Inicio rápido: creación de una máquina virtual Intel SGX en Azure Portal
Este tutorial le guía por el proceso de implementación de máquinas virtuales Intel SGX mediante Azure Portal. De lo contrario, se recomienda seguir las plantillas de Azure Marketplace.
Prerrequisitos
Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.
Nota
Las cuentas de evaluación gratuita no tienen acceso a las máquinas virtuales que se usan en este tutorial. Actualice a una suscripción de pago por uso.
Inicio de sesión en Azure
Inicie sesión en Azure Portal.
En la parte superior, seleccione Crear un recurso.
En el panel izquierdo, seleccione Proceso.
Seleccione Crear máquina virtual.
Configuración de una máquina virtual Intel SGX
En la pestaña Fundamentos, seleccione la suscripción y el grupo de recursos.
En Nombre de la máquina virtual, escriba un nombre para la nueva máquina virtual.
Escriba o seleccione los valores siguientes:
Región: Seleccione la región de Azure adecuada para usted.
Nota
Las máquinas virtuales Intel SGX se ejecutan en hardware especializado en regiones específicas. Para obtener la disponibilidad regional más reciente, busque las series DCsv2 o DCsv3/DCdsv3 en las regiones disponibles.
Configure la imagen del sistema operativo que le gustaría usar para la máquina virtual.
Elija una imagen: para este tutorial, seleccione Ubuntu 20.04 LTS (Gen 2). También puede seleccionar Ubuntu 18.04 LTS (Gen2) o Windows Server 2019.
Actualice a Generación 2: debajo de Imagen, seleccione Configurar generación de máquinas virtuales en el menú desplegable y, a continuación, seleccione Generación 2.
Elija una máquina virtual con funcionalidades de Intel SGX. Para ello, cree un filtro haciendo clic en + Agregar filtro, seleccione Tipo en la opción Tipo de filtro y, en la lista desplegable que aparecerá a continuación, seleccione solo Proceso confidencial.
Sugerencia
Debería ver los tamaños DC(number)s_v2, DC(number)s_v3 y DC(number)ds_v3. Más información.
Rellene la información siguiente:
Tipo de autenticación: Seleccione Clave pública SSH si va a crear una máquina virtual Linux.
Nota
Para la autenticación, puede una clave pública SSH o una contraseña. La opción de SSH es más segura. Para obtener instrucciones acerca de cómo generar una clave SSH, consulte Creación y uso de un par de claves SSH pública y privada para máquinas virtuales Linux en Azure.
Nombre de usuario: Escriba el nombre del administrador de la máquina virtual.
Clave pública SSH: Si es aplicable, escriba la clave pública RSA.
Contraseña: Si procede, escriba la contraseña para la autenticación.
Puertos de entrada públicos: Elija Permitir los puertos seleccionados y seleccione SSH (22) y HTTP (80) en la lista Seleccionar puertos de entrada públicos. Si va a implementar una máquina virtual Windows, seleccione HTTP (80) y RDP (3389) .
Nota
No se recomienda permitir puertos RDP/SSH para implementaciones de producción.
Realice los cambios en la pestaña Discos.
- La serie DCsv2 admite SSD estándar; SSD prémium se admite en DC1, DC2 y DC4.
- Las series DCsv3 y DCdsv3 admiten SSD estándar, SSD prémium y Disco Ultra.
Haga los cambios que quiera en la configuración en las pestañas siguientes o conserve la configuración predeterminada.
- Redes
- Administración
- Configuración de invitado
- Etiquetas
Seleccione Revisar + crear.
En el panel Revisar + crear, seleccione Crear.
Nota
Vaya a la sección siguiente y siga en este tutorial si ha implementado una máquina virtual Linux. Si ha implementado una máquina virtual Windows, siga estos pasos para conectarse a ella y, a continuación, instale el SDK de Open Enclave en Windows.
Conexión a la máquina virtual Linux
Abra el cliente SSH que prefiera, como Bash en Linux o PowerShell en Windows. El comando ssh se suele incluir en Linux, macOS y Windows. Si usa Windows 7 o versiones anteriores, donde Win32 OpenSSH no se incluye de manera predeterminada, considere la posibilidad de instalar WSL o usar Azure Cloud Shell desde el explorador. En el siguiente comando, reemplace el nombre de usuario y la dirección IP de la máquina virtual para conectarse a su máquina virtual Linux.
ssh azureadmin@40.55.55.555
Puede buscar la dirección IP pública de la máquina virtual en la sección Información general de la máquina virtual en Azure Portal.
Para más información acerca de cómo conectarse a máquinas virtuales Linux, consulte Creación de máquinas virtuales Linux con Azure Portal.
Instalación del cliente DCAP de Azure
Azure Data Center Attestation Primitives (DCAP), un reemplazo de Intel Quote Provider Library (QPL), captura la garantía de generación y validación de cotizaciones directamente del servicio THIM.
El servicio Trusted Hardware Identity Management (THIM) controla la administración de caché de certificados para todos los entornos de ejecución de confianza (TEE) que residen en Azure y proporciona información de base de computación de confianza (TCB) para aplicar una línea de base mínima para las soluciones de atestación.
DCsv3 y DCdsv3 solo admiten la atestación basada en ECDSA y los usuarios deben instalar el cliente DCAP de Azure para interactuar con THIM y capturar el material de TEE para la generación de citas durante el proceso de atestación. DCsv2 sigue siendo compatible con la atestación basada en EPID.
Limpieza de recursos
Cuando ya no los necesite, puede eliminar el grupo de recursos, la máquina virtual y todos los recursos relacionados.
Seleccione el grupo de recursos de la máquina virtual y haga clic en Eliminar. Confirme el nombre del grupo de recursos para terminar de eliminar los recursos.
Pasos siguientes
En este inicio rápido, ha implementado la máquina virtual Intel SGX y se ha conectado a ella. Para obtener más información, consulte Soluciones en máquinas virtuales.
Descubra cómo puede crear aplicaciones de computación confidencial. Para ello, continúe con los ejemplos del SDK de Open Enclave en GitHub.
Microsoft Azure Attestation es un marco de atestación basado en ECDSA gratuito, para comprobar de forma remota la confiabilidad de varios TEE y la integridad de los archivos binarios que se ejecutan dentro de ellos. Más información