En savoir plus sur les machines virtuelles confidentielles Azure
Les machines virtuelles confidentielles Azure offrent aux locataires une sécurité et une confidentialité renforcées. Elles créent une limite par voie matérielle entre votre application et la pile de virtualisation. Vous pouvez les utiliser pour les migrations vers le cloud sans modifier votre code, et la plateforme garantit que l’état de votre machine virtuelle reste protégé.
Important
Les niveaux de protection diffèrent selon votre configuration et vos préférences. Par exemple, Microsoft peut conserver ou gérer des clés de chiffrement pour plus de simplicité sans coût supplémentaire.
Microsoft Mechanics
Avantages des machines virtuelles confidentielles
- Isolement matériel fiable entre les machines virtuelles, l’hyperviseur et le code de gestion de l’hôte.
- Stratégies d’attestation personnalisables pour garantir la conformité de l’hôte avant le déploiement.
- Chiffrement de disque de système d’exploitation confidentiel basé sur le cloud avant le premier démarrage.
- Clés de chiffrement de machine virtuelle que la plateforme ou le client possède et gère.
- Libération de clé sécurisée avec liaison de chiffrement entre l’attestation réussie de la plateforme et les clés de chiffrement de la machine virtuelle.
- Instance de module de plateforme sécurisée (TPM) virtuelle dédiée pour l’attestation et la protection des clés et des secrets dans la machine virtuelle.
- Fonction de démarrage sécurisé semblable au lancement fiable pour les machines virtuelles Azure
Chiffrement de disque de système d’exploitation confidentiel
Les machines virtuelles Azure confidentielles offrent un modèle de chiffrement de disque amélioré. Ce schéma protège toutes les partitions critiques du disque. Il lie également les clés de chiffrement de disque au module de plateforme sécurisée de la machine virtuelle et rend le contenu du disque protégé accessible uniquement à la machine virtuelle. Ces clés de chiffrement peuvent ignorer en toute sécurité les composants Azure, y compris l’hyperviseur et le système d’exploitation hôte. Pour réduire le risque d’attaque, un service cloud dédié distinct chiffre également le disque lors de la création initiale de la machine virtuelle.
Si la plateforme de calcul ne contient pas de paramètres critiques pour l’isolation de votre machine virtuelle, Azure Attestation n’atteste pas de l’intégrité de la plateforme pendant le démarrage, et empêche plutôt le démarrage de la machine virtuelle. Ce scénario se produit si vous n’avez pas activé SEV-SNP, par exemple.
Le chiffrement de disque de système d’exploitation confidentiel est facultatif, car ce processus peut rallonger la durée de création initiale de la machine virtuelle. Vous pouvez choisir entre les rôles suivants :
- Une machine virtuelle confidentielle avec chiffrement de disque de système d’exploitation confidentiel avant le déploiement de la machine virtuelle qui utilise des clés gérées par la plateforme (PMK) ou une clé gérée par le client (CMK).
- Une machine virtuelle confidentielle sans chiffrement de disque de système d’exploitation confidentiel avant le déploiement de la machine virtuelle.
Pour renforcer l’intégrité et la protection, les machines virtuelles confidentielles offrent un démarrage sécurisé par défaut lorsque le chiffrement de disque de système d’exploitation confidentiel est sélectionné.
Avec le démarrage sécurisé, les éditeurs approuvés doivent signer les composants de démarrage du système d’exploitation (y compris le chargeur de démarrage, le noyau et les pilotes de noyau). Toutes les images de machines virtuelles confidentielles compatibles prennent en charge le démarrage sécurisé.
Chiffrement de disque temporaire confidentiel
Vous pouvez également étendre la protection du chiffrement de disque confidentiel au disque temporaire. Nous activons l’option en tirant parti d’une technologie de chiffrement à clé symétrique en machine virtuelle, une fois que le disque est attaché à la machine virtuelle confidentielle.
Le disque temporaire fournit un stockage rapide, local et à court terme pour les applications et les processus. Il est destiné uniquement à stocker des données telles que des fichiers de pages, des fichiers journaux, des données en cache et d’autres types de données temporaires. Les disques temporaires sur les machines virtuelles confidentielles contiennent le fichier de page, également appelé fichier d’échange, qui peut comporter des données sensibles. Sans chiffrement, les données sur ces disques peuvent être accessibles à l’hôte. Après avoir activé cette fonctionnalité, les données sur les disques temporaires ne sont plus exposées à l’hôte.
Cette fonctionnalité peut être activée via un processus d’inscription. Pour plus d’informations, consultez la documentation.
Différences de tarification du chiffrement
Les machines virtuelles Azure confidentielles utilisent un petit disque d’état invité de machine virtuelle chiffré (VMGS) de plusieurs mégaoctets. Ce disque VMGS contient l’état de sécurité des composants de la machine virtuelle. Certains composants comprennent le bootloader vTPM et UEFI. Le petit disque VMGS peut entraîner un coût de stockage mensuel.
À compter de juillet 2022, les disques de système d’exploitation chiffrés entraîneront des coûts plus élevés. Pour plus d’informations, consultez le Guide de tarification des disques gérés.
Attestation et module de plateforme sécurisée
Les machines virtuelles Azure confidentielles démarrent uniquement après l’attestation réussie des composants critiques et des paramètres de sécurité de la plateforme. Le rapport d’attestation contient les éléments suivants :
- Un rapport d’attestation signé
- Les paramètres de démarrage de la plateforme
- Les mesures du microprogramme de la plateforme
- Les mesures du système d’exploitation
Vous pouvez initialiser une requête d’attestation à l’intérieur d’une machine virtuelle confidentielle pour vérifier que vos machines virtuelles confidentielles exécutent une instance matérielle avec des processeurs compatibles AMD SEV-SNP ou Intel TDX. Pour plus d’informations, consultez l’attestation d’invité de machine virtuelle confidentielle Azure.
Les machines virtuelles Azure confidentielles disposent d’un module TPM virtuel (vTPM) pour les machines virtuelles Azure. vTPM est une version virtualisée d’un TPM matériel et est conforme à la spécification TPM 2.0. Vous pouvez utiliser un vTPM en tant que coffre sécurisé dédié pour les clés et les mesures. Les machines virtuelles confidentielles disposent de leur propre instance vTPM dédiée, qui s’exécute dans un environnement sécurisé en dehors de la portée des machines virtuelles.
Limites
Les limitations suivantes s’appliquent aux machines virtuelles confidentielles. Pour les questions fréquemment posées, consultez FAQ sur les machines virtuelles confidentielles.
Prise en charge de la taille
Les machines virtuelles confidentielles prennent en charge les tailles de machine virtuelle suivantes :
- Usage général sans disque local : série DCasv5, série DCesv5
- Usage général avec disque local : série DCadsv5, série DCedsv5
- Mémoire optimisée sans disque local : série ECasv5, série ECesv5
- Mémoire optimisée sans disque local : série ECadsv5, série ECedsv5
Prise en charge du système d’exploitation
Les machines virtuelles confidentielles prennent en charge les options de système d’exploitation suivantes :
| Linux | Client Windows | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (AMD SEV-SNP uniquement) | 22H2 Pro | Server Core 2019 |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | Server Core 2022 | |
| RHEL | 22H2 Entreprise | Édition Azure 2022 |
| 9.3 (AMD SEV-SNP uniquement) | 22H2 Entreprise N | Core Édition Azure 2022 |
| 9.3 en préversion (Intel TDX uniquement) | 22H2 Entreprise Multisession | |
| SUSE (préversion Tech) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 for SAP (Intel TDX, AMD SEV-SNP) |
Régions
Les machines virtuelles confidentielles s’exécutent sur du matériel spécialisé disponible dans des régions de machines virtuelles spécifiques.
Tarifs
La tarification dépend de la taille de votre machine virtuelle confidentielle. Pour plus d’informations, consultez la calculatrice de prix.
Prise en charge des fonctionnalités
Les machines virtuelles confidentielles ne prennent pas en charge :
- Azure Batch
- Sauvegarde Azure
- Azure Site Recovery
- Azure Dedicated Host
- Microsoft Azure Virtual Machine Scale Sets avec chiffrement de disque de système d’exploitation confidentiel activé
- Prise en charge limitée de la galerie de calcul Azure
- Disques partagés
- Disques Ultra
- Mise en réseau accélérée
- Migration dynamique
- Captures d’écran sous Diagnostics de démarrage
Étapes suivantes
Pour plus d’informations, consultez notre FAQ sur les machines virtuelles confidentielles.