Condividi tramite


Avvio rapido: Creare una macchina virtuale Intel SGX nel portale di Azure

Questa esercitazione illustra il processo di distribuzione di macchine virtuali Intel SGX con il portale di Azure. È anche possibile usare i modelli seguenti di Azure Marketplace.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Nota

Gli account di valutazione gratuita non hanno accesso alle macchine virtuali in questa esercitazione. Eseguire l'aggiornamento a una sottoscrizione con pagamento in base al consumo.

Accedere ad Azure

  1. Accedere al portale di Azure.

  2. Nella parte superiore selezionare Crea una risorsa.

  3. Nel riquadro sul lato sinistro selezionare Calcolo.

  4. Selezionare Crea macchina virtuale.

    Distribuire una macchina virtuale

Configurare una macchina virtuale Intel SGX

  1. Nella scheda Informazioni di base selezionare le opzioni per Sottoscrizione e Gruppo di risorse.

  2. In Nome macchina virtuale immettere un nome per la nuova VM.

  3. Digitare o selezionare i valori seguenti:

    • Area: selezionare l'area di Azure appropriata.

      Nota

      Le macchine virtuali Intel SGX vengono eseguite su hardware specializzato in aree specifiche. Per informazioni sulla disponibilità a livello di area più recente, cercare la serie DCsv2 o DCsv3/DCdsv3 in aree disponibili.

  4. Configurare l'immagine del sistema operativo da usare per la macchina virtuale.

    • Seleziona immagine: per questa esercitazione, selezionare Ubuntu 20.04 LTS - Gen2. È anche possibile selezionare Ubuntu 18.04 LTS - Gen2 o Windows Server 2019.

    • Aggiornare alla generazione 2: in Immagine selezionare Configura generazione macchina virtuale nel menu a comparsa e quindi selezionare Generazione 2.

      image

  5. Scegliere una macchina virtuale con funzionalità Intel SGX facendo clic su + Aggiungi filtro per creare un filtro, selezionare Tipo per Tipo di filtro e selezionare solo Calcolo riservato nell'elenco a discesa successivo.

    VM serie DCsv2

    Suggerimento

    Verranno visualizzate le dimensioni DC(numero)s_v2, DC(numero)s_v3 e DC(numero)ds_v3. Altre informazioni.

  6. Compila le seguenti informazioni:

    • Tipo di autenticazione: selezionare Chiave pubblica SSH se si crea una macchina virtuale Linux.

      Nota

      Per l'autenticazione, si può scegliere di usare una chiave pubblica SSH o una password. L'opzione più sicura è SSH. Per istruzioni su come generare una chiave SSH, vedere l'articolo su come creare chiavi SSH in Linux e Mac per le VM Linux in Azure.

    • Nome utente: immettere il nome dell'amministratore della macchina virtuale.

    • Chiave pubblica SSH: se applicabile, immettere la chiave pubblica RSA.

    • Password: se applicabile, immettere la password per l'autenticazione.

    • Porte in ingresso pubbliche: scegliere Consenti porte selezionate e selezionare SSH (22) e HTTP (80) nell'elenco Selezionare le porte in ingresso pubbliche. Se si distribuisce una macchina virtuale Windows, selezionare HTTP (80) e RDP (3389).

    Nota

    Non è consigliabile consentire porte RDP/SSH per le distribuzioni di produzione.

    Porte in ingresso

  7. Apportare modifiche nella scheda Dischi.

    • La serie DCsv2 supporta SSD Standard. Le dimensioni SSD Premium sono supportate per DC1, DC2 e DC4.
    • Le serie DCsv3 e DCdsv3 supportano SSD Standard, SSD Premium e Ultra SSD
  8. Apportare eventuali modifiche alle impostazioni nelle schede seguenti o mantenere quelle predefinite.

    • Networking
    • Gestione
    • Configurazione guest
    • Tag
  9. Selezionare Rivedi e crea.

  10. Nel riquadro Rivedi e crea selezionare Crea.

Nota

Procedere con la sezione successiva e continuare con questa esercitazione se è stata distribuita una VM Linux. Se è stata distribuita una VM Windows, seguire questa procedura per connettersi alla VM Windows e quindi installare OE SDK in Windows.

Connettersi alla VM Linux

Aprire il client SSH preferito, ad esempio Bash in Linux o PowerShell in Windows. Il comando ssh è in genere incluso in Linux, macOS e Windows. Se si usa Windows 7 o versione precedente, in cui OpenSSH Win32 non è incluso per impostazione predefinita, è consigliabile installare WSL o usare Azure Cloud Shell dal browser. Nel comando seguente, sostituire il nome utente e l'indirizzo IP della VM per connettersi alla propria VM Linux.

ssh azureadmin@40.55.55.555

L'indirizzo IP pubblico della VM è disponibile nella relativa sezione Panoramica del portale di Azure.

Indirizzo IP nel portale di Azure

Per altre informazioni sulla connessione alle VM Linux, vedere l'articolo su come creare una VM Linux in Azure con il portale.

Installare il client DCAP di Azure

Azure Data Center Attestation Primitives (DCAP), una sostituzione di Intel Quote Provider Library (QPL), recupera il materiale collaterale per la generazione e la convalida delle Quote direttamente dal servizio THIM.

Il servizio THIM (Trusted Hardware Identity Management) si occupa della gestione della cache dei certificati per tutti gli ambienti di esecuzione attendibili (TEE) che risiedono in Azure e fornisce informazioni TCB (Trusted Computing Base) per applicare una baseline minima per le soluzioni di attestazione.

DCsv3 e DCdsv3 supportano solo l'attestazione basata su ECDSA e gli utenti devono installare il client di Azure DCAP per interagire con THIM e recuperare il materiale collaterale TEE per la generazione delle Quote durante il processo di attestazione. DCsv2 continua a supportare l'attestazione basata su EPID.

Pulire le risorse

Quando non servono più, è possibile eliminare il gruppo di risorse, la macchina virtuale e tutte le risorse correlate.

Selezionare il gruppo di risorse per la macchina virtuale, quindi fare clic su Elimina. Confermare il nome del gruppo di risorse da terminare eliminando le risorse.

Passaggi successivi

In questo avvio rapido è stata distribuita una macchina virtuale Intel SGX e poi è stata attivata una connessione a tale macchina virtuale. Per altre informazioni, vedere Soluzioni in macchine virtuali.

Per altre informazioni su come creare applicazioni di confidential computing, continuare con gli esempi di Open Enclave SDK in GitHub.

Attestazione di Microsoft Azure è un frame di attestazione basato su ECDSA gratuito che consente di verificare in remoto l'attendibilità di più ambienti TEE e l'integrità dei file binari in esecuzione all'interno. Altre informazioni