Over azure confidential VM's

  • Artikel

Azure Confidential Computing biedt vertrouwelijke VM's voor tenants met hoge vereisten voor beveiliging en vertrouwelijkheid. Deze VM's bieden een sterke, hardware-afgedwongen grens om te voldoen aan uw beveiligingsbehoeften. U kunt vertrouwelijke VM's gebruiken voor migraties zonder wijzigingen aan te brengen in uw code, waarbij het platform dat de status van uw VIRTUELE machine beveiligt, niet kan worden gelezen of gewijzigd.

Belangrijk

Beveiligingsniveaus verschillen op basis van uw configuratie en voorkeuren. Microsoft kan bijvoorbeeld versleutelingssleutels bezitten of beheren, zonder extra kosten.

Vergoedingen

Enkele voordelen van vertrouwelijke VM's zijn:

  • Robuuste hardware-gebaseerde isolatie tussen virtuele machines, hypervisor en hostbeheercode.
  • Aanpasbare attestation-beleidsregels om ervoor te zorgen dat de host voldoet vóór de implementatie.
  • Versleuteling van vertrouwelijke besturingssysteemschijven in de cloud vóór het eerste opstarten.
  • VM-versleutelingssleutels die het platform of de klant (optioneel) bezit en beheert.
  • Beveilig sleutelrelease met cryptografische binding tussen de geslaagde attestation van het platform en de versleutelingssleutels van de VM.
  • Toegewezen TPM-exemplaar (Virtual Trusted Platform Module) voor attestation en beveiliging van sleutels en geheimen op de virtuele machine.
  • Beveiligde opstartmogelijkheid die vergelijkbaar is met vertrouwde lancering voor Azure-VM's

Vertrouwelijke besturingssysteemschijfversleuteling

Azure Confidential VM's bieden een nieuw en uitgebreid schema voor schijfversleuteling. Dit schema beveiligt alle kritieke partities van de schijf. Het verbindt ook schijfversleutelingssleutels met de TPM van de virtuele machine en maakt de beveiligde schijfinhoud alleen toegankelijk voor de virtuele machine. Deze versleutelingssleutels kunnen Azure-onderdelen veilig omzeilen, waaronder de hypervisor en het hostbesturingssysteem. Om het aanvalspotentieel te minimaliseren, versleutelt een toegewezen en afzonderlijke cloudservice ook de schijf tijdens het maken van de virtuele machine.

Als er kritieke instellingen voor de isolatie van uw VM ontbreken op het rekenplatform, wordt Azure Attestation niet tijdens het opstarten bevestigd aan de status van het platform en wordt in plaats daarvan voorkomen dat de VIRTUELE machine wordt gestart. Dit scenario gebeurt bijvoorbeeld als u SEV-SNP niet hebt ingeschakeld.

Vertrouwelijke besturingssysteemschijfversleuteling is optioneel, omdat dit proces de eerste aanmaaktijd van de VIRTUELE machine kan verkorten. U kunt kiezen uit:

  • Een vertrouwelijke VM met vertrouwelijke besturingssysteemschijfversleuteling voordat vm-implementatie die gebruikmaakt van door het platform beheerde sleutels (PMK) of een door de klant beheerde sleutel (CMK).
  • Een vertrouwelijke VM zonder vertrouwelijke besturingssysteemschijfversleuteling voordat de VM wordt geïmplementeerd.

Voor verdere integriteit en beveiliging bieden vertrouwelijke VM's standaard Beveiligd opstarten wanneer vertrouwelijke besturingssysteemschijfversleuteling is geselecteerd.

Met Beveiligd opstarten moeten vertrouwde uitgevers opstartonderdelen van het besturingssysteem ondertekenen (inclusief het opstartlaadprogramma, de kernel en kernelstuurprogramma's). Alle compatibele vertrouwelijke VM-installatiekopieën ondersteunen Beveiligd opstarten.

Vertrouwelijke tijdelijke schijfversleuteling

U kunt ook de beveiliging van vertrouwelijke schijfversleuteling uitbreiden naar de tijdelijke schijf. We maken dit mogelijk door gebruik te maken van een symmetrische sleutelversleutelingstechnologie in de VM, nadat de schijf is gekoppeld aan de CVM.

De tijdelijke schijf biedt snelle, lokale en kortetermijnopslag voor toepassingen en processen. Het is bedoeld om alleen gegevens op te slaan, zoals paginabestanden, logboekbestanden, gegevens in de cache en andere typen tijdelijke gegevens. Tijdelijke schijven op CVM's bevatten het paginabestand, ook wel wisselbestand genoemd, dat gevoelige gegevens kan bevatten. Zonder versleuteling zijn gegevens op deze schijven mogelijk toegankelijk voor de host. Na het inschakelen van deze functie worden gegevens op de tijdelijke schijven niet meer blootgesteld aan de host.

Deze functie kan worden ingeschakeld via een opt-in-proces. Lees de documentatie voor meer informatie.

Verschillen in versleutelingsprijzen

Azure Confidential-VM's gebruiken zowel de besturingssysteemschijf als een kleine, versleutelde VMGS-schijf (Virtual Machine Guest State) van meerdere megabytes. De VMGS-schijf bevat de beveiligingsstatus van de onderdelen van de VIRTUELE machine. Sommige onderdelen zijn onder andere de vTPM- en UEFI-opstartlaadprogramma. Voor de kleine VMGS-schijf worden mogelijk maandelijkse opslagkosten in rekening gebracht.

Vanaf juli 2022 worden voor versleutelde besturingssysteemschijven hogere kosten in rekening gebracht. Zie de prijshandleiding voor beheerde schijven voor meer informatie.

Attestation en TPM

Azure Confidential VM's worden pas opgestart na een geslaagde attestation van de essentiële onderdelen en beveiligingsinstellingen van het platform. Het attestation-rapport bevat:

  • Een ondertekend attestation-rapport
  • Opstartinstellingen voor platform
  • Metingen van platformfirmware
  • Metingen van het besturingssysteem

U kunt een attestation-aanvraag initialiseren binnen een vertrouwelijke VM om te controleren of op uw vertrouwelijke VM's een hardware-exemplaar wordt uitgevoerd met AMD SEV-SNP- of Intel TDX-processors. Zie Azure Confidential VM Guest Attestation voor meer informatie.

Azure Confidential VM's bevatten een virtuele TPM (vTPM) voor Azure-VM's. De vTPM is een gevirtualiseerde versie van een hardware-TPM en voldoet aan de TPM 2.0-specificatie. U kunt een vTPM gebruiken als een toegewezen, beveiligde kluis voor sleutels en metingen. Vertrouwelijke VM's hebben hun eigen toegewezen vTPM-exemplaar, dat wordt uitgevoerd in een beveiligde omgeving buiten het bereik van een virtuele machine.

Beperkingen

De volgende beperkingen gelden voor vertrouwelijke VM's. Zie veelgestelde vragen over vertrouwelijke VM's voor veelgestelde vragen.

Ondersteuning voor grootte

Vertrouwelijke VM's ondersteunen de volgende VM-grootten:

  • Algemeen gebruik zonder lokale schijf: DCasv5-serie, DCesv5-serie
  • Algemeen gebruik met lokale schijf: DCadsv5-serie, DCedsv5-serie
  • Geoptimaliseerd voor geheugen zonder lokale schijf: ECasv5-serie, ECesv5-serie
  • Geoptimaliseerd voor geheugen met lokale schijf: ECadsv5-serie, ECedsv5-serie

Besturingssysteemondersteuning

Vertrouwelijke VM's ondersteunen de volgende besturingssysteemopties:

Linux Windows Client Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (alleen AMD SEV-SNP) 22H2 Pro Server Core 2019
22.04 LTS 22H2 Pro ZH-CN
22H2 Pro N Server Core 2022
RHEL 22H2 Enterprise Azure Edition 2022
9.3 (alleen AMD SEV-SNP) 22H2 Enterprise N Azure Edition Core 2022
9.3 Preview (alleen Intel TDX) 22H2 Enterprise Multi-session
SUSE (Tech Preview)
15 SP5 (Intel TDX, AMD SEV-SNP)
15 SP5 voor SAP (Intel TDX, AMD SEV-SNP)

Regio's

Vertrouwelijke VM's worden uitgevoerd op gespecialiseerde hardware die beschikbaar is in specifieke VM-regio's.

Prijzen

De prijzen zijn afhankelijk van de grootte van uw vertrouwelijke VM. Zie de prijscalculator voor meer informatie.

Functieondersteuning

Vertrouwelijke VM's bieden geen ondersteuning voor:

  • Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Azure Dedicated Host
  • Microsoft Azure Virtual Machine Scale Sets met Vertrouwelijke besturingssysteemschijfversleuteling ingeschakeld
  • Beperkte ondersteuning voor Azure Compute Gallery
  • Gedeelde schijven
  • Ultraschijven
  • Versneld netwerken
  • Livemigratie
  • Schermopnamen onder Diagnostische gegevens over opstarten

Volgende stappen

Een vertrouwelijke VM implementeren vanuit Azure Portal

Zie onze veelgestelde vragen over vertrouwelijke VM's voor meer informatie.