Máquinas virtuales confidenciales de las series DCasv5 y ECasv5
La computación confidencial de Azure ofrece VM confidenciales basadas en procesadores AMD con tecnología SEV-SNP. Las VM confidenciales están dirigidas a inquilinos con requisitos elevados de seguridad y confidencialidad. Estas VM proporcionan un límite sólidos reforzado por hardware para satisfacer sus necesidades de seguridad. Puede usar VM confidenciales para migraciones sin realizar cambios en el código, donde la plataforma impide que el estado de las VM se lea o modifique.
Importante
Los niveles de protección varían en función de su configuración y sus preferencias. Por ejemplo, Microsoft puede poseer o administrar claves de cifrado para una mayor comodidad sin coste extra.
Ventajas
Las VM confidenciales ofrecen, entre otras, las siguientes ventajas:
- Aislamiento sólido basado en hardware entre las máquinas virtuales, el hipervisor y el código de administración de host.
- Directivas de atestación personalizables para garantizar el cumplimiento del host antes de la implementación.
- Cifrado de disco confidencial del sistema operativo basado en la nube antes del primer arranque.
- Claves de cifrado de VM que la plataforma o el cliente (opcionalmente) posean y administren.
- Liberación segura de claves con enlace criptográfico entre la atestación correcta de la plataforma y las claves de cifrado de la VM.
- Instancia dedicada virtual de Módulo de plataforma segura (TPM) para la atestación y protección de claves y secretos en la máquina virtual.
- Funcionalidad de arranque seguro similar al inicio de seguro para VM de Azure.
Cifrado de disco del sistema operativo confidencial
Las VM confidenciales de Azure ofrecen un nuevo esquema mejorado de cifrado de disco. Este esquema protege todas las particiones críticas del disco. También enlaza las claves de cifrado de disco al TPM de la máquina virtual y hace que el contenido de disco protegido solo esté accesible para la máquina virtual. Estas claves de cifrado pueden omitir de forma segura los componentes de Azure, incluidos el hipervisor y el sistema operativo host. Para minimizar el potencial de ataque, un servicio en la nube dedicado e independiente también cifra el disco durante la creación inicial de la VM.
Si faltan valores críticos de la plataforma de proceso para el aislamiento de la máquina virtual, durante el arranque, Azure Attestation no atestará el estado de la plataforma. Esto impedirá que la VM se inicie. Por ejemplo, este escenario se produce si no se ha habilitado SEV-SNP.
El cifrado de disco del sistema operativo confidencial es opcional, ya que este proceso puede aumentar el tiempo de creación inicial de la VM. Puede elegir entre:
- Una máquina virtual confidencial con cifrado de disco de sistema operativo confidencial antes de la implementación de la máquina virtual, que usa claves administradas por la plataforma (PMK) o una clave administrada por el cliente (CMK).
- Una VM confidencial sin cifrado de disco de sistema operativo confidencial antes de la implementación de la VM.
Para mayor integridad y protección, las máquinas virtuales confidenciales ofrecen arranque seguro de forma predeterminada cuando se selecciona el cifrado de disco del sistema operativo confidencial. Con el arranque seguro, los publicadores de confianza deben firmar los componentes de arranque de sistema operativo (incluidos el cargador de arranque, el kernel y los controladores de este). Todas las imágenes de VM confidencial compatibles admiten el arranque seguro.
Diferencias de precios de cifrado
Las VM confidenciales de Azure usan el disco de sistema operativo y un disco de estado invitado de máquina virtual cifrada (VMGS) pequeño de varios megabytes. El disco VMGS contiene el estado de seguridad de los componentes de la VM. Algunos componentes incluyen el cargador de arranque de vTPM y UEFI. El disco VMGS pequeño podría suponer un coste de almacenamiento mensual.
A partir de 2022, los discos de sistema operativo cifrados incurrirán en un mayor coste. Este cambio se debe a que los discos cifrados del sistema operativo usan más espacio y no es posible realizar una compresión. Para obtener más información, consulte la guía de precios de discos administrados.
Atestación y TPM
Las VM confidenciales de Azure solo arrancan después de la correcta atestación de los componentes críticos y la configuración de seguridad de la plataforma. El informe de atestación incluye lo siguiente:
- Un informe de atestación firmado que está emitido por AMD SEV-SNP
- Configuración de arranque de la plataforma
- Medidas de firmware de la plataforma
- Medidas de sistema operativo
Puede inicializar una solicitud de atestación dentro de una máquina virtual confidencial para comprobar que las máquinas virtuales confidenciales ejecutan una instancia de hardware con procesadores habilitados para AMD SEV-SNP. Para más información, consulte Atestación de invitado de máquina virtual confidencial de Azure.
Las VM confidenciales de Azure cuentan con un TPM virtual (vTPM) para VM de Azure. El vTPM es una versión virtualizada de un TPM de hardware y cumple la especificación TPM 2.0. Puede usar un vTPM como un almacén seguro Y dedicado para claves y medidas. Las VM confidenciales tienen su propia instancia dedicada de vTPM, que se ejecuta en un entorno seguro fuera del alcance de cualquier VM.
Limitaciones
Existen las siguientes limitaciones con relación a las VM. Para conocer las preguntas más frecuentes, consulte Preguntas más frecuentes sobre VM confidenciales con procesadores AMD.
Compatibilidad de tamaños
Las VM confidenciales admiten los siguientes tamaños de VM:
- Serie DCasv5
- Serie DCadsv5
- Serie ECasv5
- Serie ECadsv5
Para obtener más información, consulte las opciones de implementación de AMD.
SO compatible
Las VM confidenciales admiten las siguientes opciones de sistema operativo:
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Windows Server 2019
- Windows Server 2022
Regions
Las VM confidenciales se ejecutan en hardware especializado disponible en regiones de VM específicas.
Precios
Los precios dependen del tamaño de la VM confidencial. Para obtener más información, consulte Calculadora de precios.
Compatibilidad de características
Las VM confidenciales no admiten lo siguiente:
- Azure Batch
- Azure Backup
- Azure Site Recovery
- Azure Dedicated Host
- Microsoft Azure Virtual Machine Scale Sets con el cifrado de disco del sistema operativo confidencial habilitado
- Compatibilidad limitada con Azure Compute Gallery
- Discos compartidos
- Discos Ultra
- Redes aceleradas
- Migración en vivo
- Capturas de pantalla en los diagnósticos de arranque