Schnellstart: Erstellen einer Intel SGX-VM im Azure-Portal

  • Artikel

Dieses Tutorial führt Sie durch den Prozess der Bereitstellung von Intel SGX-VMs im Azure-Portal. Andernfalls wird empfohlen, Azure Marketplace-Vorlagen zu nutzen.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.

Hinweis

Mit kostenlosen Testkonten ist kein Zugriff auf die VMs in diesem Tutorial möglich. Führen Sie ein Upgrade auf ein Abonnement mit nutzungsbasierter Zahlung durch.

Anmelden bei Azure

  1. Melden Sie sich beim Azure-Portalan.

  2. Wählen Sie oben die Option Ressource erstellen aus.

  3. Wählen Sie im Bereich auf der linken Seite Compute aus.

  4. Wählen Sie Virtuellen Computer erstellen aus.

    Bereitstellen einer VM

Konfigurieren einer Intel SGX-VM

  1. Wählen Sie auf der Registerkarte Grundlagen Ihr Abonnement und Ihre Ressourcengruppe aus.

  2. Geben Sie im Feld Name des virtuellen Computers einen Namen für Ihre neue VM ein.

  3. Geben Sie folgende Werte ein bzw. wählen diese aus:

    • Region: Wählen Sie die für Sie geeignete Azure-Region aus.

      Hinweis

      Intel SGX-VMs werden in bestimmten Regionen auf spezieller Hardware ausgeführt. Informationen zur aktuellen regionalen Verfügbarkeit finden Sie in Verfügbare Regionen unter „DCsv2-Serie“ oder „DCsv3/DCdsv3-Serie“.

  4. Konfigurieren Sie das Betriebssystemimage, das Sie für Ihren virtuellen Computer verwenden möchten.

    • Image wählen: Wählen Sie für dieses Tutorial „Ubuntu 20.04 LTS (Gen 2)“ aus. Sie können auch „Ubuntu 18.04 LTS (Gen2)“ oder „Windows Server 2019“ auswählen.

    • Update auf 2. Generation: Wählen Sie unter „Image“ im Flyout VM-Generation konfigurieren und dann 2. Generation aus.

      image

  5. Wählen Sie eine VM mit Intel SGX-Funktionen aus, indem Sie auf + Filter hinzufügen klicken, um einen Filter zu erstellen. Wählen Sie dann Typ aus, um den Filtertyp festzulegen, und aktivieren Sie in der nächsten Dropdownliste nur Vertrauliche Computeressource.

    VMs der DCsv2-Serie

    Tipp

    Die Größen DC(Zahl)s_v2, DC(Zahl)s_v3 und DC(Zahl)ds_v3 sollten angezeigt werden. Weitere Informationen

  6. Geben Sie die folgenden Informationen ein:

    • Authentifizierungstyp: Wählen Sie Öffentlicher SSH-Schlüssel aus, wenn Sie eine Linux-VM erstellen.

      Hinweis

      Für die Authentifizierung können Sie einen öffentlichen SSH-Schlüssel oder ein Kennwort verwenden. SSH ist sicherer. Wie Sie einen SSH-Schlüssel generieren, erfahren Sie unter Erstellen und Verwenden eines SSH-Schlüsselpaars (öffentlich und privat) für virtuelle Linux-Computer in Azure.

    • Benutzername: Geben Sie den Administratornamen für die VM ein.

    • Öffentlicher SSH-Schlüssel: Geben Sie Ihren öffentlichen RSA-Schlüssel ein (falls zutreffend).

    • Kennwort: Geben Sie Ihr Kennwort für die Authentifizierung ein (falls zutreffend).

    • Öffentliche Eingangsports: Wählen Sie die Option Ausgewählte Ports zulassen und dann in der Liste Öffentliche Eingangsports hinzufügen die Optionen SSH (22) und HTTP (80) aus. Wählen Sie bei der Bereitstellung einer Windows-VM die Optionen HTTP (80) und RDP (3389) aus.

    Hinweis

    Das Zulassen von RDP-/SSH-Ports wird für Produktionsbereitstellungen nicht empfohlen.

    Eingehende Ports

  7. Nehmen Sie Änderungen auf der Registerkarte Datenträger vor.

    • Die DCsv2-Serie unterstützt SSD Standard. Premium SSD wird für DC1, DC2 und DC4 unterstützt.
    • Die DCsv3- und DCdsv3-Serie unterstützen SSD Standard, Premium SSD und Disk Ultra.

  8. Nehmen Sie auf den folgenden Registerkarten die gewünschten Änderungen an den Einstellungen vor, oder übernehmen Sie die Standardeinstellungen.

    • Netzwerk
    • Verwaltung
    • Gastkonfiguration
    • Tags

  9. Klicken Sie auf Überprüfen + erstellen.

  10. Klicken Sie im Bereich Bewerten + erstellen auf Erstellen.

Hinweis

Fahren Sie im nächsten Abschnitt mit diesem Tutorial fort, wenn Sie eine Linux-VM bereitgestellt haben. Gehen Sie bei Bereitstellung einer Windows-VM so vor, dass Sie diese Schritte für die Verbindungsherstellung mit Ihrer Windows-VM ausführen und dann das OE SDK unter Windows installieren.

Herstellen einer Verbindung mit dem virtuellen Linux-Computer

Öffnen Sie den SSH-Client Ihrer Wahl, z. B. Bash unter Linux oder PowerShell unter Windows. Der ssh-Befehl ist in der Regel in Linux, macOS und Windows enthalten. Wenn Sie die Version Windows 7 oder älter verwenden, in der Win32 OpenSSH nicht standardmäßig enthalten ist, sollten Sie die Installation von WSL oder die Verwendung von Azure Cloud Shell über den Browser in Betracht ziehen. Ersetzen Sie im folgenden Befehl den VM-Benutzernamen und die IP-Adresse, um eine Verbindung mit Ihrem virtuellen Linux-Computer herzustellen.

ssh azureadmin@40.55.55.555

Sie finden die öffentliche IP-Adresse Ihrer VM im Azure-Portal im Abschnitt mit der „Übersicht“ für Ihre VM.

IP-Adresse im Azure-Portal

Weitere Informationen zum Herstellen einer Verbindung mit virtuellen Linux-Computern finden Sie unter Erstellen einer Linux-VM mit dem Azure-Portal.

Installieren des Azure-DCAP-Clients

Azure Data Center Attestation Primitives (DCAP), ein Ersatz für die Intel Quote Provider Library (QPL), ruft Begleitmaterialien zur Angebotsgenerierung und Angebotsvalidierung direkt aus dem THIM-Dienst ab.

Der Trusted Hardware Identity Management-Dienst (THIM) übernimmt die Cacheverwaltung von Zertifikaten für alle Trusted Execution Environments (TEE) in Azure und stellt TCB-Informationen (Trusted Computing Base) bereit, um eine Mindestbaseline für Nachweislösungen zu erzwingen.

DCsv3 und DCdsv3 unterstützen nur ECDSA-basierte Nachweise, und Benutzer müssen den Azure DCAP-Client installieren, um mit THIM zu interagieren und TEE-Begleitdaten für die Angebotserstellung während des Nachweisverfahrens abzurufen. DCsv2 unterstützt weiterhin EPID-basierte Nachweise.

Bereinigen von Ressourcen

Wenn die Ressourcengruppe, der virtuelle Computer und alle zugehörigen Ressourcen nicht mehr benötigt werden, können Sie sie löschen.

Wählen Sie die Ressourcengruppe für den virtuellen Computer und dann Löschen aus. Bestätigen Sie dann den Namen der Ressourcengruppe, um das Löschen der Ressourcen abzuschließen.

Nächste Schritte

In dieser Schnellstart haben Sie eine Intel SGX-VM bereitgestellt und eine Verbindung mit ihr hergestellt. Weitere Informationen finden Sie unter Lösungen auf virtuellen Computern.

Machen Sie sich damit vertraut, wie Sie Confidential Computing-Anwendungen entwickeln, indem Sie mit den Beispielen zum Open Enclave SDK auf GitHub fortfahren.

Entwickeln von Open Enclave SDK-Beispielen

Microsoft Azure Attestation ist kostenlos und verwendet das ECDSA-basierte Nachweisframework, um die Vertrauenswürdigkeit mehrerer TEEs und die Integrität der darin ausgeführten Binärdateien remote zu überprüfen. Weitere Informationen finden Sie hier.