Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure-beli bizalmas virtuális gépek erős biztonságot és bizalmasságot biztosítanak a bérlők számára. Hardver által kikényszerített határt hoznak létre az alkalmazás és a virtualizációs réteg között. A kód módosítása nélkül használhatja őket a felhőbe való migráláshoz, és a platform biztosítja, hogy a virtuális gép állapota védett maradjon.
Important
A védelmi szintek a konfigurációtól és a beállításoktól függően eltérőek. A Microsoft például további költségek nélkül birtokolhatja vagy kezelheti a titkosítási kulcsokat a nagyobb kényelem érdekében.
Microsoft Mechanics
A bizalmas virtuális gépek előnyei
- Robusztus hardveralapú elkülönítés a virtuális gépek, a hipervizor és a gazdagép felügyeleti kódja között.
- Testre szabható hitelesítési szabályzatok, amelyek biztosítják a gazdagép megfelelőségét az üzembe helyezés előtt.
- Felhőalapú bizalmas operációsrendszer-lemeztitkosítás az első rendszerindítás előtt.
- Virtuálisgép-titkosítási kulcsok, amelyeket a platform vagy az ügyfél (opcionálisan) birtokol és kezel.
- A kulcsok biztonságos átadása kriptográfiai összekapcsolással a platform sikeres igazolása és a virtuális gép titkosítási kulcsai között.
- Dedikált virtuális Trusted Platform Module (TPM) példány a kulcsok és titkok védelméhez és igazolásához a virtuális gépen.
- Az Azure-beli virtuális gépek megbízható indításához hasonló biztonságos rendszerindítási képesség
Bizalmas operációsrendszer-lemeztitkosítás
Az Azure-beli bizalmas virtuális gépek új és továbbfejlesztett lemeztitkosítási sémát kínálnak. Ez a séma a lemez összes kritikus partícióját védi. Emellett a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti, és a védett lemez tartalmát csak a virtuális gép számára teszi elérhetővé. Ezek a titkosítási kulcsok biztonságosan megkerülhetik az Azure-összetevőket, beleértve a hipervizort és a gazdagép operációs rendszerét. A támadási potenciál minimalizálása érdekében egy dedikált és különálló felhőszolgáltatás a virtuális gép kezdeti létrehozásakor is titkosítja a lemezt.
Ha a számítási platform nem rendelkezik kritikus beállításokkal a virtuális gép elkülönítéséhez, az Azure-igazolás nem igazolja a platform állapotát a rendszerindítás során, és ehelyett megakadályozza a virtuális gép indítását. Ez a forgatókönyv akkor fordul elő, ha például nem engedélyezte az SEV-SNP-t.
A bizalmas operációsrendszer-lemeztitkosítás nem kötelező, mivel ez a folyamat meghosszabbíthatja a virtuális gép kezdeti létrehozási idejét. A következő lehetőségek közül választhat:
Bizalmas operációsrendszer-lemeztitkosítással rendelkező, platform által felügyelt kulcsokat (PMK) vagy ügyfél által felügyelt kulcsot (CMK) használó bizalmas virtuális gép.
Bizalmas operációsrendszer-lemeztitkosítás nélküli, bizalmas virtuális gép.
Megjegyzés:
A bizalmas operációsrendszer-lemeztitkosítási beállítás nem módosítható a virtuális gép üzembe helyezése után
A további integritás és védelem érdekében a bizalmas virtuális gépek alapértelmezés szerint biztonságos rendszerindítást kínálnak a bizalmas operációsrendszer-lemeztitkosítás kiválasztásakor.
A biztonságos rendszerindítással a megbízható közzétevőknek alá kell írniuk az operációs rendszer rendszerindítási összetevőit (beleértve a rendszertöltőt, a kernelt és a kernelillesztőket). Minden kompatibilis bizalmas virtuálisgép-rendszerkép támogatja a Biztonságos rendszerindítást.
Bizalmas ideiglenes lemeztitkosítás
A bizalmas lemeztitkosítás védelmét az ideiglenes lemezre is kiterjesztheti. Ezt egy virtuális gépen belüli szimmetrikus kulcstitkosítási technológiával tesszük lehetővé, miután a lemez csatlakoztatva van a CVM-hez.
A temp lemez gyors, helyi és rövid távú tárolást biztosít az alkalmazások és folyamatok számára. Csak olyan adatok tárolására szolgál, mint például lapfájlok, naplófájlok, gyorsítótárazott adatok és egyéb ideiglenes adatok. A CVM-lemezek ideiglenes lemezei tartalmazzák a lapfájlt, más néven felcserélő fájlt, amely bizalmas adatokat tartalmazhat. Titkosítás nélkül az ezeken a lemezeken lévő adatok elérhetők lehetnek a hoszt számára. A funkció engedélyezése után az ideiglenes lemezeken lévő adatok már nem lesznek elérhetők a gazdagép számára.
Ez a funkció egy jóváhagyási folyamaton keresztül engedélyezhető. További információért lásd a dokumentációt.
Titkosítási díjszabás eltérései
Az Azure-beli bizalmas virtuális gépek az operációs rendszer lemezét és egy kis, több megabájtos virtuálisgép-vendégállapotú (VMGS) lemezt is használnak. A VMGS-lemez tartalmazza a virtuális gép összetevőinek biztonsági állapotát. Egyes összetevők közé tartozik a vTPM és az UEFI rendszerindító. A kis VMGS-lemez havi tárolási költséggel járhat.
2026. március 30-tól a titkosított operációsrendszer-lemezek magasabb költségekkel járnak. További információt a felügyelt lemezek díjszabási útmutatójában talál.
Igazolás és TPM
Az Azure-beli bizalmas virtuális gépek csak a platform kritikus összetevőinek és biztonsági beállításainak sikeres igazolása után indulnak el. Az igazolási jelentés a következőket tartalmazza:
- Aláírt igazolási jelentés
- Platformindítási beállítások
- Platform belső vezérlőprogramjának mérései
- Operációsrendszer-mérések
Inicializálhat egy igazolási kérelmet egy bizalmas virtuális gépen belül annak ellenőrzéséhez, hogy a bizalmas virtuális gépek egy hardverpéldányt futtatnak-e AMD SEV-SNP vagy Intel TDX-kompatibilis processzorokkal. További információkért tekintse meg az Azure bizalmas virtuálisgép-vendégigazolását.
Az Azure bizalmas virtuális gépei virtuális TPM-et (vTPM) használnak. A vTPM a hardveres TPM virtualizált verziója, és megfelel a TPM 2.0 specifikációjának. A vTPM-et dedikált, biztonságos tárolóként használhatja kulcsokhoz és mérésekhez. A bizalmas virtuális gépek saját dedikált vTPM-példánysal rendelkeznek, amely biztonságos környezetben fut, bármely virtuális gép elérésén kívül.
Limitations
A bizalmas virtuális gépekre az alábbi korlátozások vonatkoznak. A gyakori kérdésekért tekintse meg a bizalmas virtuális gépekre vonatkozó gyakori kérdéseket.
Mérettámogatás
A bizalmas virtuális gépek a következő virtuálisgép-méreteket támogatják:
- Általános célú helyi lemez nélkül: DCasv5-sorozat, DCasv6-sorozat, DCesv6-sorozat
- Általános célú helyi lemezzel: DCadsv5-sorozat, DCadsv6-sorozat, DCedsv6-sorozat
- Memóriaoptimalizált helyi lemez nélkül: ECasv5-sorozat, ECasv6-sorozat, ECesv6-sorozat
- Helyi lemezzel optimalizált memória: ECadsv5-sorozat, ECadsv6-sorozat, ECedsv6-sorozat
- NVIDIA H100 Tensor Core GPU-alapú NCCadsH100v5 sorozat
Operációs rendszer támogatása
A bizalmas virtuális gépek operációsrendszer-lemezképeinek meg kell felelniük bizonyos biztonsági követelményeknek. Ezeket a minősített lemezképeket úgy tervezték, hogy támogassák az opcionális bizalmas operációsrendszer-lemeztitkosítást, és biztosítsák a mögöttes felhőinfrastruktúra elkülönítését. Ezeknek a követelményeknek a teljesítése segít megvédeni a bizalmas adatokat és fenntartani a rendszer integritását.
A bizalmas virtuális gépek az alábbi operációsrendszer-beállításokat támogatják:
| Linux | Windows-ügyfél | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (csak AMD SEV-SNP) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise többszörös munkamenet | 2019 Server Core |
| 22.04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Több munkamenet | 2019 Adatközpont |
| 24.04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session | 2022 Server Core |
| RHEL | Windows 10 | 2022-i Azure Edition |
| 9.4 (vagy újabb) | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Több munkamenet | 2022 Azure Edition Core |
| 2022 Datacenter | ||
| SUSE (Technikai előzetes verzió) | 2025 Server Core | |
| 15 SP5 (Intel TDX, AMD SEV-SNP) | 2025 Adatközpont | |
| 15 SP5 az SAP-hoz (Intel TDX, AMD SEV-SNP) | 2025-ös Azure Edition | |
| 2025 Azure Edition Core | ||
| Rocky | ||
| 9.4 |
Regions
A bizalmas virtuális gépek meghatározott virtuálisgép-régiókban elérhető speciális hardvereken futnak.
Pricing
A díjszabás a virtuális gép bizalmas méretétől függ. További információkért tekintse meg a díjszabási kalkulátort.
Funkciók támogatása
A bizalmas virtuális gépek nem támogatják a következőt:
- Azure Backup
- Azure Site Recovery
- Korlátozott Azure Compute Gallery-támogatás
- Gyorsított hálózatkezelés
- élő áttelepítés
- Képernyőképek a rendszerindítási diagnosztika alatt
- Dinamikus memória
- A bizalmas lemeztitkosítás csak 128 GB-nál kisebb lemezek esetén támogatott. Nagyobb lemezek esetén ajánlott prémium SSD-k használata, különösen a 32 GB-ot meghaladó lemezek esetén.
- Az automatikus kulcsváltás nem támogatott, csak az offline kulcsváltás támogatott.
Következő lépések
További információkért tekintse meg a bizalmas virtuális gépekre vonatkozó gyakori kérdéseket.