Bewerken

Share via


Veelgestelde vragen over virtuele Azure-machines

In dit artikel vindt u antwoorden op enkele van de meest voorkomende vragen over vertrouwelijke virtuele machines (VM's).

Wat zijn vertrouwelijke VM's?

Vertrouwelijke VM's zijn een IaaS-oplossing voor tenants met hoge beveiligings- en vertrouwelijkheidsvereisten. Aanbieding voor vertrouwelijke VM's:

  • Versleuteling voor 'gegevens in gebruik', inclusief de processorstatus en het geheugen van de virtuele machine. De sleutels worden gegenereerd door de processor en laten deze nooit achter.
  • Met Host Attestation kunt u de volledige status en naleving van de server controleren voordat de gegevensverwerking begint.
  • Hardware Security Module (HSM) kan worden gekoppeld om de sleutels van vertrouwelijke VM-schijven te beveiligen, waarvan de tenant exclusief eigenaar is.
  • Nieuwe UEFI-opstartarchitectuur die het gastbesturingssysteem ondersteunt voor verbeterde beveiligingsinstellingen en -mogelijkheden.
  • Een toegewezen TPM (Virtual Trusted Platform Module) certificeert de status van de VIRTUELE machine, biedt een beperkt sleutelbeheer en ondersteunt gebruiksvoorbeelden zoals BitLocker.

Waarom moet ik vertrouwelijke VM's gebruiken?

Vertrouwelijke VM's hebben betrekking op klantproblemen over het off-premises verplaatsen van gevoelige workloads naar de cloud. Vertrouwelijke VM's bieden verhoogde beveiliging voor klantgegevens van de onderliggende infrastructuur en cloudoperators. In tegenstelling tot andere benaderingen en oplossingen hoeft u uw bestaande workloads niet aan te passen aan de technische behoeften van het platform.

Wat is AMD SEV-SNP en hoe verhoudt het zich tot azure confidential VM's?

SEV-SNP staat voor Secure Encrypted Virtualization-Secure Geneste paging. Het is een TEE-technologie (Trusted Execution Environment) die wordt geleverd door AMD en biedt meerdere beveiligingen: bijvoorbeeld geheugenversleuteling, unieke CPU-sleutels, versleuteling voor de status van de processorregister, integriteitsbeveiliging, preventie van het terugdraaien van firmware, beveiliging van side-kanaal en beperkingen voor interrupt- en uitzonderingengedrag. Gezamenlijk worden met AMD SEV-technologieën gastbeveiligingen beveiligd om hypervisor en andere hostbeheercodetoegang tot VM-geheugen en -status te weigeren. Vertrouwelijke VM's maken gebruik van AMD SEV-SNP met Azure-technologieën zoals volledige schijfversleuteling en beheerde HSM van Azure Key Vault. U kunt gegevens die in gebruik zijn, in transit en at-rest versleutelen met sleutels die u bepaalt. Met ingebouwde Azure Attestation-mogelijkheden kunt u onafhankelijk vertrouwen in de beveiliging, status en onderliggende infrastructuur van uw vertrouwelijke VM's.

Wat zijn Intel TDX-technologieën en hoe hebben ze betrekking op Azure Confidential VM's?

Intel TDX staat voor Intel Trust Domain Extensions (Intel TDX) It a Trusted Execution Environment (TEE) technologie geleverd door Intel en biedt meerdere beveiligingen: Intel TDX maakt gebruik van hardware-extensies voor het beheren en versleutelen van geheugen en beschermt zowel de vertrouwelijkheid als integriteit van de CPU-status. Bovendien helpt Intel TDX om de gevirtualiseerde omgeving te beveiligen door de hypervisor, andere hostbeheercode en beheerders toegang tot het GEHEUGEN en de status van de VIRTUELE machine te weigeren. Vertrouwelijke VM's combineren Intel TDX met Azure-technologieën zoals volledige schijfversleuteling en beheerde HSM van Azure Key Vault. U kunt gegevens die in gebruik zijn, in transit en at-rest versleutelen met sleutels die u bepaalt.

Hoe bieden Azure Confidential VM's betere bescherming tegen bedreigingen die afkomstig zijn van zowel binnen als buiten de Azure-cloudinfrastructuur?

Azure-VM's bieden al toonaangevende beveiliging en bescherming tegen andere tenants en kwaadwillende indringers. Azure Confidential VM's verbeteren deze beveiligingen met behulp van hardwaregebaseerde TEEs, zoals AMD SEV-SNP en Intel TDX, om uw gegevens vertrouwelijkheid en integriteit cryptografisch te isoleren en te beschermen. Er kunnen geen hostbeheerders of hostservices (inclusief de Azure-hypervisor) het geheugen of de CPU-status van uw vertrouwelijke VM rechtstreeks bekijken of wijzigen. Bovendien is de permanente status met volledige attestation-mogelijkheid, volledige besturingssysteemschijfversleuteling en met hardware beveiligde virtuele Trusted Platform-modules beveiligd, zodat uw persoonlijke sleutels en de inhoud van uw geheugen niet worden blootgesteld aan de hostingomgeving die niet is versleuteld.

Zijn de virtuele schijven die zijn gekoppeld aan vertrouwelijke VM's automatisch beveiligd?

Momenteel kunnen besturingssysteemschijven voor vertrouwelijke VM's worden versleuteld en beveiligd. Voor extra beveiliging kunt u versleuteling op gastniveau (zoals BitLocker of dm-crypt) inschakelen voor alle gegevensstations.

Wordt geheugen dat naar het Windows-wisselbestand (pagefile.sys) wordt geschreven, beveiligd door de TEE?

Ja, maar alleen als de pagefile.sys zich op de versleutelde besturingssysteemschijf bevindt. Op vertrouwelijke VM's met een tijdelijke schijf kan het pagefile.sys-bestand worden verplaatst naar de versleutelde tips voor het besturingssysteem voor het verplaatsen van pagefile.sys naar het c:\-station.

Kan ik een hostgeheugendump genereren vanuit mijn vertrouwelijke VM?

Nee, deze mogelijkheid bestaat niet voor vertrouwelijke VM's.

Hoe kan ik Azure Confidential VM's implementeren?

Kan ik attestation uitvoeren voor mijn vertrouwelijke VM's op basis van AMD?

Azure Confidential VM's op AMD SEV-SNP ondergaan attestation als onderdeel van hun opstartfase. Dit proces is ondoorzichtig voor de gebruiker en vindt plaats in het cloudbesturingssysteem met de Services Microsoft Azure Attestation en Azure Key Vault. Met vertrouwelijke VM's kunnen gebruikers ook onafhankelijke attestation uitvoeren voor hun vertrouwelijke VM's. Deze attestation vindt plaats met behulp van nieuwe hulpprogramma's met de naam Azure Confidential VM Guest Attestation. Met gastverklaring kunnen klanten bevestigen dat hun vertrouwelijke VM's worden uitgevoerd op AMD-processors waarvoor SEV-SNP is ingeschakeld.

Kan ik attestation uitvoeren voor mijn op Intel gebaseerde vertrouwelijke VM's?

Azure Confidential-VM's die Gebruikmaken van Intel TDX kunnen transparant worden getest als onderdeel van de opstartstroom om ervoor te zorgen dat het platform compatibel en up-to-date is. Het proces is ondoorzichtig voor de gebruiker en vindt plaats met behulp van Microsoft Azure Attestation en Azure Key Vault. Als u verder wilt gaan om controles na het opstarten uit te voeren, is attestation voor in-guest platform beschikbaar. Hiermee kunt u controleren of uw VIRTUELE machine wordt uitgevoerd op legitieme Intel TDX. Ga naar onze preview-vertakking voor toegang tot de functie. Daarnaast ondersteunen we Intel® Trust Authority voor ondernemingen die onafhankelijke attestation van operatoren zoeken. Ondersteuning voor volledige in-guest attestation, vergelijkbaar met AMD SEV-SNP, is binnenkort beschikbaar. Hierdoor kunnen organisaties dieper gaan en verdere aspecten valideren, zelfs tot aan de laag van de gasttoepassing.

Werken alle installatiekopieën van het besturingssysteem met vertrouwelijke VM's?

Voor uitvoering op een vertrouwelijke VM moeten besturingssysteeminstallatiekopieën voldoen aan bepaalde beveiligings- en compatibiliteitsvereisten. Hierdoor kunnen vertrouwelijke VM's veilig worden gekoppeld, getest en geïsoleerd van de onderliggende cloudinfrastructuur. In de toekomst plannen we richtlijnen voor het maken van een aangepaste Linux-build en het toepassen van een set opensource-patches om deze te kwalificeren als een vertrouwelijke VM-installatiekopieën.

Kan ik een van de beschikbare vertrouwelijke VM-installatiekopieën aanpassen?

Ja. U kunt Azure Compute Gallery gebruiken om een vertrouwelijke VM-installatiekopieën te wijzigen, bijvoorbeeld door toepassingen te installeren. Vervolgens kunt u vertrouwelijke VM's implementeren op basis van uw gewijzigde installatiekopieën.

Moet ik het versleutelingsschema voor volledige schijven gebruiken? Kan ik in plaats daarvan een standaardschema gebruiken?

Het optionele schema voor volledige schijfversleuteling is het veiligst van Azure en voldoet aan de principes van Confidential Computing. U kunt echter ook andere schijfversleutelingsschema's gebruiken, samen met of in plaats van volledige schijfversleuteling. Als u meerdere schijfversleutelingsschema's gebruikt, kan dubbele versleuteling de prestaties negatief beïnvloeden.

Aangezien azure confidential VM's virtuele TPM ondersteunen, kan ik geheimen/sleutels verzegelen met mijn virtuele TPM voor vertrouwelijke VM's?

Elke vertrouwelijke Azure-VM heeft een eigen virtuele TPM, waar klanten hun geheimen/sleutels kunnen verzegelen. Het wordt aanbevolen voor klanten om de vTPM-status (via TPM.msc voor Windows-VM's) te controleren. Als de status niet gereed is voor gebruik, raden we u aan uw VM's opnieuw op te starten voordat u geheimen/sleutels verzegelt naar vTPM.

Kan ik het nieuwe versleutelingsschema voor volledige schijven in- of uitschakelen nadat de VM is gemaakt?

Nee Nadat u een vertrouwelijke VIRTUELE machine hebt gemaakt, kunt u volledige schijfversleuteling niet deactiveren of opnieuw activeren. Maak in plaats daarvan een nieuwe vertrouwelijke VM.

Kan ik meer aspecten van de Trusted Computing Base beheren om onafhankelijk sleutelbeheer, attestation en schijfversleuteling van operatoren af te dwingen?

Ontwikkelaars die op zoek zijn naar verdere scheiding van taken voor TCB-services van de cloudserviceprovider, moeten het beveiligingstype NonPersistedTPM gebruiken.

  • Deze ervaring is alleen beschikbaar als onderdeel van de openbare preview van Intel TDX. Organisaties die het gebruiken of services bieden, hebben de controle over de TCB en de verantwoordelijkheden die ermee gepaard gaan.
  • Met deze ervaring worden de systeemeigen Azure-services overgeslagen, zodat u uw eigen schijfversleuteling, sleutelbeheer en attestation-oplossing kunt gebruiken.
  • Elke VIRTUELE machine heeft nog steeds een vTPM, die moet worden gebruikt om hardware-bewijs op te halen, maar de vTPM-status wordt niet behouden door opnieuw opstarten, wat betekent dat deze oplossing uitstekend is voor tijdelijke workloads en organisaties die willen ontkoppelen van de cloudserviceprovider.

Kan ik een niet-vertrouwelijke VM converteren naar een vertrouwelijke VM?

Nee Om veiligheidsredenen moet u vanaf het begin een vertrouwelijke VM maken.

Kan ik een DCasv5/ECasv5 CVM converteren naar een DCesv5/ECesv5 CVM of een DCesv5/ECesv5 CVM naar een DCasv5/ECasv5 CVM?

Ja, het converteren van een vertrouwelijke VM naar een andere vertrouwelijke VM is toegestaan op zowel DCasv5/ECasv5 als DCesv5/ECesv5 in de regio's die ze delen. Als u een Windows-installatiekopieën gebruikt, controleert u of u alle meest recente updates hebt. Als u een Ubuntu Linux-installatiekopie gebruikt, moet u ervoor zorgen dat u de vertrouwelijke Ubuntu 22.04 LTS-installatiekopie gebruikt met de minimale kernelversie 6.2.0-1011-azure.

Waarom kan ik DCasv5/ECasv5- of DCesv5/ECesv5-VM's niet vinden in de groottekiezer van Azure Portal?

Zorg ervoor dat u een beschikbare regio hebt geselecteerd voor vertrouwelijke VM's. Zorg er ook voor dat u alle filters in de groottekiezer wist.

Kan ik versneld netwerken van Azure inschakelen op vertrouwelijke VM's?

Nee Vertrouwelijke VM's bieden geen ondersteuning voor versneld netwerken. U kunt versneld netwerken niet inschakelen voor een vertrouwelijke VM-implementatie of een Azure Kubernetes Service-clusterimplementatie die wordt uitgevoerd op Confidential Computing.

Wat betekent deze fout? "De bewerking kan niet worden voltooid omdat dit resulteert in het overschrijden van het goedgekeurde standaardquotum DCasV5/ECasv5 of DCesv5/ECesv5 Family Cores"

Mogelijk wordt de foutbewerking niet voltooid omdat dit resulteert in het overschrijden van het goedgekeurde standaard-DCasv5/ECasv5 Family Cores-quotum. Deze ARM-sjabloonfout (Azure Resource Manager-sjabloon) betekent dat de implementatie is mislukt vanwege een gebrek aan Azure-rekenkernen. Abonnementen voor gratis proefversie van Azure hebben geen groot genoeg kernquotum voor vertrouwelijke VM's. Maak een ondersteuningsaanvraag om uw quotum te verhogen.

Wat is het verschil tussen vm's uit de DCasv5-serie/DCesv5-serie en ECasv5-serie/ECesv5-serie?

ECasv5-serie en ECesv5-serie zijn voor geheugen geoptimaliseerde VM-grootten, die een hogere verhouding tussen geheugen en CPU bieden. Deze grootten zijn met name geschikt voor relationele databaseservers, middelgrote tot grote caches en analyse in het geheugen.

Zijn vertrouwelijke VM's wereldwijd beschikbaar?

Nee Op dit moment zijn deze VM's alleen beschikbaar in bepaalde regio's. Zie VM-producten per regio voor een huidige lijst met beschikbare regio's.

Wat gebeurt er als ik Microsoft nodig heb om mij te helpen bij het onderhouden of openen van gegevens op mijn vertrouwelijke VM?

Azure heeft geen operationele procedures voor het verlenen van vertrouwelijke VM-toegang tot de werknemers, zelfs niet als een klant de toegang toekent. Als gevolg hiervan zijn verschillende herstel- en ondersteuningsscenario's niet beschikbaar voor vertrouwelijke VM's.

Ondersteunen vertrouwelijke VM's virtualisatie, zoals Azure VMware Solution?

Nee, vertrouwelijke VM's ondersteunen momenteel geen geneste virtualisatie, zoals de mogelijkheid om een hypervisor in een VIRTUELE machine uit te voeren.

Zijn er extra kosten verbonden aan het gebruik van vertrouwelijke VM's?

Facturering voor vertrouwelijke VM's is afhankelijk van uw gebruik en opslag en de grootte en regio van de VIRTUELE machine. Vertrouwelijke VM's maken gebruik van een kleine, versleutelde VMGS-schijf (Virtual Machine Guest State) van meerdere megabytes. VMGS bevat de beveiligingsstatus van de VM van onderdelen, zoals de vTPM- en UEFI-opstartlaadprogramma. Deze schijf kan leiden tot een maandelijkse opslagkosten. Als u ervoor kiest om de optionele versleuteling voor volledige schijven in te schakelen, worden er hogere kosten in rekening gebracht voor versleutelde besturingssysteemschijven. Zie de prijshandleiding voor beheerde schijven voor meer informatie over opslagkosten. Ten slotte kunt u voor sommige instellingen voor beveiliging en privacy ervoor kiezen om gekoppelde resources te maken, zoals een beheerde HSM-pool. Azure factureert dergelijke resources afzonderlijk van de kosten voor vertrouwelijke VM's.

Wat kan ik doen als de tijd op mijn VM uit de DCesv5/ECesv5-serie verschilt van UTC?

Zelden kunnen sommige VM's uit de DCesv5/ECesv5-serie een klein tijdsverschil met UTC ervaren. Er is binnenkort een oplossing voor de lange termijn beschikbaar. Ondertussen zijn dit de tijdelijke oplossingen voor virtuele Windows- en Ubuntu Linux-machines:

sc config vmictimesync start=disabled
sc stop vmictimesync

Voer voor Ubuntu Linux-installatiekopieën het volgende script uit:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service