Azure の機密 VMについて
Azure Confidential Computing は、高度なセキュリティと機密性の要件を持つテナント向けに機密 VM を提供します。 これらの VM は、セキュリティのニーズを満たすために、ハードウェアに適用される強力な境界を提供します。 コードを変更せずに、移行に機密 VM を使用することができます。プラットフォームでは、VM の状態を保護して、読み取りまたは変更を行うことができます。
重要
保護レベルは、構成と設定によって異なります。 たとえば、Microsoft は暗号化キーを所有または管理して、追加コストなしで利便性を高めることができます。
メリット
機密 VM の利点には、次のようなものがあります。
- 仮想マシン、ハイパーバイザー、ホスト管理コードの間をハードウェアベースで強固に分離。
- カスタマイズ可能な認証ポリシーにより、デプロイ前にホストのコンプライアンスを確認することができます。
- 最初の起動前のクラウドベースの機密 OS ディスク暗号化。
- プラットフォームまたは顧客 (必要に応じて) によって所有および管理される VM 暗号化キー。
- プラットフォームの成功した構成証明と VM の暗号化キーの間の暗号化バインドを使用したセキュリティで保護されたキーのリリース。
- 仮想マシンのキーとシークレットの構成証明と保護のための専用の仮想 トラステッドプラットフォームモジュール (TPM) インスタンス。
- Azure VM のトラステッド起動 と同様のセキュアブート機能
機密 OS ディスク暗号化
Azure 機密 VM では、強化された新しいディスク暗号化スキームが提供されます。 このスキームにより、ディスクのすべての重要なパーティションが保護されます。 また、ディスク暗号化キーを仮想マシンの TPM にバインドし、保護されたディスクコンテンツを仮想マシンのみがアクセスできるようにします。 これらの暗号化キーは、ハイパーバイザーやホスト OS などの Azure コンポーネントを安全に迂回することができます。 攻撃の可能性を最小限に抑えるために、専用のクラウドサービスも VM の初期作成時にディスクを暗号化します。
コンピューティング プラットフォームに VM の分離に関する重要な設定がない場合、Azure Attestation はブート時にプラットフォームの正常性を証明せず、VM の起動を阻止します。 このシナリオは、たとえば、SEV-SNP を有効にしていない場合に発生します。
機密 OS ディスクの暗号化はオプションです。このプロセスによって VM の初期作成時間が長引く可能性があるからです。 次のいずれかを選択できます。
- プラットフォーム マネージド キー (PMK) またはカスタマー マネージド キー (CMK) を使用する VM のデプロイ前に、機密 OS ディスク暗号化を使用した機密 VM。
- VM のデプロイ前に機密 OS ディスク暗号化を使用しない機密 VM。
さらに整合性と保護を確保するために、機密 OS ディスク暗号化が選択されている場合、機密 VM では既定で セキュア ブート が提供されます。
セキュア ブートでは、信頼された発行元は OS ブート コンポーネント (ブートローダー、カーネル、およびカーネル ドライバーを含む) に署名する必要があります。 互換性のあるすべての機密 VM イメージは、セキュア ブートをサポートしています。
機密一時ディスクの暗号化
機密ディスク暗号化の保護を一時ディスクに拡張することもできます。 これを有効にするには、ディスクが CVM に接続された後に、VM 内対称キー暗号化テクノロジを利用します。
一時ディスクは、アプリケーションとプロセスに、ローカルでの高速かつ短期的なストレージを提供します。 一時ディスクは、ページ ファイル、ログ ファイル、キャッシュ データ、およびその他の種類の一時データなどのデータのみを格納することを目的としています。 CVM 上の一時ディスクには、機密データを含むことができるページ ファイル (スワップ ファイル) が含まれています。 暗号化しないと、これらのディスク上のデータにホストからアクセスできる場合があります。 この機能を有効にすると、一時ディスク上のデータはホストに公開されなくなります。
この機能は、オプトイン プロセスを通じて有効にできます。 詳細については、ドキュメントをご覧ください。
暗号化価格の違い
Azure 機密 VM では、OS ディスクと、数メガバイトの小さな暗号化された仮想マシン ゲスト状態 (VMGS) ディスクの両方が使用されます。 VMGS ディスクには、VM のコンポーネントのセキュリティの状態が含まれています。 一部のコンポーネントには、vTPM と UEFI ブートローダーが含まれます。 小規模 VMGS ディスクでは、毎月のストレージコストが発生する可能性があります。
2022 年 7 月以降、暗号化された OS ディスクのコストが高くなります。 詳細は、マネージド ディスクの料金ガイドを参照してください。
構成証明と TPM
Azure 機密 VM は、プラットフォームの重要なコンポーネントとセキュリティ設定の構成証明が成功した後でのみ起動します。 構成証明レポートには次のものが含まれます。
- 署名済み構成証明レポート
- プラットフォームのブート設定
- プラットフォームのファームウェアの測定
- OS 測定:
機密 VM 内で構成証明要求を初期化して、機密 VM が AMD SEV-SNP 対応プロセッサまたは Intel TDX 対応プロセッサを含むハードウェア インスタンスを実行していることを確認できます。 詳細については、Azure 機密 VM のゲスト構成証明に関するページを参照してください。
Azure 機密 VM は、Azure VM 用の仮想 TPM (vTPM) を特徴としています。 vTPM はハードウェア TPM の仮想化バージョンであり、TPM2.0 仕様に準拠しています。vTPM を、キーと測定のためのセキュリティで保護された専用のコンテナーとして使用できます。 機密性の高い VM には、専用の vTPM インスタンスが用意されており、どの VM にも属さない安全な環境で動作します。
制限事項
機密 VM には、次の制限があります。 よく寄せられる質問については、「機密 VM に関するよくあるご質問」を参照してください。
サイズのサポート
機密 VM は、次の VM サイズをサポートしています。
- ローカル ディスクなしの汎用機密 VM: DCasv5 シリーズ、DCesv5 シリーズ
- ローカル ディスクありの汎用機密 VM: DCadsv5 シリーズ、DCedsv5 シリーズ
- ローカル ディスクなしのメモリ最適化機密 VM: ECasv5 シリーズ、ECesv5 シリーズ
- ローカル ディスクありのメモリ最適化機密 VM: ECadsv5 シリーズ、ECedsv5 シリーズ
OS のサポート
機密 VM は、次の OS オプションをサポートしています。
| Linux | Windows クライアント | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (AMD SEV-SNP のみ) | 22H2 Pro | 2019 Server Core |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | 2022 Server Core | |
| RHEL | 22H2 Enterprise | 2022 Azure Edition |
| 9.3 (AMD SEV-SNP のみ) | 22H2 Enterprise N | 2022 Azure Edition Core |
| 9.3 プレビュー (Intel TDX のみ) | 22H2 Enterprise マルチセッション | |
| SUSE (テクニカル プレビュー) | ||
| 15 SP5 (Intel TDX、AMD SEV-SNP) | ||
| 15 SP5 for SAP (Intel TDX、AMD SEV-SNP) |
リージョン
機密 Vm は、特定の VM リージョンで利用可能な専用のハードウェア上で実行されます。
価格
価格は、お使いの機密 VM のサイズによって異なります。 詳しくは、料金計算ツールに関するページをご覧ください。
機能サポート
機密 VM では、 はサポートされていません。
- Azure Batch
- Azure Backup
- Azure Site Recovery
- Azure Dedicated Host
- 機密 OS ディスク暗号化が有効になった Microsoft Azure Virtual Machine Scale Sets
- Azure Compute Gallery は制限付きでサポート
- 共有ディスク
- Ultra ディスク
- 高速ネットワーク
- ライブ マイグレーション
- ブート診断の下のスクリーンショット
次のステップ
詳細については、Confidential VM のよくあるご質問を参照してください。