Informazioni sulle macchine virtuali riservate di Azure

Il confidential computing di Azure offre macchine virtuali riservate per i tenant con requisiti di sicurezza e riservatezza elevati. Queste macchine virtuali offrono un limite solido e basato su hardware per soddisfare le esigenze in tema di sicurezza. È possibile usare macchine virtuali riservate per le migrazioni senza apportare modifiche al codice, mentre la piattaforma protegge lo stato della macchina virtuale da eventuali letture o modifiche.

Importante

I livelli di protezione differiscono in base alla configurazione e alle preferenze. Ad esempio, Microsoft può possedere o gestire le chiavi di crittografia per maggiore praticità senza costi aggiuntivi.

Vantaggi

Alcuni dei vantaggi delle macchine virtuali riservate includono:

  • Isolamento affidabile basato su hardware tra macchine virtuali, hypervisor e codice di gestione host.
  • Criteri di attestazione personalizzabili per garantire la conformità dell'host prima della distribuzione.
  • Crittografia del disco del sistema operativo riservato basata sul cloud prima del primo avvio.
  • Chiavi di crittografia della macchina virtuale che la piattaforma o il cliente (facoltativamente) possiede e gestisce.
  • Proteggere la versione della chiave con l'associazione crittografica tra l'attestazione corretta della piattaforma e le chiavi di crittografia della macchina virtuale.
  • Istanza TPM (Virtual Trusted Platform Module) dedicata per l'attestazione e la protezione di chiavi e segreti nella macchina virtuale.
  • Funzionalità di avvio sicuro simili all'avvio attendibile per le macchine virtuali di Azure

Crittografia del disco del sistema operativo riservato

Le macchine virtuali riservate di Azure offrono uno schema di crittografia dei dischi nuovo e avanzato. Questo schema protegge tutte le partizioni critiche del disco. Associa anche le chiavi di crittografia del disco al TPM della macchina virtuale e rende il contenuto del disco protetto accessibile solo alla macchina virtuale. Queste chiavi di crittografia possono ignorare in modo sicuro i componenti di Azure, incluso l'hypervisor e il sistema operativo host. Per ridurre al minimo il potenziale di attacco, un servizio cloud dedicato e separato crittografa anche il disco durante la creazione iniziale della macchina virtuale.

Se la piattaforma di calcolo non contiene impostazioni critiche per l'isolamento della macchina virtuale, attestazione di Azure non attesta l'integrità della piattaforma durante l'avvio e impedirà invece l'avvio della macchina virtuale. Questo scenario si verifica se ad esempio non è stato abilitato edizione Standard V-SNP.

La crittografia del disco del sistema operativo riservato è facoltativa, poiché questo processo può aumentare il tempo di creazione iniziale della macchina virtuale. È possibile scegliere tra:

  • Una macchina virtuale riservata con crittografia del disco del sistema operativo riservato prima della distribuzione di macchine virtuali che usa chiavi gestite dalla piattaforma (PMK) o una chiave gestita dal cliente.
  • Una macchina virtuale riservata senza crittografia del disco del sistema operativo riservato prima della distribuzione della macchina virtuale.

Per un'ulteriore integrità e protezione, le macchine virtuali riservate offrono l'avvio protetto per impostazione predefinita quando è selezionata la crittografia del disco del sistema operativo riservato.

Con l'avvio protetto, gli editori attendibili devono firmare i componenti di avvio del sistema operativo (inclusi il caricatore di avvio, il kernel e i driver del kernel). Tutte le immagini di macchine virtuali riservate compatibili supportano l'avvio protetto.

Crittografia dischi temporanei riservati

È anche possibile estendere la protezione della crittografia del disco riservato al disco temporaneo. Questa funzionalità viene abilitata sfruttando una tecnologia di crittografia con chiave simmetrica in-VM, dopo che il disco è collegato al CVM.

Il disco temporaneo offre archiviazione rapida, locale e a breve termine per applicazioni e processi. È progettato solo per archiviare dati, ad esempio file di pagina, file di log, dati memorizzati nella cache e altri tipi di dati temporanei. I dischi temporanei nelle VM contengono il file di pagina, noto anche come file di scambio, che può contenere dati sensibili. Senza crittografia, i dati in questi dischi possono essere accessibili all'host. Dopo aver abilitato questa funzionalità, i dati nei dischi temporanei non vengono più esposti all'host.

Questa funzionalità può essere abilitata tramite un processo di consenso esplicito. Per scoprire di più, leggi la documentazione.

Differenze dei prezzi della crittografia

Le macchine virtuali riservate di Azure usano sia il disco del sistema operativo che un piccolo disco di stato guest della macchina virtuale crittografata (VMGS) di diversi megabyte. Il disco VMGS contiene lo stato di sicurezza dei componenti della macchina virtuale. Alcuni componenti includono vTPM e bootloader UEFI. Il piccolo disco VMGS potrebbe comportare un costo di archiviazione mensile.

A partire da luglio 2022, i dischi del sistema operativo crittografati comportano costi più elevati. Per altre informazioni, vedere la guida ai prezzi per i dischi gestiti.

Attestazione e TPM

Le macchine virtuali riservate di Azure vengono avviati solo dopo l'attestazione corretta dei componenti critici e delle impostazioni di sicurezza della piattaforma. Il report di attestazione include:

  • Report di attestazione firmato
  • Impostazioni di avvio della piattaforma
  • Misurazioni del firmware della piattaforma
  • Misurazioni del sistema operativo

È possibile inizializzare una richiesta di attestazione all'interno di una macchina virtuale riservata per verificare che le macchine virtuali riservate eseguano un'istanza hardware con processori ABILITATI per AMD edizione Standard V-SNP o Intel TDX. Per altre informazioni, vedere Attestazione guest di macchine virtuali riservate di Azure.

Le macchine virtuali riservate di Azure includono un TPM virtuale (vTPM) per le macchine virtuali di Azure. VTPM è una versione virtualizzata di un TPM hardware ed è conforme alla specifica TPM 2.0. È possibile usare vTPM come insieme di credenziali sicuro dedicato per chiavi e misurazioni. Le macchine virtuali riservate hanno una propria istanza vTPM dedicata, che viene eseguita in un ambiente sicuro al di fuori della portata di qualsiasi macchina virtuale.

Limiti

Esistono le limitazioni seguenti per le macchine virtuali riservate. Per domande frequenti, vedere Domande frequenti sulle macchine virtuali riservate.

Supporto delle dimensioni

Le macchine virtuali riservate supportano le dimensioni di vm seguenti:

  • Utilizzo generico senza disco locale: serie DCasv5, serie DCesv5
  • Utilizzo generico con disco locale: serie DCadsv5, serie DCedsv5
  • Ottimizzato per la memoria senza disco locale: serie ECasv5, serie ECesv5
  • Memoria ottimizzata con disco locale: serie ECadsv5, serie ECedsv5

Per altre informazioni, vedere le opzioni di distribuzione AMD.

Sistemi operativi supportati

Le macchine virtuali riservate supportano le opzioni del sistema operativo seguenti:

Linux Client Windows Server Windows
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (solo AMD edizione Standard V-SNP) 22H2 Pro Server Core 2019
22.04 LTS 22H2 Pro ZH-CN
22H2 Pro N Server Core 2022
RHEL 22H2 Enterprise Edizione di Azure 2022
9.3 (solo AMD edizione Standard V-SNP) 22H2 Enterprise N 2022 Azure Edition Core
9.3 Preview (solo Intel TDX) 22H2 Enterprise Multisessione
SUSE
15 SP5 Tech Preview (Intel TDX, AMD edizione Standard V-SNP)
15 SP5 per SAP Tech Preview (Intel TDX, AMD edizione Standard V-SNP)

Aree

Le macchine virtuali riservate vengono eseguite su hardware specializzato disponibile in aree di macchine virtuali specifiche.

Prezzi

I prezzi dipendono dalle dimensioni della macchina virtuale riservata. Per altre informazioni, vedere Calcolatore prezzi.

Supporto funzionalità

Le macchine virtuali riservate non supportano:

  • Azure Batch
  • Backup di Azure
  • Azure Site Recovery
  • Host dedicato di Azure
  • Microsoft Azure set di scalabilità di macchine virtuali con la crittografia del disco del sistema operativo riservato abilitata
  • Supporto limitato di Azure Compute Gallery
  • Dischi condivisi
  • Dischi Ultra
  • Rete accelerata
  • Live Migration
  • Screenshot nella diagnostica di avvio

Passaggi successivi

Per altre informazioni, vedere Le domande frequenti sulla macchina virtuale riservata.