Tanya Jawab Umum komputer virtual rahasia Azure

VM Rahasia adalah solusi IaaS untuk penyewa dengan persyaratan keamanan dan kerahasiaan tinggi. Penawaran VM rahasia:

• Enkripsi untuk "data yang digunakan", termasuk status prosesor dan memori komputer virtual. Kunci dihasilkan oleh prosesor dan tidak pernah meninggalkannya.
• Pengesahan host membantu Anda memverifikasi kesehatan dan kepatuhan penuh server sebelum pemrosesan data dimulai.
• Modul Keamanan Perangkat Keras (HSM) dapat dilampirkan untuk melindungi kunci disk VM rahasia, yang dimiliki penyewa secara eksklusif.
• Arsitektur boot UEFI baru yang mendukung OS tamu untuk pengaturan dan kemampuan keamanan yang ditingkatkan.
• Modul Platform Tepercaya (TPM) virtual khusus mensertifikasi kesehatan VM, menyediakan manajemen kunci yang diperkeras, dan mendukung kasus penggunaan seperti BitLocker.

VM rahasia mengatasi kekhawatiran pelanggan tentang memindahkan beban kerja sensitif secara lokal ke cloud. VM rahasia memberikan perlindungan yang ditingkatkan untuk data pelanggan dari infrastruktur dan operator cloud yang mendasar. Tidak seperti pendekatan dan solusi lain, Anda tidak perlu menyesuaikan beban kerja yang ada agar sesuai dengan kebutuhan teknis platform.

SEV-SNP adalah singkatan dari Secure Encrypted Virtualization-Secure Nested Paging. Ini adalah teknologi Trusted Execution Environment (TEE) yang disediakan oleh AMD dan menawarkan beberapa perlindungan: Misalnya, enkripsi memori, kunci CPU unik, enkripsi untuk status register prosesor, perlindungan integritas, pencegahan pembatalan firmware, pengerasan saluran samping, dan pembatasan perilaku interupsi dan pengecualian. Secara kolektif, teknologi AMD SEV memperkuat perlindungan tamu untuk menolak hypervisor dan akses kode manajemen host lainnya ke memori dan status VM. VM Rahasia memanfaatkan AMD SEV-SNP dengan teknologi Azure seperti enkripsi disk penuh dan Azure Key Vault Managed HSM. Anda dapat mengenkripsi data yang digunakan, saat transit, dan tidak aktif dengan kunci yang Anda kontrol. Dengan kemampuan Azure Attestation bawaan, Anda dapat secara independen membangun kepercayaan pada infrastruktur keamanan, kesehatan, dan dasar VM rahasia Anda.

Intel TDX adalah singkatan dari Intel Trust Domain Extensions (Intel TDX) Ini adalah teknologi Trusted Execution Environment (TEE) yang disediakan oleh Intel dan menawarkan beberapa perlindungan: Intel TDX menggunakan ekstensi perangkat keras untuk mengelola dan mengenkripsi memori dan melindungi kerahasiaan dan integritas status CPU. Selain itu, Intel TDX membantu mengeraskan lingkungan virtual dengan menolak hypervisor, kode manajemen host lainnya, dan akses administrator ke memori dan status VM. VM Rahasia menggabungkan Intel TDX dengan teknologi Azure seperti enkripsi disk penuh dan Azure Key Vault Managed HSM. Anda dapat mengenkripsi data yang digunakan, saat transit, dan tidak aktif dengan kunci yang Anda kontrol.

Azure VM sudah menawarkan keamanan dan perlindungan terdepan di industri terhadap penyewa lain dan penyusup berbahaya. VM rahasia Azure menambah perlindungan ini dengan menggunakan TEE berbasis perangkat keras seperti AMD SEV-SNP dan Intel TDX untuk mengisolasi dan melindungi kerahasiaan dan integritas data Anda secara kriptografi. Tidak ada admin host, atau layanan host (termasuk hypervisor Azure) yang dapat langsung melihat atau memodifikasi memori atau status CPU VM rahasia Anda. Selain itu, dengan kemampuan pengesahan penuh, enkripsi disk OS penuh, dan Modul Platform Tepercaya virtual yang dilindungi perangkat keras, status persisten dilindungi sehingga kunci privat Anda, dan konten memori Anda tidak terekspos ke lingkungan hosting yang tidak terenkripsi.

Saat ini disk OS untuk VM rahasia dapat dienkripsi dan diamankan. Untuk keamanan ekstra, Anda dapat mengaktifkan enkripsi tingkat tamu (seperti BitLocker atau dm-crypt) untuk semua drive data.

Ya, tetapi hanya jika pagefile.sys terletak di disk OS terenkripsi. Pada VM rahasia dengan disk sementara, file pagefile.sys dapat dipindahkan ke Tips OS terenkripsi untuk memindahkan pagefile.sys ke drive c:\.

Tidak, kemampuan ini tidak ada untuk VM rahasia.

Berikut adalah beberapa cara untuk menyebarkan VM rahasia:

• Menyebarkan dari portal Azure
• Menyebarkan dari Antarmuka Baris Perintah Azure (Azure CLI)
• Menyebarkan menggunakan Templat ARM

VM rahasia Azure pada AMD SEV-SNP menjalani pengesahan sebagai bagian dari fase boot mereka. Proses ini buram bagi pengguna dan berlangsung di sistem operasi cloud dengan layanan Microsoft Azure Attestation dan Azure Key Vault. VM rahasia juga memungkinkan pengguna untuk melakukan pengesahan independen untuk VM rahasia mereka. Pengesahan ini terjadi menggunakan alat baru yang disebut Pengesahan Tamu Azure Confidential VM. Pengesahan tamu memungkinkan pelanggan untuk membuktikan bahwa VM rahasia mereka berjalan pada prosesor AMD dengan SEV-SNP diaktifkan.

VM rahasia Azure yang menggunakan Intel TDX dapat dibuktikan secara transparan sebagai bagian dari alur boot untuk memastikan platform sesuai dan terbaru. Proses ini buram bagi pengguna dan berlangsung menggunakan Microsoft Azure Attestation dan Azure Key Vault. Jika Anda ingin memajukan untuk melakukan pemeriksaan pasca-boot, pengesahan platform tamu tersedia. Ini memungkinkan Anda memverifikasi bahwa VM Anda berjalan di Intel TDX asli. Untuk mengakses fitur ini, kunjungi cabang pratinjau kami. Selain itu, kami mendukung Intel® Trust Authority untuk perusahaan yang mencari pengesahan independen operator. Dukungan untuk pengesahan lengkap dalam tamu, mirip dengan AMD SEV-SNP akan segera hadir. Ini memungkinkan organisasi untuk masuk lebih dalam, dan memvalidasi aspek lebih lanjut, bahkan hingga ke lapisan aplikasi tamu.

Untuk berjalan pada VM rahasia, gambar OS harus memenuhi persyaratan keamanan dan kompatibilitas tertentu. Ini memungkinkan VM rahasia dipasang, dibuktikan, dan diisolasi dengan aman dari infrastruktur cloud yang mendasar. Di masa mendatang, kami berencana untuk memberikan panduan tentang cara mengambil build Linux kustom dan menerapkan serangkaian patch sumber terbuka untuk memenuhi syarat sebagai gambar VM rahasia.

Ya. Anda dapat menggunakan Azure Compute Gallery untuk memodifikasi gambar VM rahasia, seperti dengan menginstal aplikasi. Kemudian, Anda dapat menyebarkan VM rahasia berdasarkan gambar yang dimodifikasi.

Skema enkripsi disk penuh opsional adalah Azure yang paling aman dan memenuhi prinsip Komputasi Rahasia. Namun, Anda juga dapat menggunakan skema enkripsi disk lain bersama dengan atau alih-alih enkripsi disk penuh. Jika Anda menggunakan beberapa skema enkripsi disk, enkripsi ganda mungkin berdampak negatif pada performa.

Setiap VM rahasia Azure memiliki TPM virtual sendiri, di mana pelanggan dapat menutup rahasia/kunci mereka. Disarankan bagi pelanggan untuk memverifikasi status vTPM (melalui TPM.msc untuk VM Windows). Jika status belum siap digunakan, kami sarankan Anda me-reboot VM Anda sebelum menyegel rahasia/kunci ke vTPM.

Tidak. Setelah membuat VM rahasia, Anda tidak dapat menonaktifkan atau mengaktifkan kembali enkripsi disk penuh. Buat VM rahasia baru sebagai gantinya.

Pengembang yang mencari "pemisahan tugas" lebih lanjut untuk layanan TCB dari penyedia layanan cloud harus menggunakan jenis keamanan "NonPersistedTPM".

• Pengalaman ini hanya tersedia sebagai bagian dari pratinjau publik Intel TDX. Organisasi yang menggunakannya, atau menyediakan layanan dengannya memegang kendali atas TCB dan tanggung jawab yang disertakan dengannya.
• Pengalaman ini melewati layanan Azure asli, memungkinkan Anda membawa enkripsi disk, manajemen kunci, dan solusi pengesahan Anda sendiri.
• Setiap VM masih memiliki vTPM, yang harus digunakan untuk mengambil bukti perangkat keras, namun status vTPM tidak bertahan melalui boot ulang, yang berarti solusi ini sangat baik untuk beban kerja sementara dan organisasi yang ingin memisahkan dari penyedia layanan cloud.

Tidak. Untuk alasan keamanan, Anda harus membuat VM rahasia seperti itu sejak awal.

Ya, mengonversi dari satu VM rahasia ke VM rahasia lainnya diizinkan pada DCasv5/ECasv5 dan DCesv5/ECesv5 di wilayah yang mereka bagikan. Jika Anda menggunakan gambar Windows, pastikan Anda memiliki semua pembaruan terbaru. Jika Anda menggunakan gambar Linux Ubuntu, pastikan Anda menggunakan gambar rahasia Ubuntu 22.04 LTS dengan versi 6.2.0-1011-azurekernel minimum .

Pastikan Anda telah memilih wilayah yang tersedia untuk VM rahasia. Pastikan juga untuk memilih hapus semua filter dalam pemilih ukuran.

Tidak. VM rahasia tidak mendukung Jaringan Terakselerasi. Anda tidak dapat mengaktifkan Jaringan Terakselerasi untuk penyebaran VM rahasia apa pun, atau penyebaran kluster Azure Kubernetes Service apa pun yang berjalan pada Komputasi Rahasia.

Anda mungkin menerima kesalahan Operasi tidak dapat diselesaikan karena mengakibatkan melebihi Kuota Inti Keluarga DCasv5/ECasv5 standar yang disetujui. Kesalahan templat Azure Resource Manager (templat ARM) ini berarti penyebaran gagal karena kurangnya inti komputasi Azure. Langganan uji coba gratis Azure tidak memiliki kuota inti yang cukup besar untuk VM rahasia. Buat permintaan dukungan untuk menambah kuota Anda.

Seri ECasv5 dan seri ECesv5 adalah ukuran VM yang dioptimalkan memori, yang menawarkan rasio memori-ke-CPU yang lebih tinggi. Ukuran ini sangat cocok untuk server database relasional, cache sedang hingga besar, dan analitik dalam memori.

Tidak. Saat ini, VM ini hanya tersedia di wilayah tertentu. Untuk daftar wilayah yang tersedia saat ini, lihat Produk VM menurut wilayah.

Azure tidak memiliki prosedur operasi untuk memberikan akses VM rahasia kepada karyawannya, bahkan jika pelanggan mengotorisasi akses. Akibatnya, berbagai skenario pemulihan dan dukungan tidak tersedia untuk VM rahasia.

Tidak, VM rahasia saat ini tidak mendukung virtualisasi berlapis, seperti kemampuan untuk menjalankan hypervisor di dalam VM.

Penagihan untuk VM rahasia tergantung pada penggunaan dan penyimpanan Anda, serta ukuran dan wilayah VM. VM rahasia menggunakan disk status tamu komputer virtual terenkripsi kecil (VMGS) dari beberapa megabyte. VMGS merangkum status keamanan VM komponen seperti vTPM dan bootloader UEFI. Disk ini dapat mengakibatkan biaya penyimpanan bulanan. Selain itu, jika Anda memilih untuk mengaktifkan enkripsi disk penuh opsional, disk OS terenkripsi dikenakan biaya yang lebih tinggi. Untuk informasi selengkapnya tentang biaya penyimpanan, lihat panduan harga untuk disk terkelola. Terakhir, untuk beberapa pengaturan keamanan dan privasi yang tinggi, Anda dapat memilih untuk membuat sumber daya tertaut, seperti Kumpulan HSM Terkelola. Azure menagih sumber daya tersebut secara terpisah dari biaya VM rahasia.

Jarang beberapa VM seri DCesv5/ECesv5 mungkin mengalami perbedaan waktu kecil dari UTC. Perbaikan jangka panjang tersedia untuk ini segera. Sementara itu, berikut adalah solusi untuk VM Linux Windows dan Ubuntu:

sc config vmictimesync start=disabled
sc stop vmictimesync

Untuk gambar Linux Ubuntu, jalankan skrip berikut:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service