Poufne maszyny wirtualne platformy Azure — często zadawane pytania

Poufne maszyny wirtualne to rozwiązanie IaaS dla dzierżaw z wysokimi wymaganiami dotyczącymi zabezpieczeń i poufności. Oferta poufnych maszyn wirtualnych:

• Szyfrowanie dla "używanych danych", w tym stanu procesora i pamięci maszyny wirtualnej. Klucze są generowane przez procesor i nigdy go nie pozostawiają.
• Zaświadczenie hosta pomaga zweryfikować pełną kondycję i zgodność serwera przed rozpoczęciem przetwarzania danych.
• Sprzętowy moduł zabezpieczeń (HSM) może być dołączony do ochrony kluczy poufnych dysków maszyn wirtualnych, które dzierżawa jest właścicielem wyłącznie.
• Nowa architektura rozruchu UEFI obsługująca system operacyjny gościa na potrzeby rozszerzonych ustawień zabezpieczeń i możliwości.
• Dedykowany wirtualny moduł TPM (Trusted Platform Module) potwierdza kondycję maszyny wirtualnej, zapewnia zarządzanie kluczami ze wzmocnionymi zabezpieczeniami i obsługuje przypadki użycia, takie jak funkcja BitLocker.

Poufne maszyny wirtualne dotyczą obaw klientów dotyczących przenoszenia poufnych obciążeń lokalnych do chmury. Poufne maszyny wirtualne zapewniają podwyższony poziom ochrony danych klientów z podstawowej infrastruktury i operatorów chmury. W przeciwieństwie do innych podejść i rozwiązań nie trzeba dostosowywać istniejących obciążeń do potrzeb technicznych platformy.

SEV-SNP oznacza stronicowanie Secure Encrypted Virtualization-Secure Nested. Jest to technologia ZAUFANEgo środowiska wykonawczego (TEE, Trusted Execution Environment) zapewniana przez firmę AMD i oferuje wiele zabezpieczeń: na przykład szyfrowanie pamięci, unikatowe klucze procesora, szyfrowanie stanu rejestru procesora, ochrona integralności, zapobieganie wycofywaniu oprogramowania układowego, wzmacnianie kanału bocznego oraz ograniczenia dotyczące zachowania przerwań i wyjątków. Łącznie technologie AMD SEV wzmacniają ochronę gości w celu odmowy funkcji hypervisor i innego kodu zarządzania hostem dostępu do pamięci i stanu maszyny wirtualnej. Poufne maszyny wirtualne wykorzystują protokół AMD SEV-SNP z technologiami platformy Azure, takimi jak szyfrowanie pełnodytowe i zarządzany moduł HSM usługi Azure Key Vault. Dane używane, przesyłane i magazynowane można szyfrować przy użyciu kluczy, które kontrolujesz. Dzięki wbudowanym funkcjom zaświadczania platformy Azure można niezależnie ustanowić zaufanie do zabezpieczeń, kondycji i podstawowej infrastruktury poufnych maszyn wirtualnych.

Intel TDX oznacza rozszerzenia domeny Intel Trust (Intel TDX) To technologia zaufanego środowiska wykonawczego (TEE) zapewniana przez intel i oferuje wiele ochrony: Intel TDX używa rozszerzeń sprzętowych do zarządzania i szyfrowania pamięci oraz chroni zarówno poufność, jak i integralność stanu procesora CPU. Ponadto technologia Intel TDX pomaga wzmocnić zwirtualizowane środowisko, odmawiając funkcji hypervisor, innego kodu zarządzania hostem i administratorom dostępu do pamięci i stanu maszyny wirtualnej. Poufne maszyny wirtualne łączą funkcję Intel TDX z technologiami platformy Azure, takimi jak szyfrowanie pełnodytowe i zarządzany moduł HSM usługi Azure Key Vault. Dane używane, przesyłane i magazynowane można szyfrować przy użyciu kluczy, które kontrolujesz.

Maszyny wirtualne platformy Azure oferują już wiodące w branży zabezpieczenia i ochronę przed innymi dzierżawami i złośliwymi intruzami. Poufne maszyny wirtualne platformy Azure rozszerzają te zabezpieczenia przy użyciu sprzętowych środowisk TEE, takich jak AMD SNP-SNP i Intel TDX, aby kryptograficznie odizolować i chronić poufność i integralność danych. Żaden administrator hosta ani usługi hosta (w tym funkcja hypervisor platformy Azure) nie mogą bezpośrednio wyświetlać ani modyfikować stanu pamięci lub procesora CPU poufnej maszyny wirtualnej. Ponadto dzięki pełnej możliwości zaświadczania, pełnemu szyfrowaniu dysków systemu operacyjnego i wirtualnym modułom zaufanych platform chronionych sprzętowo stan trwały jest chroniony tak, aby klucze prywatne i zawartość pamięci nie były widoczne dla środowiska hostingu niezaszyfrowanego.

Obecnie dyski systemu operacyjnego dla poufnych maszyn wirtualnych można zaszyfrować i zabezpieczyć. W celu zapewnienia dodatkowych zabezpieczeń można włączyć szyfrowanie na poziomie gościa (takie jak Funkcja BitLocker lub dm-crypt) dla wszystkich dysków danych.

Tak, ale tylko wtedy, gdy pagefile.sys znajduje się na zaszyfrowanym dysku systemu operacyjnego. Na poufnych maszynach wirtualnych z dyskiem tymczasowym plik pagefile.sys można przenieść do zaszyfrowanego systemu operacyjnego Wskazówki w celu przeniesienia pagefile.sys na dysk c:\.

Nie, ta funkcja nie istnieje dla poufnych maszyn wirtualnych.

Poniżej przedstawiono kilka sposobów wdrażania poufnej maszyny wirtualnej:

• Wdrażanie z witryny Azure Portal
• Wdrażanie z interfejsu wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure)
• Wdrażanie przy użyciu szablonu usługi ARM

Poufne maszyny wirtualne platformy Azure na platformie AMD SEV-SNP przechodzą zaświadczenie w ramach fazy rozruchu. Ten proces jest nieprzezroczystym dla użytkownika i odbywa się w systemie operacyjnym w chmurze za pomocą usług zaświadczania platformy Microsoft Azure i usługi Azure Key Vault. Poufne maszyny wirtualne umożliwiają również użytkownikom wykonywanie niezależnego zaświadczania dla poufnych maszyn wirtualnych. To zaświadczanie odbywa się przy użyciu nowego narzędzia o nazwie Poufne zaświadczanie gościa maszyny wirtualnej platformy Azure. Zaświadczenie gościa pozwala klientom potwierdzić, że ich poufne maszyny wirtualne są uruchomione na procesorach AMD z włączoną funkcją SEV-SNP.

Poufne maszyny wirtualne platformy Azure korzystające z technologii Intel TDX można zaświadczać w sposób przezroczysty w ramach przepływu rozruchu, aby upewnić się, że platforma jest zgodna i aktualna. Proces jest nieprzezroczystym dla użytkownika i odbywa się przy użyciu zaświadczania microsoft Azure i usługi Azure Key Vault. Jeśli chcesz kontynuować sprawdzanie po uruchomieniu, dostępne jest zaświadczenie na platformie gościa. Dzięki temu można sprawdzić, czy maszyna wirtualna jest uruchomiona na oryginalnym intel TDX. Aby uzyskać dostęp do funkcji, odwiedź naszą gałąź w wersji zapoznawczej. Ponadto obsługujemy usługę Intel® Trust Authority dla przedsiębiorstw poszukujących niezależnego zaświadczania operatora. Obsługa pełnego zaświadczania gościa, podobnie jak AMD SEV-SNP, jest wkrótce dostępna. Dzięki temu organizacje mogą dokładniej pracować i weryfikować dalsze aspekty, nawet w warstwie aplikacji gościa.

Aby można było uruchomić na poufnej maszynie wirtualnej, obrazy systemu operacyjnego muszą spełniać pewne wymagania dotyczące zabezpieczeń i zgodności. Dzięki temu poufne maszyny wirtualne mogą być bezpiecznie instalowane, zaświadczane i odizolowane od podstawowej infrastruktury chmury. W przyszłości planujemy udostępnić wskazówki dotyczące sposobu wykonywania niestandardowej kompilacji systemu Linux i stosowania zestawu poprawek typu open source w celu zakwalifikowania go jako poufnego obrazu maszyny wirtualnej.

Tak. Możesz użyć galerii obliczeń platformy Azure, aby zmodyfikować poufny obraz maszyny wirtualnej, na przykład przez zainstalowanie aplikacji. Następnie można wdrożyć poufne maszyny wirtualne na podstawie zmodyfikowanego obrazu.

Opcjonalny schemat szyfrowania pełnego dysku jest najbezpieczniejszy i spełnia zasady poufnego przetwarzania na platformie Azure. Można jednak również użyć innych schematów szyfrowania dysków wraz z lub zamiast szyfrowania pełnego dysku. Jeśli używasz wielu schematów szyfrowania dysków, podwójne szyfrowanie może negatywnie wpłynąć na wydajność.

Każda poufne maszyny wirtualnej platformy Azure ma własny wirtualny moduł TPM, w którym klienci mogą uszczelnić swoje wpisy tajne/klucze. Zaleca się, aby klienci weryfikowali stan maszyn wirtualnych vTPM (za pośrednictwem modułu TPM.msc dla maszyn wirtualnych z systemem Windows). Jeśli stan nie jest gotowy do użycia, zalecamy ponowne uruchomienie maszyn wirtualnych przed uszczelnieniem wpisów tajnych/kluczy do maszyny wirtualnej vTPM.

L.p. Po utworzeniu poufnej maszyny wirtualnej nie można dezaktywować ani ponownie uaktywnić szyfrowania na pełnym dysku. Zamiast tego utwórz nową poufne maszynę wirtualną.

Deweloperzy poszukujący dalszej "separacji obowiązków" dla usług TCB od dostawcy usług w chmurze powinni używać typu zabezpieczeń "NonPersistedTPM".

• To środowisko jest dostępne tylko w ramach publicznej wersji zapoznawczej intel TDX. Organizacje korzystające z niego lub dostarczające z nim usługi są pod kontrolą TCB i obowiązków, które się z nim wiążą.
• To środowisko pomija natywne usługi platformy Azure, co pozwala na korzystanie z własnego szyfrowania dysków, zarządzania kluczami i rozwiązania zaświadczania.
• Każda maszyna wirtualna nadal ma maszynę wirtualną vTPM, która powinna być używana do pobierania dowodów sprzętowych, jednak stan vTPM nie jest utrwalany przez ponowne uruchomienie, co oznacza, że to rozwiązanie jest doskonałe dla efemerycznych obciążeń i organizacji, które chcą odłączyć się od dostawcy usług w chmurze.

L.p. Ze względów bezpieczeństwa należy utworzyć poufne maszyny wirtualne jako takie od samego początku.

Tak, konwertowanie z jednej poufnej maszyny wirtualnej na inną poufne maszyny wirtualnej jest dozwolone zarówno na maszynach DCasv5/ECasv5, jak i DCesv5/ECesv5 w regionach, które udostępniają. Jeśli używasz obrazu systemu Windows, upewnij się, że masz wszystkie najnowsze aktualizacje. Jeśli używasz obrazu systemu Ubuntu Linux, upewnij się, że używasz poufnego obrazu ubuntu 22.04 LTS z minimalną wersją 6.2.0-1011-azurejądra .

Upewnij się, że wybrano dostępny region dla poufnych maszyn wirtualnych. Upewnij się również, że zaznaczono zaznaczenie wszystkich filtrów w selektorze rozmiaru.

L.p. Poufne maszyny wirtualne nie obsługują przyspieszonej sieci. Nie można włączyć przyspieszonej sieci dla żadnego poufnego wdrożenia maszyny wirtualnej ani wdrożenia klastra usługi Azure Kubernetes Service działającego w ramach poufnego przetwarzania.

Być może nie można ukończyć operacji błędu , ponieważ powoduje przekroczenie zatwierdzonego standardowego limitu przydziału rdzeni rodziny DCasv5/ECasv5. Ten błąd szablonu usługi Azure Resource Manager (szablon usługi ARM) oznacza, że wdrożenie nie powiodło się z powodu braku rdzeni obliczeniowych platformy Azure. Subskrypcje bezpłatnej wersji próbnej platformy Azure nie mają wystarczającego limitu przydziału rdzeni dla poufnych maszyn wirtualnych. Utwórz wniosek o pomoc techniczną w celu zwiększenia limitu przydziału.

Serie ECasv5 i ECesv5 to zoptymalizowane pod kątem pamięci rozmiary maszyn wirtualnych, które oferują wyższy stosunek pamięci do procesora CPU. Te rozmiary są szczególnie odpowiednie dla serwerów relacyjnych baz danych, średnich i dużych pamięci podręcznych oraz analizy w pamięci.

L.p. Obecnie te maszyny wirtualne są dostępne tylko w wybranych regionach. Aby uzyskać bieżącą listę dostępnych regionów, zobacz Produkty maszyn wirtualnych według regionów.

Platforma Azure nie ma procedur operacyjnych dotyczących udzielania poufnych maszyn wirtualnych dostępu do swoich pracowników, nawet jeśli klient autoryzuje dostęp. W związku z tym różne scenariusze odzyskiwania i pomocy technicznej nie są dostępne dla poufnych maszyn wirtualnych.

Nie, poufne maszyny wirtualne nie obsługują obecnie wirtualizacji zagnieżdżonej, takiej jak możliwość uruchamiania funkcji hypervisor wewnątrz maszyny wirtualnej.

Rozliczenia dotyczące poufnych maszyn wirtualnych zależą od użycia i magazynu oraz rozmiaru i regionu maszyny wirtualnej. Poufne maszyny wirtualne używają małego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS) kilku megabajtów. Usługa VMGS hermetyzuje stan zabezpieczeń maszyny wirtualnej składników, takich jak moduł rozruchowy vTPM i UEFI. Ten dysk może spowodować miesięczną opłatę za magazyn. Ponadto jeśli zdecydujesz się włączyć opcjonalne szyfrowanie pełnodytowe, zaszyfrowane dyski systemu operacyjnego generują wyższe koszty. Aby uzyskać więcej informacji na temat opłat za magazyn, zobacz przewodnik cenowy dotyczący dysków zarządzanych. Ponadto w przypadku niektórych ustawień o wysokim poziomie zabezpieczeń i prywatności możesz utworzyć połączone zasoby, takie jak zarządzana pula modułów HSM. Platforma Azure rozlicza takie zasoby oddzielnie od poufnych kosztów maszyn wirtualnych.

Rzadko niektóre maszyny wirtualne serii DCesv5/ECesv5 mogą mieć niewielką różnicę czasu od czasu UTC. W tej chwili dostępna jest długoterminowa poprawka. W międzyczasie poniżej przedstawiono obejścia maszyn wirtualnych z systemami Windows i Ubuntu Linux:

sc config vmictimesync start=disabled
sc stop vmictimesync

W przypadku obrazów z systemem Ubuntu Linux uruchom następujący skrypt:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service