Partage via


En savoir plus sur les machines virtuelles confidentielles Azure

Les machines virtuelles confidentielles Azure offrent aux locataires une sécurité et une confidentialité renforcées. Elles créent une limite par voie matérielle entre votre application et la pile de virtualisation. Vous pouvez les utiliser pour les migrations vers le cloud sans modifier votre code, et la plateforme garantit que l’état de votre machine virtuelle reste protégé.

Important

Les niveaux de protection diffèrent selon votre configuration et vos préférences. Par exemple, Microsoft peut conserver ou gérer des clés de chiffrement pour plus de simplicité sans coût supplémentaire.

Microsoft Mechanics

Avantages des machines virtuelles confidentielles

  • Isolement matériel fiable entre les machines virtuelles, l’hyperviseur et le code de gestion de l’hôte.
  • Stratégies d’attestation personnalisables pour garantir la conformité de l’hôte avant le déploiement.
  • Chiffrement de disque de système d’exploitation confidentiel basé sur le cloud avant le premier démarrage.
  • Clés de chiffrement de machine virtuelle que la plateforme ou le client possède et gère.
  • Libération de clé sécurisée avec liaison de chiffrement entre l’attestation réussie de la plateforme et les clés de chiffrement de la machine virtuelle.
  • Instance de module de plateforme sécurisée (TPM) virtuelle dédiée pour l’attestation et la protection des clés et des secrets dans la machine virtuelle.
  • Fonction de démarrage sécurisé semblable au lancement fiable pour les machines virtuelles Azure

Chiffrement de disque de système d’exploitation confidentiel

Les machines virtuelles Azure confidentielles offrent un modèle de chiffrement de disque amélioré. Ce schéma protège toutes les partitions critiques du disque. Il lie également les clés de chiffrement de disque au module de plateforme sécurisée de la machine virtuelle et rend le contenu du disque protégé accessible uniquement à la machine virtuelle. Ces clés de chiffrement peuvent ignorer en toute sécurité les composants Azure, y compris l’hyperviseur et le système d’exploitation hôte. Pour réduire le risque d’attaque, un service cloud dédié distinct chiffre également le disque lors de la création initiale de la machine virtuelle.

Si la plateforme de calcul ne contient pas de paramètres critiques pour l’isolation de votre machine virtuelle, Azure Attestation n’atteste pas de l’intégrité de la plateforme pendant le démarrage, et empêche plutôt le démarrage de la machine virtuelle. Ce scénario se produit si vous n’avez pas activé SEV-SNP, par exemple.

Le chiffrement de disque de système d’exploitation confidentiel est facultatif, car ce processus peut rallonger la durée de création initiale de la machine virtuelle. Vous pouvez choisir entre les rôles suivants :

  • Une machine virtuelle confidentielle avec chiffrement de disque de système d’exploitation confidentiel avant le déploiement de la machine virtuelle qui utilise des clés gérées par la plateforme (PMK) ou une clé gérée par le client (CMK).
  • Une machine virtuelle confidentielle sans chiffrement de disque de système d’exploitation confidentiel avant le déploiement de la machine virtuelle.

Pour renforcer l’intégrité et la protection, les machines virtuelles confidentielles offrent un démarrage sécurisé par défaut lorsque le chiffrement de disque de système d’exploitation confidentiel est sélectionné.

Avec le démarrage sécurisé, les éditeurs approuvés doivent signer les composants de démarrage du système d’exploitation (y compris le chargeur de démarrage, le noyau et les pilotes de noyau). Toutes les images de machines virtuelles confidentielles compatibles prennent en charge le démarrage sécurisé.

Chiffrement de disque temporaire confidentiel

Vous pouvez également étendre la protection du chiffrement de disque confidentiel au disque temporaire. Nous activons l’option en tirant parti d’une technologie de chiffrement à clé symétrique en machine virtuelle, une fois que le disque est attaché à la machine virtuelle confidentielle.

Le disque temporaire fournit un stockage rapide, local et à court terme pour les applications et les processus. Il est destiné uniquement à stocker des données telles que des fichiers de pages, des fichiers journaux, des données en cache et d’autres types de données temporaires. Les disques temporaires sur les machines virtuelles confidentielles contiennent le fichier de page, également appelé fichier d’échange, qui peut comporter des données sensibles. Sans chiffrement, les données sur ces disques peuvent être accessibles à l’hôte. Après avoir activé cette fonctionnalité, les données sur les disques temporaires ne sont plus exposées à l’hôte.

Cette fonctionnalité peut être activée via un processus d’inscription. Pour plus d’informations, consultez la documentation.

Différences de tarification du chiffrement

Les machines virtuelles Azure confidentielles utilisent un petit disque d’état invité de machine virtuelle chiffré (VMGS) de plusieurs mégaoctets. Ce disque VMGS contient l’état de sécurité des composants de la machine virtuelle. Certains composants comprennent le bootloader vTPM et UEFI. Le petit disque VMGS peut entraîner un coût de stockage mensuel.

À compter de juillet 2022, les disques de système d’exploitation chiffrés entraîneront des coûts plus élevés. Pour plus d’informations, consultez le Guide de tarification des disques gérés.

Attestation et module de plateforme sécurisée

Les machines virtuelles Azure confidentielles démarrent uniquement après l’attestation réussie des composants critiques et des paramètres de sécurité de la plateforme. Le rapport d’attestation contient les éléments suivants :

  • Un rapport d’attestation signé
  • Les paramètres de démarrage de la plateforme
  • Les mesures du microprogramme de la plateforme
  • Les mesures du système d’exploitation

Vous pouvez initialiser une requête d’attestation à l’intérieur d’une machine virtuelle confidentielle pour vérifier que vos machines virtuelles confidentielles exécutent une instance matérielle avec des processeurs compatibles AMD SEV-SNP ou Intel TDX. Pour plus d’informations, consultez l’attestation d’invité de machine virtuelle confidentielle Azure.

Les machines virtuelles Azure confidentielles disposent d’un module TPM virtuel (vTPM) pour les machines virtuelles Azure. vTPM est une version virtualisée d’un TPM matériel et est conforme à la spécification TPM 2.0. Vous pouvez utiliser un vTPM en tant que coffre sécurisé dédié pour les clés et les mesures. Les machines virtuelles confidentielles disposent de leur propre instance vTPM dédiée, qui s’exécute dans un environnement sécurisé en dehors de la portée des machines virtuelles.

Limites

Les limitations suivantes s’appliquent aux machines virtuelles confidentielles. Pour les questions fréquemment posées, consultez FAQ sur les machines virtuelles confidentielles.

Prise en charge de la taille

Les machines virtuelles confidentielles prennent en charge les tailles de machine virtuelle suivantes :

  • Usage général sans disque local : série DCasv5, série DCesv5
  • Usage général avec disque local : série DCadsv5, série DCedsv5
  • Mémoire optimisée sans disque local : série ECasv5, série ECesv5
  • Mémoire optimisée sans disque local : série ECadsv5, série ECedsv5
  • NVIDIA H100 Tensor Core GPU alimente NCCadsH100v5 série

Prise en charge du système d’exploitation

Les images de système d’exploitation pour les machines virtuelles confidentielles doivent répondre à des exigences de sécurité spécifiques. Ces images qualifiées sont conçues pour prendre en charge un chiffrement de disque de système d’exploitation confidentiel facultatif et garantir l’isolation de l’infrastructure cloud sous-jacente. Le respect de ces exigences permet de protéger les données sensibles et de maintenir l’intégrité du système.

Les machines virtuelles confidentielles prennent en charge les options de système d’exploitation suivantes :

Linux Client Windows Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (AMD SEV-SNP uniquement) 21H2, 21H2 Pro, 21H2 Entreprise, 21H2 Entreprise N, 21H2 Entreprise Multisession Server Core 2019
22.04 LTS 22H2, 22H2 Pro, 22H2 Entreprise, 22H2 Entreprise N, 22H2 Entreprise Multisession 2019 Datacenter
24.04 LTS 23H2, 23H2 Pro, 23H2 Entreprise, 23H2 Entreprise N, 23H2 Entreprise Multisession Server Core 2022
RHEL Windows 10 Édition Azure 2022
9.4 (AMD SEV-SNP uniquement) 22H2, 22H2 Pro, 22H2 Entreprise, 22H2 Entreprise N, 22H2 Entreprise Multisession Core Édition Azure 2022
2022 Datacenter
SUSE (préversion Tech)
15 SP5 (Intel TDX, AMD SEV-SNP)
15 SP5 for SAP (Intel TDX, AMD SEV-SNP)

Régions

Les machines virtuelles confidentielles s’exécutent sur du matériel spécialisé disponible dans des régions de machines virtuelles spécifiques.

Tarifs

La tarification dépend de la taille de votre machine virtuelle confidentielle. Pour plus d’informations, consultez la calculatrice de prix.

Prise en charge des fonctionnalités

Les machines virtuelles confidentielles ne prennent pas en charge :

  • Azure Batch
  • Sauvegarde Azure
  • Azure Site Recovery
  • Prise en charge limitée de la galerie de calcul Azure
  • Disques partagés
  • Mise en réseau accélérée
  • Migration dynamique
  • Captures d’écran sous Diagnostics de démarrage

Étapes suivantes

Pour plus d’informations, consultez notre FAQ sur les machines virtuelles confidentielles.