Avvio rapido: Creare una macchina virtuale Intel SGX nel portale di Azure
Questa esercitazione illustra il processo di distribuzione di macchine virtuali Intel SGX con il portale di Azure. È anche possibile usare i modelli seguenti di Azure Marketplace.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.
Nota
Gli account di valutazione gratuita non hanno accesso alle macchine virtuali in questa esercitazione. Eseguire l'aggiornamento a una sottoscrizione con pagamento in base al consumo.
Accedere ad Azure
Accedere al portale di Azure.
Nella parte superiore selezionare Crea una risorsa.
Nel riquadro sul lato sinistro selezionare Calcolo.
Selezionare Crea macchina virtuale.
Configurare una macchina virtuale Intel SGX
Nella scheda Informazioni di base selezionare le opzioni per Sottoscrizione e Gruppo di risorse.
In Nome macchina virtuale immettere un nome per la nuova VM.
Digitare o selezionare i valori seguenti:
Area: selezionare l'area di Azure appropriata.
Nota
Le macchine virtuali Intel SGX vengono eseguite su hardware specializzato in aree specifiche. Per informazioni sulla disponibilità a livello di area più recente, cercare la serie DCsv2 o DCsv3/DCdsv3 in aree disponibili.
Configurare l'immagine del sistema operativo da usare per la macchina virtuale.
Seleziona immagine: per questa esercitazione, selezionare Ubuntu 20.04 LTS - Gen2. È anche possibile selezionare Ubuntu 18.04 LTS - Gen2 o Windows Server 2019.
Aggiornare alla generazione 2: in Immagine selezionare Configura generazione macchina virtuale nel menu a comparsa e quindi selezionare Generazione 2.
Scegliere una macchina virtuale con funzionalità Intel SGX facendo clic su + Aggiungi filtro per creare un filtro, selezionare Tipo per Tipo di filtro e selezionare solo Calcolo riservato nell'elenco a discesa successivo.
Suggerimento
Verranno visualizzate le dimensioni DC(numero)s_v2, DC(numero)s_v3 e DC(numero)ds_v3. Altre informazioni.
Compila le seguenti informazioni:
Tipo di autenticazione: selezionare Chiave pubblica SSH se si crea una macchina virtuale Linux.
Nota
Per l'autenticazione, si può scegliere di usare una chiave pubblica SSH o una password. L'opzione più sicura è SSH. Per istruzioni su come generare una chiave SSH, vedere l'articolo su come creare chiavi SSH in Linux e Mac per le VM Linux in Azure.
Nome utente: immettere il nome dell'amministratore della macchina virtuale.
Chiave pubblica SSH: se applicabile, immettere la chiave pubblica RSA.
Password: se applicabile, immettere la password per l'autenticazione.
Porte in ingresso pubbliche: scegliere Consenti porte selezionate e selezionare SSH (22) e HTTP (80) nell'elenco Selezionare le porte in ingresso pubbliche. Se si distribuisce una macchina virtuale Windows, selezionare HTTP (80) e RDP (3389).
Nota
Non è consigliabile consentire porte RDP/SSH per le distribuzioni di produzione.
Apportare modifiche nella scheda Dischi.
- La serie DCsv2 supporta SSD Standard. Le dimensioni SSD Premium sono supportate per DC1, DC2 e DC4.
- Le serie DCsv3 e DCdsv3 supportano SSD Standard, SSD Premium e Ultra SSD
Apportare eventuali modifiche alle impostazioni nelle schede seguenti o mantenere quelle predefinite.
- Networking
- Gestione
- Configurazione guest
- Tag
Selezionare Rivedi e crea.
Nel riquadro Rivedi e crea selezionare Crea.
Nota
Procedere con la sezione successiva e continuare con questa esercitazione se è stata distribuita una VM Linux. Se è stata distribuita una VM Windows, seguire questa procedura per connettersi alla VM Windows e quindi installare OE SDK in Windows.
Connettersi alla VM Linux
Aprire il client SSH preferito, ad esempio Bash in Linux o PowerShell in Windows. Il comando ssh
è in genere incluso in Linux, macOS e Windows. Se si usa Windows 7 o versione precedente, in cui OpenSSH Win32 non è incluso per impostazione predefinita, è consigliabile installare WSL o usare Azure Cloud Shell dal browser. Nel comando seguente, sostituire il nome utente e l'indirizzo IP della VM per connettersi alla propria VM Linux.
ssh azureadmin@40.55.55.555
L'indirizzo IP pubblico della VM è disponibile nella relativa sezione Panoramica del portale di Azure.
Per altre informazioni sulla connessione alle VM Linux, vedere l'articolo su come creare una VM Linux in Azure con il portale.
Installare il client DCAP di Azure
Azure Data Center Attestation Primitives (DCAP), una sostituzione di Intel Quote Provider Library (QPL), recupera il materiale collaterale per la generazione e la convalida delle Quote direttamente dal servizio THIM.
Il servizio THIM (Trusted Hardware Identity Management) si occupa della gestione della cache dei certificati per tutti gli ambienti di esecuzione attendibili (TEE) che risiedono in Azure e fornisce informazioni TCB (Trusted Computing Base) per applicare una baseline minima per le soluzioni di attestazione.
DCsv3 e DCdsv3 supportano solo l'attestazione basata su ECDSA e gli utenti devono installare il client di Azure DCAP per interagire con THIM e recuperare il materiale collaterale TEE per la generazione delle Quote durante il processo di attestazione. DCsv2 continua a supportare l'attestazione basata su EPID.
Pulire le risorse
Quando non servono più, è possibile eliminare il gruppo di risorse, la macchina virtuale e tutte le risorse correlate.
Selezionare il gruppo di risorse per la macchina virtuale, quindi fare clic su Elimina. Confermare il nome del gruppo di risorse da terminare eliminando le risorse.
Passaggi successivi
In questo avvio rapido è stata distribuita una macchina virtuale Intel SGX e poi è stata attivata una connessione a tale macchina virtuale. Per altre informazioni, vedere Soluzioni in macchine virtuali.
Per altre informazioni su come creare applicazioni di confidential computing, continuare con gli esempi di Open Enclave SDK in GitHub.
Attestazione di Microsoft Azure è un frame di attestazione basato su ECDSA gratuito che consente di verificare in remoto l'attendibilità di più ambienti TEE e l'integrità dei file binari in esecuzione all'interno. Altre informazioni