Veelgestelde vragen over virtuele Azure-machines

Vertrouwelijke VM's zijn IaaS-VM's voor tenants met met name hoge vereisten voor beveiliging en vertrouwelijkheid. Vertrouwelijke VM's bieden toegang tot de volgende technologieën en voordelen:

• Versleuteling voor 'gegevens in gebruik', inclusief de processorstatus en het geheugen van de virtuele machine. Sleutels worden gegenereerd door de processor en laten deze nooit staan.
• Host attestation om de volledige status en naleving van de server te controleren voordat een vertrouwelijke VM wordt geïnitialiseerd.
• Versleuteling van 'data-at-rest'. Een HSM (Hardware Security Module) kan worden gebruikt om de sleutels te beveiligen, waarvan de tenant exclusief eigenaar is.
• Nieuwe UEFI-opstartarchitectuur die het gastbesturingssysteem ondersteunt voor verbeterde beveiligingsinstellingen en -mogelijkheden.
• Een toegewezen virtueel exemplaar van een Trusted Platform Module (TPM). Certificeert de status van de VIRTUELE machine en biedt beperkte sleutelbeheerfuncties. Ondersteunt gebruiksvoorbeelden zoals BitLocker.

Vertrouwelijke VM's hebben betrekking op klantproblemen over het off-premises verplaatsen van gevoelige workloads naar de cloud. Vertrouwelijke VM's bieden aanzienlijk verhoogde beveiligingen voor klantgegevens van de onderliggende infrastructuur en cloudoperators. In tegenstelling tot andere benaderingen en oplossingen hoeft u uw bestaande workloads niet aan te passen aan de technische behoeften van het platform.

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)-technologie biedt meerdere beveiligingen. Geheugenversleuteling, unieke CPU-sleutels, versleuteling voor de status van de processorregister, sterke integriteitsbeveiliging, preventie van terugdraaien van firmware, beveiliging van side-kanalen en beperkingen voor interrupt- en uitzonderingengedrag. Gezamenlijk worden met AMD SEV-technologieën gastbeveiligingen beveiligd om hypervisor en andere hostbeheercodetoegang tot VM-geheugen en -status te weigeren. Vertrouwelijke VM's combineren AMD SEV-SNP met Azure-technologieën zoals full-disk encryption en Azure Key Vault Managed HSM. U kunt gegevens die in gebruik zijn, in transit en at-rest versleutelen met sleutels die u bepaalt. Met ingebouwde Azure Attestation-mogelijkheden kunt u onafhankelijk vertrouwen in de beveiliging, status en onderliggende infrastructuur van uw vertrouwelijke VM's.

Intel Trust Domain Extensions (Intel TDX) biedt meerdere beveiligingen. Intel TDX maakt gebruik van hardware-extensies voor het beheren en versleutelen van geheugen en beschermt zowel de vertrouwelijkheid als integriteit van de TD CPU-status. Daarnaast helpt Intel TDX om de gevirtualiseerde omgeving te beveiligen door de hypervisor, andere hostbeheercode en beheerders toegang tot het GEHEUGEN en de status van de VIRTUELE machine te weigeren. Vertrouwelijke VM's combineren Intel TDX met Azure-technologieën zoals volledige schijfversleuteling en beheerde HSM van Azure Key Vault. U kunt gegevens die in gebruik zijn, in transit en at-rest versleutelen met sleutels die u bepaalt.

Azure-VM's bieden al toonaangevende beveiliging en bescherming tegen andere tenants en kwaadwillende indringers. Azure Confidential VM's verbeteren deze beveiligingen met behulp van hardwaregebaseerde TEEs (Trusted Execution Environment) die gebruikmaken van SEV-SNP en Intel TDX om uw gegevensgeheim en integriteit cryptografisch te isoleren en te beschermen, zelfs wanneer ze in gebruik zijn. Dit betekent dat hostbeheerders en services (inclusief de Azure-hypervisor) het geheugen of de CPU-status van uw VIRTUELE machine rechtstreeks kunnen bekijken of wijzigen. Bovendien is met volledige attestation-mogelijkheid volledige besturingssysteemschijfversleuteling en met hardware beveiligde virtuele Trusted Platform Modules de permanente status van de vertrouwelijke VM beveiligd, zodat uw persoonlijke sleutels en de inhoud van uw geheugen nooit worden blootgesteld aan de hostingomgeving.

Momenteel kunnen besturingssysteemschijven voor vertrouwelijke VM's worden versleuteld en beveiligd. Voor extra beveiliging kunt u versleuteling op gastniveau (zoals BitLocker of dm-crypt) inschakelen voor alle gegevensstations.

Ja, maar alleen als de pagefile.sys zich op de versleutelde besturingssysteemschijf bevindt. Op vertrouwelijke VM's met een tijdelijke schijf kan het pagefile.sys-bestand worden verplaatst naar de versleutelde tips voor het besturingssysteem voor het verplaatsen van pagefile.sys naar het c:\-station.

Hier volgen enkele manieren waarop u een vertrouwelijke VM kunt implementeren:

• Implementeren vanuit Azure Portal
• Implementeren vanuit de Azure-opdrachtregelinterface (Azure CLI)
• Implementeren met behulp van een ARM-sjabloon

Azure Confidential VM's op AMD SEV-SNP ondergaan attestation als onderdeel van hun opstartfase. Dit proces is ondoorzichtig voor de gebruiker en vindt plaats in het cloudbesturingssysteem in combinatie met de Microsoft Azure Attestation- en Azure Key Vault-services. Met vertrouwelijke VM's kunnen gebruikers ook onafhankelijke attestation uitvoeren voor hun vertrouwelijke VM's. Deze attestation vindt plaats met behulp van nieuwe hulpprogramma's met de naam Azure Confidential VM Guest Attestation. Met gastverklaring kunnen klanten bevestigen dat hun vertrouwelijke VM's worden uitgevoerd op AMD-processors waarvoor SEV-SNP is ingeschakeld.

Azure Confidential VM's op Intel TDX hebben de mogelijkheid om attestation op te geven als onderdeel van hun opstartfase. Dit proces is ondoorzichtig voor de gebruiker en vindt plaats in het cloudbesturingssysteem in combinatie met de Microsoft Azure Attestation- en Azure Key Vault-services. Ondersteuning voor attestation in de gast is beschikbaar via vTPM. U kunt dit gebruiken om de hele stack van het hardwareplatform naar de laag van de gasttoepassing te valideren. De functionaliteit bestaat momenteel op AMD SEV-SNP en wordt binnenkort uitgebracht voor Intel TDX. Tegenwoordig is alleen attestation voor in-guest platform beschikbaar voor Intel TDX. Hiermee kunt u controleren of uw VIRTUELE machine wordt uitgevoerd op Intel TDX-hardware. Ga naar onze preview-vertakking voor toegang tot deze preview-functie. Daarnaast ondersteunen we Intel® Trust Authority voor ondernemingen die onafhankelijke attestation van operatoren zoeken.

Voor uitvoering op een vertrouwelijke VM moeten besturingssysteeminstallatiekopieën voldoen aan bepaalde beveiligings- en compatibiliteitsvereisten. Hierdoor kunnen vertrouwelijke VM's veilig worden gekoppeld, getest en geïsoleerd van de onderliggende cloudinfrastructuur. In de toekomst plannen we richtlijnen voor het maken van een aangepaste Linux-build en het toepassen van een set opensource-patches om deze als een vertrouwelijke VM-installatiekopieën te kwalificeren.

Ja. U kunt Azure Compute Gallery gebruiken om een vertrouwelijke VM-installatiekopieën te wijzigen, bijvoorbeeld door toepassingen te installeren. Vervolgens kunt u vertrouwelijke VM's implementeren op basis van uw gewijzigde installatiekopieën.

Het optionele schema voor volledige schijfversleuteling is het veiligst van Azure en voldoet aan de principes van Confidential Computing. U kunt echter ook andere schijfversleutelingsschema's gebruiken, samen met of in plaats van volledige schijfversleuteling. Als u meerdere schijfversleutelingsschema's gebruikt, kan dubbele versleuteling de prestaties negatief beïnvloeden.

Elke vertrouwelijke Azure-VM heeft een eigen virtuele TPM, waar klanten hun geheimen/sleutels kunnen verzegelen. Het wordt aanbevolen voor klanten om de vTPM-status (via TPM.msc voor Windows-VM's) te controleren. Als de status niet gereed is voor gebruik, raden we u aan uw VM's opnieuw op te starten voordat u geheimen/sleutels verzegelt naar vTPM.

Nee Nadat u een vertrouwelijke VIRTUELE machine hebt gemaakt, kunt u volledige schijfversleuteling niet deactiveren of opnieuw activeren. Maak in plaats daarvan een nieuwe vertrouwelijke VM.

Ontwikkelaars die op zoek zijn naar verdere scheiding van taken voor TCB-services van de cloudserviceprovider, moeten het beveiligingstype NonPersistedTPM gebruiken.

• Deze ervaring is alleen beschikbaar als onderdeel van de openbare preview van Intel TDX. Het bevat vrijwaringen in die zin, organisaties die het gebruiken of services verlenen die ermee worden geleverd, hebben de controle over de TCB en de verantwoordelijkheden die ermee gepaard gaan.
• Met deze ervaring worden de systeemeigen Azure-services overgeslagen, zodat u uw eigen schijfversleuteling, sleutelbeheer en attestation-oplossing kunt gebruiken.
• Elke VIRTUELE machine heeft nog steeds een vTPM, die moet worden gebruikt om hardware-bewijs op te halen, maar de vTPM-status wordt niet behouden door opnieuw opstarten, wat betekent dat deze oplossing uitstekend is voor tijdelijke workloads en organisaties die op zoek zijn naar verdere ontkoppeling van de cloudserviceprovider.

Nee Om veiligheidsredenen moet u vanaf het begin een vertrouwelijke VM maken.

Ja, het converteren van een vertrouwelijke VM naar een andere vertrouwelijke VM is toegestaan op zowel DCasv5/ECasv5 als DCesv5/ECesv5 in de regio's die ze delen. Als u een Windows-installatiekopieën gebruikt, controleert u of u alle meest recente updates hebt. Als u een Ubuntu Linux-installatiekopie gebruikt, moet u ervoor zorgen dat u de vertrouwelijke Ubuntu 22.04 LTS-installatiekopie gebruikt met de minimale kernelversie 6.2.0-1011-azure.

Zorg ervoor dat u een beschikbare regio hebt geselecteerd voor vertrouwelijke VM's. Zorg er ook voor dat u alle filters in de groottekiezer wist.

Nee Vertrouwelijke VM's bieden geen ondersteuning voor versneld netwerken. U kunt versneld netwerken niet inschakelen voor een vertrouwelijke VM-implementatie of een Azure Kubernetes Service-clusterimplementatie die wordt uitgevoerd op Confidential Computing.

Mogelijk wordt de foutbewerking niet voltooid omdat dit resulteert in het overschrijden van het goedgekeurde standaard-DCasv5/ECasv5 Family Cores-quotum. Deze ARM-sjabloonfout (Azure Resource Manager-sjabloon) betekent dat de implementatie is mislukt vanwege een gebrek aan Azure-rekenkernen. Abonnementen voor gratis proefversie van Azure hebben geen groot genoeg kernquotum voor vertrouwelijke VM's. Maak een ondersteuningsaanvraag om uw quotum te verhogen.

ECasv5-serie en ECesv5-serie zijn voor geheugen geoptimaliseerde VM-grootten, die een hogere verhouding tussen geheugen en CPU bieden. Deze grootten zijn met name geschikt voor relationele databaseservers, middelgrote tot grote caches en analyse in het geheugen.

Nee Op dit moment zijn deze VM's alleen beschikbaar in bepaalde regio's. Zie VM-producten per regio voor een huidige lijst met beschikbare regio's.

Azure heeft geen operationele procedures voor het verlenen van vertrouwelijke VM-toegang tot de werknemers, zelfs niet als een klant de toegang toekent. Als gevolg hiervan zijn verschillende herstel- en ondersteuningsscenario's niet beschikbaar voor vertrouwelijke VM's.

Nee, vertrouwelijke VM's ondersteunen momenteel geen geneste virtualisatie, zoals de mogelijkheid om een hypervisor in een VIRTUELE machine uit te voeren.

Facturering voor vertrouwelijke VM's is afhankelijk van uw gebruik en opslag en de grootte en regio van de VIRTUELE machine. Vertrouwelijke VM's maken gebruik van een kleine, versleutelde VMGS-schijf (Virtual Machine Guest State) van meerdere megabytes. VMGS bevat de beveiligingsstatus van de VM van onderdelen, zoals de vTPM- en UEFI-opstartlaadprogramma. Deze schijf kan leiden tot een maandelijkse opslagkosten. Als u ervoor kiest om de optionele volledige schijfversleuteling in te schakelen, worden er hogere kosten in rekening gebracht voor versleutelde besturingssysteemschijven. Zie de prijshandleiding voor beheerde schijven voor meer informatie over opslagkosten. Ten slotte kunt u voor sommige instellingen voor beveiliging en privacy ervoor kiezen om gekoppelde resources te maken, zoals een beheerde HSM-pool. Azure factureert dergelijke resources afzonderlijk van de kosten voor vertrouwelijke VM's.

Zelden kunnen sommige VM's uit de DCesv5/ECesv5-serie een klein tijdsverschil met UTC ervaren. Er is binnenkort een oplossing voor de lange termijn beschikbaar. Ondertussen zijn dit de tijdelijke oplossingen voor virtuele Windows- en Ubuntu Linux-machines:

sc config vmictimesync start=disabled
sc stop vmictimesync

Voer voor Ubuntu Linux-installatiekopieën het volgende script uit:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service