DCasv5 と ECasv5 シリーズの機密 VM

Azure Confidential Computing では、SEV-SNP 技術を採用した AMD プロセッサ をベースにした機密性の高い VM を提供しています。 機密 VM は、セキュリティと機密性の要件が特に高いテナント向けです。 これらの VM は、セキュリティのニーズを満たすために、ハードウェアに適用される強力な境界を提供します。 コードを変更せずに、移行に機密 VM を使用することができます。プラットフォームでは、VM の状態を保護して、読み取りまたは変更を行うことができます。

重要

保護レベルは、構成と設定によって異なります。 たとえば、Microsoft は暗号化キーを所有または管理して、追加コストなしで利便性を高めることができます。

メリット

機密 VM の利点には、次のようなものがあります。

  • 仮想マシン、ハイパーバイザー、ホスト管理コードの間をハードウェアベースで強固に分離。
  • カスタマイズ可能な認証ポリシーにより、デプロイ前にホストのコンプライアンスを確認することができます。
  • 最初の起動前のクラウドベースの機密 OS ディスク暗号化。
  • プラットフォームまたは顧客 (必要に応じて) によって所有および管理される VM 暗号化キー。
  • プラットフォームの成功した構成証明と VM の暗号化キーの間の暗号化バインドを使用したセキュリティで保護されたキーのリリース。
  • 仮想マシンのキーとシークレットの構成証明と保護のための専用の仮想 トラステッドプラットフォームモジュール (TPM) インスタンス。
  • Azure VM のトラステッド起動 と同様のセキュアブート機能

機密 OS ディスク暗号化

Azure 機密 VM では、強化された新しいディスク暗号化スキームが提供されます。 このスキームにより、ディスクのすべての重要なパーティションが保護されます。 また、ディスク暗号化キーを仮想マシンの TPM にバインドし、保護されたディスクコンテンツを仮想マシンのみがアクセスできるようにします。 これらの暗号化キーは、ハイパーバイザーやホスト OS などの Azure コンポーネントを安全に迂回することができます。 攻撃の可能性を最小限に抑えるために、専用のクラウドサービスも VM の初期作成時にディスクを暗号化します。

コンピューティング プラットフォームに VM の分離に関する重要な設定がない場合、起動時に Azure Attestation はプラットフォームの正常性を証明しません。 これにより、VM が起動しなくなります。 たとえば、このシナリオは、SEV-SNP を有効にしていない場合に発生します。

機密 OS ディスクの暗号化はオプションです。このプロセスは VM の初期作成時間を長くする可能性があるからです。 次のいずれかを選択できます。

  • プラットフォーム マネージド キー (PMK) またはカスタマー マネージド キー (CMK) を使用する VM のデプロイ前に、機密 OS ディスク暗号化を使用した機密 VM。
  • VM のデプロイ前に機密 OS ディスク暗号化を使用しない機密 VM。

さらに整合性と保護を確保するために、機密 OS ディスク暗号化が選択されている場合、機密 VM では既定で セキュア ブート が提供されます。 セキュア ブートでは、信頼された発行元は OS ブート コンポーネント (ブートローダー、カーネル、およびカーネル ドライバーを含む) に署名する必要があります。 互換性のあるすべての機密 VM イメージは、セキュア ブートをサポートしています。

暗号化価格の違い

Azure 機密 VM では、OS ディスクと、数メガバイトの小さな暗号化された仮想マシン ゲスト状態 (VMGS) ディスクの両方が使用されます。 VMGS ディスクには、VM のコンポーネントのセキュリティの状態が含まれています。 一部のコンポーネントには、vTPM と UEFI ブートローダーが含まれます。 小規模 VMGS ディスクでは、毎月のストレージコストが発生する可能性があります。

2022 年 7 月以降、暗号化された OS ディスクのコストが高くなります。 この変更は、暗号化された OS ディスクはより多くの領域を使用し、圧縮することができないためです。 詳細は、マネージド ディスクの料金ガイドを参照してください。

構成証明と TPM

Azure 機密 VM は、プラットフォームの重要なコンポーネントとセキュリティ設定の構成証明が成功した後でのみ起動します。 構成証明レポートには次のものが含まれます。

  • AMD SEV-SNP によって発行された署名済みの構成証明書レポート
  • プラットフォームのブート設定
  • プラットフォームのファームウェアの測定
  • OS 測定:

機密 VM 内で構成証明要求を初期化して、機密 VM が AMD SEV-SNP 対応プロセッサを含むハードウェア インスタンスを実行していることを確認できます。 詳細については、Azure 機密 VM のゲスト構成証明に関するページを参照してください。

Azure 機密 VM は、Azure VM 用の仮想 TPM (vTPM) を特徴としています。 VTPM は、ハードウェア TPM の仮想化されたバージョンであり、TPM 2.0 仕様に準拠しています。VTPM は、キーと測定用の専用の安全なコンテナーとして使用できます。 機密性の高い VM には、専用の vTPM インスタンスが用意されており、どの VM にも属さない安全な環境で動作します。

制限事項

機密 VM には、次の制限があります。 よく寄せられる質問については、AMD プロセッサを使用した機密 VM に関するよくあるご質問 を参照してください。

サイズのサポート

機密 VM は、次の VM サイズをサポートしています。

  • DCasv5-series
  • DCadsv5-series
  • ECasv5-series
  • ECadsv5-series

詳しくは、「AMD デプロイ オプション」を参照してください。

OS のサポート

機密 VM は、次の OS オプションをサポートしています。

  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Windows Server 2019
  • Windows Server 2022

リージョン

機密 Vm は、特定の VM リージョンで利用可能な専用のハードウェア上で実行されます。

価格

価格は、お使いの機密 VM のサイズによって異なります。 詳しくは、料金計算ツールに関するページをご覧ください。

機能サポート

機密 VM では、 はサポートされていません。

  • Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Azure Dedicated Host
  • 機密 OS ディスク暗号化が有効になった Microsoft Azure Virtual Machine Scale Sets
  • Azure Compute Gallery は制限付きでサポート
  • 共有ディスク
  • Ultra ディスク
  • 高速ネットワーク
  • ライブ マイグレーション
  • ブート診断の下のスクリーンショット

次の手順