Tudnivalók az Azure-beli bizalmas virtuális gépekről
Az Azure-beli bizalmas virtuális gépek erős biztonságot és bizalmasságot biztosítanak a bérlők számára. Hardveresen kikényszerített határt hoznak létre az alkalmazás és a virtualizálási verem között. A kód módosítása nélkül használhatja őket a felhőbe való migráláshoz, és a platform biztosítja, hogy a virtuális gép állapota védett maradjon.
Fontos
A védelmi szintek a konfigurációtól és a beállításoktól függően eltérőek. A Microsoft például további költségek nélkül birtokolhatja vagy kezelheti a titkosítási kulcsokat a nagyobb kényelem érdekében.
Microsoft Mechanics
A bizalmas virtuális gépek előnyei
- Robusztus hardveralapú elkülönítés a virtuális gépek, a hipervizor és a gazdagép felügyeleti kódja között.
- Testre szabható igazolási szabályzatok, amelyek biztosítják a gazdagép megfelelőségét az üzembe helyezés előtt.
- Felhőalapú bizalmas operációsrendszer-lemeztitkosítás az első rendszerindítás előtt.
- Virtuálisgép-titkosítási kulcsok, amelyeket a platform vagy az ügyfél (opcionálisan) birtokol és kezel.
- Biztonságos kulcskiadás titkosítási kötéssel a platform sikeres igazolása és a virtuális gép titkosítási kulcsai között.
- Dedikált virtuális platformmodul (TPM) példány a kulcsok és titkos kódok igazolásához és védelméhez a virtuális gépen.
- Az Azure-beli virtuális gépek megbízható indításához hasonló biztonságos rendszerindítási képesség
Bizalmas operációsrendszer-lemeztitkosítás
Az Azure-beli bizalmas virtuális gépek új és továbbfejlesztett lemeztitkosítási sémát kínálnak. Ez a séma a lemez összes kritikus partícióját védi. Emellett a lemeztitkosítási kulcsokat a virtuális gép TPM-éhez köti, és a védett lemez tartalmát csak a virtuális gép számára teszi elérhetővé. Ezek a titkosítási kulcsok biztonságosan megkerülhetik az Azure-összetevőket, beleértve a hipervizort és a gazdagép operációs rendszerét. A támadási potenciál minimalizálása érdekében egy dedikált és különálló felhőszolgáltatás a virtuális gép kezdeti létrehozásakor is titkosítja a lemezt.
Ha a számítási platform nem rendelkezik kritikus beállításokkal a virtuális gép elkülönítéséhez, az Azure-igazolás nem igazolja a platform állapotát a rendszerindítás során, és ehelyett megakadályozza a virtuális gép indítását. Ez a forgatókönyv akkor fordul elő, ha például nem engedélyezte az SEV-SNP-t.
A bizalmas operációsrendszer-lemeztitkosítás nem kötelező, mivel ez a folyamat meghosszabbíthatja a virtuális gép kezdeti létrehozási idejét. A következő lehetőségek közül választhat:
- Bizalmas operációsrendszer-lemeztitkosítással rendelkező, platform által felügyelt kulcsokat (PMK) vagy ügyfél által felügyelt kulcsot (CMK) használó virtuális gép üzembe helyezése előtt.
- Bizalmas virtuális gép, amely nem rendelkezik bizalmas operációsrendszer-lemeztitkosítással a virtuális gép üzembe helyezése előtt.
A további integritás és védelem érdekében a bizalmas virtuális gépek alapértelmezés szerint biztonságos rendszerindítást kínálnak a bizalmas operációsrendszer-lemeztitkosítás kiválasztásakor.
A biztonságos rendszerindítással a megbízható közzétevőknek alá kell írniuk az operációs rendszer rendszerindítási összetevőit (beleértve a rendszertöltőt, a kernelt és a kernelillesztőket). Minden kompatibilis bizalmas virtuálisgép-rendszerkép támogatja a Biztonságos rendszerindítást.
Bizalmas ideiglenes lemeztitkosítás
A bizalmas lemeztitkosítás védelmét az ideiglenes lemezre is kiterjesztheti. Ezt egy virtuális gépen belüli szimmetrikus kulcstitkosítási technológiával tesszük lehetővé, miután a lemez csatlakoztatva van a CVM-hez.
A temp lemez gyors, helyi és rövid távú tárolást biztosít az alkalmazások és folyamatok számára. Csak olyan adatok tárolására szolgál, mint például lapfájlok, naplófájlok, gyorsítótárazott adatok és egyéb ideiglenes adatok. A CVM-lemezek ideiglenes lemezei tartalmazzák a lapfájlt, más néven felcserélő fájlt, amely bizalmas adatokat tartalmazhat. Titkosítás nélkül az ezeken a lemezeken lévő adatok elérhetők lehetnek a gazdagép számára. A funkció engedélyezése után az ideiglenes lemezeken lévő adatok már nem lesznek elérhetők a gazdagép számára.
Ez a funkció egy jóváhagyási folyamaton keresztül engedélyezhető. További információért lásd a dokumentációt.
Titkosítási díjszabás eltérései
Az Azure-beli bizalmas virtuális gépek az operációs rendszer lemezét és egy kis, több megabájtos virtuálisgép-vendégállapotú (VMGS) lemezt is használnak. A VMGS-lemez tartalmazza a virtuális gép összetevőinek biztonsági állapotát. Egyes összetevők közé tartozik a vTPM és az UEFI rendszerindító. A kis VMGS-lemez havi tárolási költséggel járhat.
2022 júliusától a titkosított operációsrendszer-lemezek magasabb költségekkel járnak. További információt a felügyelt lemezek díjszabási útmutatójában talál.
Igazolás és TPM
Az Azure-beli bizalmas virtuális gépek csak a platform kritikus összetevőinek és biztonsági beállításainak sikeres igazolása után indulnak el. Az igazolási jelentés a következőket tartalmazza:
- Aláírt igazolási jelentés
- Platformindítási beállítások
- Platform belső vezérlőprogramjának mérései
- Operációsrendszer-mérések
Inicializálhat egy igazolási kérelmet egy bizalmas virtuális gépen belül annak ellenőrzéséhez, hogy a bizalmas virtuális gépek egy hardverpéldányt futtatnak-e AMD SEV-SNP vagy Intel TDX-kompatibilis processzorokkal. További információkért tekintse meg az Azure bizalmas virtuálisgép-vendégigazolását.
Az Azure-beli bizalmas virtuális gépek virtuális TPM-t (vTPM) használnak azure-beli virtuális gépekhez. A vTPM a hardveres TPM virtualizált verziója, és megfelel a TPM 2.0 specifikációjának. A vTPM-et dedikált, biztonságos tárolóként használhatja kulcsokhoz és mérésekhez. A bizalmas virtuális gépek saját dedikált vTPM-példánysal rendelkeznek, amely biztonságos környezetben fut, bármely virtuális gép elérésén kívül.
Korlátozások
A bizalmas virtuális gépekre az alábbi korlátozások vonatkoznak. A gyakori kérdésekért tekintse meg a bizalmas virtuális gépekre vonatkozó gyakori kérdéseket.
Mérettámogatás
A bizalmas virtuális gépek a következő virtuálisgép-méreteket támogatják:
- Általános célú helyi lemez nélkül: DCasv5-sorozat, DCesv5-sorozat
- Általános célú helyi lemezzel: DCadsv5-sorozat, DCedsv5-sorozat
- Memóriaoptimalizált helyi lemez nélkül: ECasv5-sorozat, ECesv5-sorozat
- Helyi lemezzel optimalizált memória: ECadsv5-sorozat, ECedsv5-sorozat
- NVIDIA H100 Tensor Core GPU-alapú NCCadsH100v5 sorozat
Operációsrendszer-támogatás
A bizalmas virtuális gépek operációsrendszer-lemezképeinek meg kell felelniük bizonyos biztonsági követelményeknek. Ezeket a minősített lemezképeket úgy tervezték, hogy támogassák az opcionális bizalmas operációsrendszer-lemeztitkosítást, és biztosítsák a mögöttes felhőinfrastruktúra elkülönítését. Ezeknek a követelményeknek a teljesítése segít megvédeni a bizalmas adatokat és fenntartani a rendszer integritását.
A bizalmas virtuális gépek az alábbi operációsrendszer-beállításokat támogatják:
| Linux | Windows-ügyfél | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (csak AMD SEV-SNP) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session | 2019 Server Core |
| 22.04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2019 Datacenter |
| 24.04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session | 2022 Server Core |
| RHEL | Windows 10 | 2022-i Azure Edition |
| 9.4 (csak AMD SEV-SNP) | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2022 Azure Edition Core |
| 2022 Datacenter | ||
| SUSE (Technikai előzetes verzió) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 az SAP-hoz (Intel TDX, AMD SEV-SNP) |
Régiók
A bizalmas virtuális gépek meghatározott virtuálisgép-régiókban elérhető speciális hardvereken futnak.
Díjszabás
A díjszabás a virtuális gép bizalmas méretétől függ. További információkért tekintse meg a díjszabási kalkulátort.
Szolgáltatások támogatása
A bizalmas virtuális gépek nem támogatják a következőt:
- Azure Batch
- Azure Backup
- Azure Site Recovery
- Korlátozott Azure Compute Gallery-támogatás
- Megosztott lemezek
- Gyorsított hálózatkezelés
- Élő áttelepítés
- Képernyőképek a rendszerindítási diagnosztika alatt
Következő lépések
További információkért tekintse meg a bizalmas virtuális gépekre vonatkozó gyakori kérdéseket.