie für Ubuntu Linux-Images das folgende Skript aus:
#!/bin/bash
# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak
# check chronyd.service status
status=$(systemctl is-active chronyd.service)
# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
echo "chronyd.service is active."
else
echo "chronyd.service is not active. Exiting script."
exit 1
fi
# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf
# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."
echo "Restart chronyd service"
systemctl restart chronyd.service
echo "Check chronyd status"
systemctl status chronyd.service