Megosztás a következőn keresztül:


Tudnivalók az Azure-beli bizalmas virtuális gépekről

Az Azure-beli bizalmas virtuális gépek erős biztonságot és bizalmasságot biztosítanak a bérlők számára. Hardveresen kikényszerített határt hoznak létre az alkalmazás és a virtualizálási verem között. A kód módosítása nélkül használhatja őket a felhőbe való migráláshoz, és a platform biztosítja, hogy a virtuális gép állapota védett maradjon.

Fontos

A védelmi szintek a konfigurációtól és a beállításoktól függően eltérőek. A Microsoft például további költségek nélkül birtokolhatja vagy kezelheti a titkosítási kulcsokat a nagyobb kényelem érdekében.

Microsoft Mechanics

A bizalmas virtuális gépek előnyei

  • Robusztus hardveralapú elkülönítés a virtuális gépek, a hipervizor és a gazdagép felügyeleti kódja között.
  • Testre szabható igazolási szabályzatok, amelyek biztosítják a gazdagép megfelelőségét az üzembe helyezés előtt.
  • Felhőalapú bizalmas operációsrendszer-lemeztitkosítás az első rendszerindítás előtt.
  • Virtuálisgép-titkosítási kulcsok, amelyeket a platform vagy az ügyfél (opcionálisan) birtokol és kezel.
  • Biztonságos kulcskiadás titkosítási kötéssel a platform sikeres igazolása és a virtuális gép titkosítási kulcsai között.
  • Dedikált virtuális platformmodul (TPM) példány a kulcsok és titkos kódok igazolásához és védelméhez a virtuális gépen.
  • Az Azure-beli virtuális gépek megbízható indításához hasonló biztonságos rendszerindítási képesség

Bizalmas operációsrendszer-lemeztitkosítás

Az Azure-beli bizalmas virtuális gépek új és továbbfejlesztett lemeztitkosítási sémát kínálnak. Ez a séma a lemez összes kritikus partícióját védi. Emellett a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti, és a védett lemez tartalmát csak a virtuális gép számára teszi elérhetővé. Ezek a titkosítási kulcsok biztonságosan megkerülhetik az Azure-összetevőket, beleértve a hipervizort és a gazdagép operációs rendszerét. A támadási potenciál minimalizálása érdekében egy dedikált és különálló felhőszolgáltatás a virtuális gép kezdeti létrehozásakor is titkosítja a lemezt.

Ha a számítási platform nem rendelkezik kritikus beállításokkal a virtuális gép elkülönítéséhez, az Azure-igazolás nem igazolja a platform állapotát a rendszerindítás során, és ehelyett megakadályozza a virtuális gép indítását. Ez a forgatókönyv akkor fordul elő, ha például nem engedélyezte Standard kiadás V-SNP-t.

A bizalmas operációsrendszer-lemeztitkosítás nem kötelező, mivel ez a folyamat meghosszabbíthatja a virtuális gép kezdeti létrehozási idejét. A következő lehetőségek közül választhat:

  • Bizalmas operációsrendszer-lemeztitkosítással rendelkező, platform által felügyelt kulcsokat (PMK) vagy ügyfél által felügyelt kulcsot (CMK) használó virtuális gép üzembe helyezése előtt.
  • Bizalmas virtuális gép, amely nem rendelkezik bizalmas operációsrendszer-lemeztitkosítással a virtuális gép üzembe helyezése előtt.

A további integritás és védelem érdekében a bizalmas virtuális gépek alapértelmezés szerint biztonságos rendszerindítást kínálnak a bizalmas operációsrendszer-lemeztitkosítás kiválasztásakor.

A biztonságos rendszerindítással a megbízható közzétevőknek alá kell írniuk az operációs rendszer rendszerindítási összetevőit (beleértve a rendszertöltőt, a kernelt és a kernelillesztőket). Minden kompatibilis bizalmas virtuálisgép-rendszerkép támogatja a Biztonságos rendszerindítást.

Bizalmas ideiglenes lemeztitkosítás

A bizalmas lemeztitkosítás védelmét az ideiglenes lemezre is kiterjesztheti. Ezt egy virtuális gépen belüli szimmetrikus kulcstitkosítási technológiával tesszük lehetővé, miután a lemez csatlakoztatva van a CVM-hez.

A temp lemez gyors, helyi és rövid távú tárolást biztosít az alkalmazások és folyamatok számára. Csak olyan adatok tárolására szolgál, mint például lapfájlok, naplófájlok, gyorsítótárazott adatok és egyéb ideiglenes adatok. A CVM-lemezek ideiglenes lemezei tartalmazzák a lapfájlt, más néven felcserélő fájlt, amely bizalmas adatokat tartalmazhat. Titkosítás nélkül az ezeken a lemezeken lévő adatok elérhetők lehetnek a gazdagép számára. A funkció engedélyezése után az ideiglenes lemezeken lévő adatok már nem lesznek elérhetők a gazdagép számára.

Ez a funkció egy jóváhagyási folyamaton keresztül engedélyezhető. További információért lásd a dokumentációt.

Titkosítási díjszabás eltérései

Az Azure-beli bizalmas virtuális gépek az operációs rendszer lemezét és egy kis, több megabájtos virtuálisgép-vendégállapotú (VMGS) lemezt is használnak. A VMGS-lemez tartalmazza a virtuális gép összetevőinek biztonsági állapotát. Egyes összetevők közé tartozik a vTPM és az UEFI rendszerindító. A kis VMGS-lemez havi tárolási költséggel járhat.

2022 júliusától a titkosított operációsrendszer-lemezek magasabb költségekkel járnak. További információt a felügyelt lemezek díjszabási útmutatójában talál.

Igazolás és TPM

Az Azure-beli bizalmas virtuális gépek csak a platform kritikus összetevőinek és biztonsági beállításainak sikeres igazolása után indulnak el. Az igazolási jelentés a következőket tartalmazza:

  • Aláírt igazolási jelentés
  • Platformindítási beállítások
  • Platform belső vezérlőprogramjának mérései
  • Operációsrendszer-mérések

Egy igazolási kérelmet inicializálhat egy bizalmas virtuális gépen belül annak ellenőrzéséhez, hogy a bizalmas virtuális gépek egy hardverpéldányt futtatnak-e AMD Standard kiadás V-SNP vagy Intel TDX-kompatibilis processzorokkal. További információkért tekintse meg az Azure bizalmas virtuálisgép-vendégigazolását.

Az Azure-beli bizalmas virtuális gépek virtuális TPM-t (vTPM) használnak azure-beli virtuális gépekhez. A vTPM a hardveres TPM virtualizált verziója, és megfelel a TPM 2.0 specifikációjának. A vTPM-et dedikált, biztonságos tárolóként használhatja kulcsokhoz és mérésekhez. A bizalmas virtuális gépek saját dedikált vTPM-példánysal rendelkeznek, amely biztonságos környezetben fut, bármely virtuális gép elérésén kívül.

Korlátozások

A bizalmas virtuális gépekre az alábbi korlátozások vonatkoznak. A gyakori kérdésekért tekintse meg a bizalmas virtuális gépekre vonatkozó gyakori kérdéseket.

Mérettámogatás

A bizalmas virtuális gépek a következő virtuálisgép-méreteket támogatják:

  • Általános célú helyi lemez nélkül: DCasv5-sorozat, DCesv5-sorozat
  • Általános célú helyi lemezzel: DCadsv5-sorozat, DCedsv5-sorozat
  • Memóriaoptimalizált helyi lemez nélkül: ECasv5-sorozat, ECesv5-sorozat
  • Helyi lemezzel optimalizált memória: ECadsv5-sorozat, ECedsv5-sorozat

Operációs rendszer támogatása

A bizalmas virtuális gépek az alábbi operációsrendszer-beállításokat támogatják:

Linux Windows-ügyfél Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (csak AMD Standard kiadás V-SNP) 22H2 Pro 2019 Server Core
22.04 LTS 22H2 Pro ZH-CN
22H2 Pro N 2022 Server Core
RHEL 22H2 Enterprise 2022-i Azure Edition
9.3 (csak AMD Standard kiadás V-SNP) 22H2 Enterprise N 2022 Azure Edition Core
9.3 előzetes verzió (csak Intel TDX) 22H2 Nagyvállalati több munkamenet
SU Standard kiadás (Technikai előzetes verzió)
15 SP5 (Intel TDX, AMD Standard kiadás V-SNP)
15 SP5 SAP-hoz (Intel TDX, AMD Standard kiadás V-SNP)

Régiók

A bizalmas virtuális gépek meghatározott virtuálisgép-régiókban elérhető speciális hardvereken futnak.

Díjszabás

A díjszabás a virtuális gép bizalmas méretétől függ. További információkért tekintse meg a díjszabási kalkulátort.

Szolgáltatások támogatása

A bizalmas virtuális gépek nem támogatják a következőt:

  • Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Azure Dedicated Host
  • Microsoft Azure virtuálisgép-méretezési csoportok bizalmas operációsrendszer-lemeztitkosítással engedélyezve
  • Korlátozott Azure Compute Gallery-támogatás
  • Megosztott lemezek
  • Ultralemezek
  • Gyorsított hálózatkezelés
  • Élő áttelepítés
  • Képernyőképek a rendszerindítási diagnosztika alatt

Következő lépések

További információkért tekintse meg a bizalmas virtuális gépekre vonatkozó gyakori kérdéseket.