Tentang Azure Confidential VM
VM rahasia Azure menawarkan keamanan dan kerahasiaan yang kuat untuk penyewa. Mereka membuat batas yang diberlakukan perangkat keras antara aplikasi Anda dan tumpukan virtualisasi. Anda dapat menggunakannya untuk migrasi cloud tanpa memodifikasi kode Anda, dan platform memastikan status VM Anda tetap terlindungi.
Penting
Tingkat perlindungan berbeda berdasarkan konfigurasi dan preferensi Anda. Misalnya, Microsoft dapat memiliki atau mengelola kunci enkripsi untuk meningkatkan kenyamanan tanpa biaya tambahan.
Microsoft Mechanics
Manfaat VM Rahasia
- Isolasi berbasis perangkat keras yang kuat antara komputer virtual, hypervisor, dan kode manajemen host.
- Kebijakan pengesahan yang dapat disesuaikan untuk memastikan kepatuhan host sebelum penyebaran.
- Enkripsi disk OS Rahasia berbasis cloud sebelum boot pertama.
- Kunci enkripsi VM yang dimiliki dan dikelola oleh platform atau pelanggan (opsional).
- Rilis kunci aman dengan pengikatan kriptografi antara pengesahan platform yang berhasil dan kunci enkripsi VM.
- Instans Modul Platform Tepercaya (TPM) virtual khusus untuk pengesahan dan perlindungan kunci dan rahasia di komputer virtual.
- Kemampuan boot aman yang mirip dengan Peluncuran tepercaya untuk Azure VM
Enkripsi disk OS rahasia
Azure Confidential VM menawarkan skema enkripsi disk baru dan yang ditingkatkan. Skema ini melindungi semua partisi penting disk. Ini juga mengikat kunci enkripsi disk ke TPM komputer virtual dan membuat konten disk yang dilindungi hanya dapat diakses oleh VM. Kunci enkripsi ini dapat dengan aman melewati komponen Azure, termasuk hypervisor dan sistem operasi host. Untuk meminimalkan potensi serangan, layanan cloud khusus dan terpisah juga mengenkripsi disk selama pembuatan awal VM.
Jika platform komputasi kehilangan pengaturan penting untuk isolasi VM Anda, Azure Attestation tidak akan membuktikan kesehatan platform selama boot, dan sebaliknya akan mencegah VM dimulai. Skenario ini terjadi jika Anda belum mengaktifkan SEV-SNP, misalnya.
Enkripsi disk OS rahasia bersifat opsional, karena proses ini dapat memperpanjang waktu pembuatan VM awal. Anda dapat memilih antara:
- VM rahasia dengan enkripsi disk CONFIDENTIAL OS sebelum penyebaran VM yang menggunakan kunci yang dikelola platform (PMK) atau kunci yang dikelola pelanggan (CMK).
- VM rahasia tanpa enkripsi disk CONFIDENTIAL OS sebelum penyebaran VM.
Untuk integritas dan perlindungan lebih lanjut, VM rahasia menawarkan Boot Aman secara default saat enkripsi disk OS rahasia dipilih.
Dengan Boot Aman, penerbit tepercaya harus menandatangani komponen boot OS (termasuk boot loader, kernel, dan driver kernel). Semua gambar VM rahasia yang kompatibel mendukung Boot Aman.
Enkripsi disk sementara rahasia
Anda juga dapat memperluas perlindungan enkripsi disk rahasia ke disk sementara. Kami mengaktifkan ini dengan memanfaatkan teknologi enkripsi kunci simetris dalam VM, setelah disk dilampirkan ke CVM.
Disk sementara menyediakan penyimpanan cepat, lokal, dan jangka pendek untuk aplikasi dan proses. Ini dimaksudkan untuk hanya menyimpan data seperti file halaman, file log, data cache, dan jenis data sementara lainnya. Disk sementara pada CVM berisi file halaman, juga dikenal sebagai file swap, yang dapat berisi data sensitif. Tanpa enkripsi, data pada disk ini mungkin dapat diakses oleh host. Setelah mengaktifkan fitur ini, data pada disk sementara tidak lagi terekspos ke host.
Fitur ini dapat diaktifkan melalui proses keikutsertaan. Untuk mempelajari lebih lanjut, baca dokumentasi.
Perbedaan harga enkripsi
VM rahasia Azure menggunakan disk OS dan disk status tamu komputer virtual terenkripsi kecil (VMGS) dari beberapa megabyte. Disk VMGS berisi status keamanan komponen VM. Beberapa komponen termasuk vTPM dan bootloader UEFI. Disk VMGS kecil mungkin dikenakan biaya penyimpanan bulanan.
Mulai Juli 2022, disk OS terenkripsi akan dikenakan biaya yang lebih tinggi. Untuk informasi selengkapnya, lihat panduan harga untuk disk terkelola.
Pengesahan dan TPM
VM rahasia Azure boot hanya setelah pengesahan yang berhasil dari komponen penting platform dan pengaturan keamanan. Laporan pengesahan meliputi:
- Laporan pengesahan yang ditandatangani
- Pengaturan boot platform
- Pengukuran firmware platform
- Pengukuran OS
Anda dapat menginisialisasi permintaan pengesahan di dalam VM rahasia untuk memverifikasi bahwa VM rahasia Anda menjalankan instans perangkat keras dengan prosesor yang diaktifkan AMD SEV-SNP, atau Intel TDX. Untuk informasi selengkapnya, lihat Pengesahan tamu Azure Confidential VM.
Azure Confidential VM menampilkan TPM virtual (vTPM) untuk Azure VM. vTPM adalah versi virtual dari TPM perangkat keras, dan sesuai dengan spesifikasi TPM 2.0. Anda dapat menggunakan vTPM sebagai brankas aman khusus untuk kunci dan pengukuran. VM rahasia memiliki instans vTPM khusus mereka sendiri, yang berjalan di lingkungan yang aman di luar jangkauan VM apa pun.
Batasan
Batasan berikut ada untuk VM rahasia. Untuk tanya jawab umum, lihat FAQ tentang VM rahasia.
Dukungan ukuran
VM rahasia mendukung ukuran VM berikut:
- Tujuan Umum tanpa disk lokal: seri DCasv5, seri DCesv5
- Tujuan Umum dengan disk lokal: seri DCadsv5, seri DCedsv5
- Memori Dioptimalkan tanpa disk lokal: seri ECasv5, seri ECesv5
- Memori Dioptimalkan dengan disk lokal: seri ECadsv5, seri ECedsv5
Dukungan OS
VM rahasia mendukung opsi OS berikut:
| Linux | Klien Windows | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Pusat Data Windows Server |
| 20.04 LTS (HANYA AMD SEV-SNP) | 22H2 Pro | Inti Server 2019 |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | Inti Server 2022 | |
| RHEL | 22H2 Enterprise | Edisi Azure 2022 |
| 9.3 (Hanya AMD SEV-SNP) | 22H2 Enterprise N | Inti Edisi Azure 2022 |
| Pratinjau 9.3 (Khusus Intel TDX) | 22H2 Enterprise Multi-session | |
| SUSE (Pratinjau Teknologi) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 untuk SAP (Intel TDX, AMD SEV-SNP) |
Wilayah
VM rahasia berjalan pada perangkat keras khusus yang tersedia di wilayah VM tertentu.
Harga
Harga tergantung pada ukuran VM rahasia Anda. Untuk informasi selengkapnya, lihat Kalkulator Harga.
Dukungan fitur
VM rahasia tidak mendukung:
- Azure Batch
- Pencadangan Azure
- Azure Site Recovery
- Azure Dedicated HSM
- Microsoft Azure Virtual Machine Scale Sets dengan enkripsi disk CONFIDENTIAL OS diaktifkan
- Dukungan Azure Compute Gallery terbatas
- Disk Bersama
- Disk ultra
- Penjaringan Dipercepat
- Migrasi langsung
- Cuplikan layar di bawah diagnostik boot
Langkah berikutnya
Untuk informasi selengkapnya, lihat FAQ VM Rahasia kami.