FAQ sur les machines virtuelles confidentielles Azure

Les machines virtuelles confidentielles sont une solution IaaS pour les locataires dont les exigences en matière de sécurité et de confidentialité sont élevées. Les machines virtuelles confidentielles offrent :

• Chiffrement des « données en cours d’utilisation », y compris l’état du processeur et la mémoire de l’ordinateur virtuel. Les clés sont générées par le processeur et ne le quittent jamais.
• L’attestation de l’ordinateur hôte vous permet de vérifier l’intégrité et la conformité du serveur avant le début du traitement des données.
• Le module de sécurité matériel (HSM) peut être joint pour protéger les clés des disques de machine virtuelle confidentielle que le locataire possède exclusivement.
• Nouvelle architecture de démarrage UEFI prenant en charge le système d’exploitation invité pour des paramètres et des fonctionnalités de sécurité améliorés.
• Un module de plateforme sécurisée (TPM) virtuel dédié certifie l’intégrité de la machine virtuelle, fournit une gestion renforcée des clés et prend en charge les cas d’usage tels que BitLocker.

Les machines virtuelles confidentielles répondent aux préoccupations des clients concernant le déplacement de charges de travail sensibles hors site dans le cloud. Les machines virtuelles confidentielles fournissent des protections élevées pour les données client de l’infrastructure sous-jacente et des opérateurs de Cloud. Contrairement à d’autres approches et solutions, vous n’avez pas besoin d’adapter vos charges de travail existantes en fonction des besoins techniques de la plateforme.

SEV-SNP est l’acronyme de Secure Encrypted Virtualization-Secure Nested Paging. Il s’agit d’une technologie TEE (environnement d’exécution de confiance) fournie par AMD et qui offre de multiples protections : par exemple, le chiffrement de la mémoire, les clés uniques du processeur, le chiffrement de l’état des registres du processeur, la protection de l’intégrité, la prévention de la restauration du microprogramme, le renforcement des canaux latéraux et les restrictions sur le comportement des interruptions et des exceptions. Collectivement, les technologies AMD gravité renforcent les protections invitées pour refuser l’hyperviseur et le code de gestion de l’ordinateur hôte pour la mémoire et l’état de la machine virtuelle. Confidential VMs tire profit d’AMD SEV-SNP avec les technologies Azure comme le chiffrement du disque complet et Azure Key Vault Managed HSM. Vous pouvez chiffrer les données en cours d’utilisation, en transit et au repos avec les clés que vous contrôlez. Grâce aux fonctionnalités Azure Attestation intégrées, vous pouvez établir de manière indépendante la confiance dans la sécurité, l’intégrité et l’infrastructure sous-jacente de vos machines virtuelles confidentielles.

Intel TDX signifie Intel Trust Domain Extensions (Intel TDX). Il s’agit d’une technologie TEE (environnement d’exécution de confiance) fournie par Intel et offre plusieurs protections : Intel TDX utilise des extensions matérielles pour gérer et chiffrer la mémoire et protège à la fois la confidentialité et l’intégrité de l’état du processeur. En outre, Intel TDX contribue à renforcer l’environnement virtualisé en interdisant à l’hyperviseur, à d’autres codes de gestion de l’hôte et aux administrateurs d’accéder à la mémoire et à l’état de la machine virtuelle. Les machines virtuelles confidentielles combinent Intel TDX avec des technologies Azure telles que le chiffrement complet du disque et Azure Key Vault Managed HSM. Vous pouvez chiffrer les données en cours d’utilisation, en transit et au repos avec les clés que vous contrôlez.

Les machines virtuelles Azure offrent déjà une sécurité et une protection de premier plan contre les autres locataires et les intrus malveillants. Les machines virtuelles confidentielles Azure renforcent ces protections en utilisant des TEE matériels tels que AMD SEV-SNP et Intel TDX pour isoler et protéger par chiffrement la confidentialité et l’intégrité de vos données. Cela signifie que les administrateurs ou services hôtes (notamment l’hyperviseur Azure) peuvent afficher ou modifier directement l’état de la mémoire ou du processeur de votre machine virtuelle. De plus, grâce à une capacité d’attestation complète, un chiffrement intégral du disque du système d’exploitation et des modules de plateforme virtuelle protégés par le matériel, l’état persistant confidentiel de la machine virtuelle est protégé de telle sorte que ni vos clés privées, ni le contenu de votre mémoire ne soient jamais exposés à l’environnement d’hébergement sans être chiffrés.

Actuellement, les disques de système d’exploitation pour les machines virtuelles confidentielles peuvent être chiffrés et sécurisés. Pour plus de sécurité, vous pouvez activer le chiffrement au niveau invité (tel que BitLocker ou dm-crypt) pour tous les lecteurs de données.

Oui, mais uniquement si le fichier pagefile.sys se trouve sur le disque de système d’exploitation chiffré. Sur les machines virtuelles confidentielles avec un bureau temporaire, le fichier pagefile.sys peut être déplacé vers le système d’exploitation chiffré Conseils pour déplacer pagefile.sys vers le lecteur c:\.

Non, cette fonctionnalité n’existe pas pour les machines virtuelles confidentielles.

Voici quelques façons de déployer une VM confidentielle :

• Déployer à partir du Portail Microsoft Azure
• Déploiement à partir de l’interface de ligne de commande Azure (Azure CLI)
• Déployer à l'aide d'un modèle ARM

Les machines virtuelles confidentielles Azure sur AMD SEV-SNP subissent une attestation dans le cadre de leur phase de démarrage. Ce processus est opaque pour l’utilisateur et est effectué dans le système d’exploitation cloud avec les services Microsoft Azure Attestation et Azure Key Vault. Les machines virtuelles confidentielles permettent également aux utilisateurs d’effectuer une attestation indépendante pour leurs machines virtuelles confidentielles. Cette attestation est générée à l’aide d’un nouvel outil appelé Attestation d’invité de machine virtuelle confidentielle Azure. L’attestation d’invité permet aux clients d’attester que leurs machines virtuelles confidentielles s’exécutent sur des processeurs AMD sur lesquels SEV-SNP est activé.

Les machines virtuelles confidentielles Azure qui utilisent Intel TDX peuvent être attestées de manière transparente dans le cadre du flux de démarrage afin de garantir que la plateforme est conforme et à jour. Le processus est opaque pour l’utilisateur et se déroule à l’aide de Microsoft Azure Attestation et d’Azure Key Vault. Si vous souhaitez aller plus loin pour effectuer des vérifications après le démarrage, l’attestation de la plateforme invité est disponible. Cela vous permet de vérifier que votre machine virtuelle fonctionne sur du matériel Intel TDX. Pour accéder à la fonctionnalité, visitez notre branche en préversion. De plus, nous prenons en charge Intel® Trust Authority pour les entreprises recherchant une attestation indépendante de l'opérateur. La prise en charge de l’attestationcomplète dans l’invité, semblable à AMD SEV-SNP sera bientôt disponible. Cela permet aux organisations d’aller plus loin et de valider d’autres aspects, même jusqu’à la couche d’application invitée.

Pour s’exécuter sur une machine virtuelle confidentielle, les images du système d’exploitation doivent répondre à certaines exigences de sécurité et de compatibilité. Cela permet aux machines virtuelles confidentielles d’être montées en toute sécurité, sanctionnées et isolées de l’infrastructure cloud sous-jacente. À l’avenir, nous prévoyons de fournir des conseils sur la façon de prendre une version personnalisée de Linux et d’appliquer un ensemble de correctifs open source pour la qualifier comme une image de machine virtuelle confidentielle.

Oui. Vous pouvez utiliser la Galerie Azure Compute pour modifier une image de machine virtuelle confidentielle, par exemple en installant des applications. Vous pouvez ensuite déployer des machines virtuelles confidentielles en fonction de votre image modifiée.

Le schéma de chiffrement de disque complet facultatif est le plus sécurisé d’Azure et répond aux principes informatiques confidentiels. Toutefois, vous pouvez également utiliser d’autres schémas de chiffrement de disque avec ou au lieu du chiffrement de disque complet. Si vous utilisez plusieurs schémas de chiffrement de disque, le chiffrement double peut avoir un impact négatif sur les performances.

Chaque machine virtuelle confidentielle Azure possède son propre module TPM virtuel, sur lequel les clients peuvent sceller leurs secrets/clés. Il est recommandé aux clients de vérifier l’état vTPM (via TPM.msc pour les machines virtuelles Windows). Si l’état n’est pas prêt à être utilisé, nous vous recommandons de redémarrer vos machines virtuelles avant de sceller les secrets/clés sur vTPM.

Non. Une fois que vous avez créé une machine virtuelle confidentielle, vous ne pouvez pas désactiver ou réactiver le chiffrement de disque complet. Créez à la place une machine virtuelle confidentielle.

Les développeurs souhaitant une « séparation des tâches » plus poussée entre les services TCB et le fournisseur de services cloud doivent utiliser le type de sécurité « NonPersistedTPM ».

• Cette expérience n'est disponible que dans le cadre de la version préliminaire publique d'Intel TDX. Les organisations qui l’utilisent ou qui fournissent des services à l’aide de ce système contrôlent la TCB et les responsabilités qui en découlent.
• Cette expérience contourne les services Azure natifs, ce qui vous permet d’apporter votre propre solution de chiffrement de disque, de gestion des clés et d’attestation.
• Chaque machine virtuelle dispose toujours d’une vTPM, qui devrait être utilisée pour récupérer les preuves matérielles, mais l’état de la vTPM n’est pas conservé lors des redémarrages, ce qui signifie que cette solution est excellente pour les charges de travail éphémères et les organisations qui souhaitent se découpler du fournisseur de services cloud.

Non. Pour des raisons de sécurité, vous devez créer une machine virtuelle confidentielle en tant que tel depuis le début.

Oui, la conversion d’une VM confidentielle vers une autre VM confidentielle est autorisée sur DCasv5/ECasv5 et DCesv5/ECesv5 dans les régions qu’ils partagent. Si vous utilisez une image Windows, assurez-vous que vous disposez de toutes les mises à jour les plus récentes. Si vous utilisez une image Ubuntu Linux, assurez-vous que vous utilisez l’image confidentielle Ubuntu 22.04 LTS avec la version minimale du noyau 6.2.0-1011-azure.

Assurez-vous que vous avez sélectionné une région disponible pour les VMs confidentielles. Veillez également à sélectionner Effacer tous les filtres dans le sélecteur de taille.

Non. Les machines virtuelles confidentielles ne prennent pas en charge l’accélération réseau. Vous ne pouvez pas activer la mise en réseau accélérée pour un déploiement de machine virtuelle confidentiel ou un déploiement de cluster de service Azure Kubernetes qui s’exécute sur un informatique confidentielle.

Vous pouvez recevoir l'erreur L'opération n'a pas pu être achevée car elle entraîne un dépassement du quota de cœurs de la famille DCasv5/ECasv5 standard approuvé. Cette erreur de modèle de Azure Resource Manager (modèle ARM) signifie que le déploiement a échoué en raison d’un manque de cœurs de calcul Azure. Les abonnements d’essai gratuit Azure ne disposent pas d’un quota de base suffisant pour les machines virtuelles confidentielles. Créez une demande de support pour augmenter votre quota.

Les séries ECasv5 et ECesv5 sont des tailles de VM optimisées en mémoire, qui offrent un rapport mémoire/CPU plus élevé. Ces tailles sont particulièrement adaptées pour les serveurs de base de données relationnelle, les caches moyens à grands et l’analytique en mémoire.

Non. Pour l’instant, ces machines virtuelles ne sont disponibles que dans certaines régions. Pour obtenir la liste actuelle des régions disponibles, consultez la rubrique produits de machines virtuelles par région.

Azure ne dispose pas de procédures permettant d’accorder un accès à des machines virtuelles confidentielles à ses employés, même si un client autorise l’accès. Par conséquent, différents scénarios de récupération et de prise en charge ne sont pas disponibles pour les machines virtuelles confidentielles.

Non, les machines virtuelles confidentielles ne prennent pas actuellement en charge la virtualisation imbriquée, comme la possibilité d’exécuter un hyperviseur à l’intérieur d’une machine virtuelle.

La facturation des machines virtuelles confidentielles dépend de votre utilisation et de votre stockage, ainsi que de la taille et de la région de la machine virtuelle. Les machines virtuelles confidentielles utilisent un petit disque d’État invité de machine virtuelle chiffré (VMGS) de plusieurs mégaoctets. VMGS encapsule l’état de sécurité de la machine virtuelle des composants tels que le bootloader vTPM et UEFI. Ce disque peut entraîner des frais de stockage mensuels. Par ailleurs, si vous choisissez d’activer le chiffrement de disque complet facultatif, les disques de système d’exploitation chiffrés entraînent des coûts plus élevés. Pour plus d’informations sur les frais de stockage, consultez le Guide de tarification des disques gérés. Enfin, pour certains paramètres de sécurité et de confidentialité élevés, vous pouvez choisir de créer des ressources liées, telles qu’un pool HSM géré. Azure facture ces ressources séparément des coûts confidentiels de la machine virtuelle.

Dans de rares cas, certaines machines virtuelles des séries DCesv5/ECesv5 peuvent rencontrer un léger décalage horaire par rapport à l'heure UTC. Un correctif à long terme sera bientôt disponible. En attendant, voici les solutions de contournement pour les machines virtuelles Windows et Ubuntu Linux :

sc config vmictimesync start=disabled
sc stop vmictimesync

Pour les images Ubuntu Linux, exécutez le script suivant :

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service