Ten artykuł zawiera odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących poufnych maszyn wirtualnych.
Co to są poufne maszyny wirtualne?
Poufne maszyny wirtualne to rozwiązanie IaaS dla dzierżaw z wysokimi wymaganiami dotyczącymi zabezpieczeń i poufności. Oferta poufnych maszyn wirtualnych:
- Szyfrowanie dla "używanych danych", w tym stanu procesora i pamięci maszyny wirtualnej. Klucze są generowane przez procesor i nigdy go nie pozostawiają.
- Zaświadczenie hosta pomaga zweryfikować pełną kondycję i zgodność serwera przed rozpoczęciem przetwarzania danych.
- Sprzętowy moduł zabezpieczeń (HSM) może być dołączony do ochrony kluczy poufnych dysków maszyn wirtualnych, które dzierżawa jest właścicielem wyłącznie.
- Nowa architektura rozruchu UEFI obsługująca system operacyjny gościa na potrzeby rozszerzonych ustawień zabezpieczeń i możliwości.
- Dedykowany wirtualny moduł TPM (Trusted Platform Module) potwierdza kondycję maszyny wirtualnej, zapewnia zarządzanie kluczami ze wzmocnionymi zabezpieczeniami i obsługuje przypadki użycia, takie jak funkcja BitLocker.
Dlaczego należy używać poufnych maszyn wirtualnych?
Poufne maszyny wirtualne dotyczą obaw klientów dotyczących przenoszenia poufnych obciążeń lokalnych do chmury. Poufne maszyny wirtualne zapewniają podwyższony poziom ochrony danych klientów z podstawowej infrastruktury i operatorów chmury. W przeciwieństwie do innych podejść i rozwiązań nie trzeba dostosowywać istniejących obciążeń do potrzeb technicznych platformy.
Co to jest AMD SEV-SNP i jak odnosi się do poufnych maszyn wirtualnych platformy Azure?
SEV-SNP oznacza stronicowanie Secure Encrypted Virtualization-Secure Nested. Jest to technologia ZAUFANEgo środowiska wykonawczego (TEE, Trusted Execution Environment) zapewniana przez firmę AMD i oferuje wiele zabezpieczeń: na przykład szyfrowanie pamięci, unikatowe klucze procesora, szyfrowanie stanu rejestru procesora, ochrona integralności, zapobieganie wycofywaniu oprogramowania układowego, wzmacnianie kanału bocznego oraz ograniczenia dotyczące zachowania przerwań i wyjątków. Łącznie technologie AMD SEV wzmacniają ochronę gości w celu odmowy funkcji hypervisor i innego kodu zarządzania hostem dostępu do pamięci i stanu maszyny wirtualnej. Poufne maszyny wirtualne wykorzystują protokół AMD SEV-SNP z technologiami platformy Azure, takimi jak szyfrowanie pełnodytowe i zarządzany moduł HSM usługi Azure Key Vault. Dane używane, przesyłane i magazynowane można szyfrować przy użyciu kluczy, które kontrolujesz. Dzięki wbudowanym funkcjom zaświadczania platformy Azure można niezależnie ustanowić zaufanie do zabezpieczeń, kondycji i podstawowej infrastruktury poufnych maszyn wirtualnych.
Co to są technologie Intel TDX i jak odnoszą się one do poufnych maszyn wirtualnych platformy Azure?
Intel TDX oznacza rozszerzenia domeny Intel Trust (Intel TDX) To technologia zaufanego środowiska wykonawczego (TEE) zapewniana przez intel i oferuje wiele ochrony: Intel TDX używa rozszerzeń sprzętowych do zarządzania i szyfrowania pamięci oraz chroni zarówno poufność, jak i integralność stanu procesora CPU. Ponadto technologia Intel TDX pomaga wzmocnić zwirtualizowane środowisko, odmawiając funkcji hypervisor, innego kodu zarządzania hostem i administratorom dostępu do pamięci i stanu maszyny wirtualnej. Poufne maszyny wirtualne łączą funkcję Intel TDX z technologiami platformy Azure, takimi jak szyfrowanie pełnodytowe i zarządzany moduł HSM usługi Azure Key Vault. Dane używane, przesyłane i magazynowane można szyfrować przy użyciu kluczy, które kontrolujesz.
Jak poufne maszyny wirtualne platformy Azure zapewniają lepszą ochronę przed zagrożeniami pochodzącymi zarówno z infrastruktury chmury platformy Azure, jak i spoza niej?
Maszyny wirtualne platformy Azure oferują już wiodące w branży zabezpieczenia i ochronę przed innymi dzierżawami i złośliwymi intruzami. Poufne maszyny wirtualne platformy Azure rozszerzają te zabezpieczenia przy użyciu sprzętowych środowisk TEE, takich jak AMD SNP-SNP i Intel TDX, aby kryptograficznie odizolować i chronić poufność i integralność danych. Żaden administrator hosta ani usługi hosta (w tym funkcja hypervisor platformy Azure) nie mogą bezpośrednio wyświetlać ani modyfikować stanu pamięci lub procesora CPU poufnej maszyny wirtualnej. Ponadto dzięki pełnej możliwości zaświadczania, pełnemu szyfrowaniu dysków systemu operacyjnego i wirtualnym modułom zaufanych platform chronionych sprzętowo stan trwały jest chroniony tak, aby klucze prywatne i zawartość pamięci nie były widoczne dla środowiska hostingu niezaszyfrowanego.
Czy dyski wirtualne są dołączone do poufnych maszyn wirtualnych automatycznie chronione?
Obecnie dyski systemu operacyjnego dla poufnych maszyn wirtualnych można zaszyfrować i zabezpieczyć. W celu zapewnienia dodatkowych zabezpieczeń można włączyć szyfrowanie na poziomie gościa (takie jak Funkcja BitLocker lub dm-crypt) dla wszystkich dysków danych.
Czy pamięć zapisana w pliku wymiany systemu Windows (pagefile.sys) jest chroniona przez teE?
Tak, ale tylko wtedy, gdy pagefile.sys znajduje się na zaszyfrowanym dysku systemu operacyjnego. Na poufnych maszynach wirtualnych z dyskiem tymczasowym plik pagefile.sys można przenieść do zaszyfrowanych wskazówek systemu operacyjnego dotyczących przenoszenia pagefile.sys na dysk c:\.
Czy mogę wygenerować zrzut pamięci hosta z poziomu poufnej maszyny wirtualnej?
Nie, ta funkcja nie istnieje dla poufnych maszyn wirtualnych.
Jak wdrożyć poufne maszyny wirtualne platformy Azure?
Poniżej przedstawiono kilka sposobów wdrażania poufnej maszyny wirtualnej:
Czy mogę wykonać zaświadczenie dla poufnych maszyn wirtualnych opartych na amd?
Poufne maszyny wirtualne platformy Azure na platformie AMD SEV-SNP przechodzą zaświadczenie w ramach fazy rozruchu. Ten proces jest nieprzezroczystym dla użytkownika i odbywa się w systemie operacyjnym w chmurze za pomocą usług zaświadczania platformy Microsoft Azure i usługi Azure Key Vault. Poufne maszyny wirtualne umożliwiają również użytkownikom wykonywanie niezależnego zaświadczania dla poufnych maszyn wirtualnych. To zaświadczanie odbywa się przy użyciu nowego narzędzia o nazwie Poufne zaświadczanie gościa maszyny wirtualnej platformy Azure. Zaświadczenie gościa pozwala klientom potwierdzić, że ich poufne maszyny wirtualne są uruchomione na procesorach AMD z włączoną funkcją SEV-SNP.
Czy mogę wykonać zaświadczenie dla poufnych maszyn wirtualnych firmy Intel?
Poufne maszyny wirtualne platformy Azure korzystające z technologii Intel TDX można zaświadczać w sposób przezroczysty w ramach przepływu rozruchu, aby upewnić się, że platforma jest zgodna i aktualna. Proces jest nieprzezroczystym dla użytkownika i odbywa się przy użyciu zaświadczania microsoft Azure i usługi Azure Key Vault. Jeśli chcesz kontynuować sprawdzanie po uruchomieniu, dostępne jest zaświadczenie na platformie gościa. Dzięki temu można sprawdzić, czy maszyna wirtualna jest uruchomiona na oryginalnym intel TDX. Aby uzyskać dostęp do funkcji, odwiedź naszą gałąź w wersji zapoznawczej. Ponadto obsługujemy usługę Intel® Trust Authority dla przedsiębiorstw poszukujących niezależnego zaświadczania operatora. Obsługa pełnego zaświadczania gościa, podobnie jak AMD SEV-SNP, jest wkrótce dostępna. Dzięki temu organizacje mogą dokładniej pracować i weryfikować dalsze aspekty, nawet w warstwie aplikacji gościa.
Czy wszystkie obrazy systemu operacyjnego działają z poufnymi maszynami wirtualnymi?
Aby można było uruchomić na poufnej maszynie wirtualnej, obrazy systemu operacyjnego muszą spełniać pewne wymagania dotyczące zabezpieczeń i zgodności. Dzięki temu poufne maszyny wirtualne mogą być bezpiecznie instalowane, zaświadczane i odizolowane od podstawowej infrastruktury chmury. W przyszłości planujemy udostępnić wskazówki dotyczące sposobu wykonywania niestandardowej kompilacji systemu Linux i stosowania zestawu poprawek typu open source w celu zakwalifikowania go jako poufnego obrazu maszyny wirtualnej.
Czy mogę dostosować jeden z dostępnych poufnych obrazów maszyn wirtualnych?
Tak. Możesz użyć galerii obliczeń platformy Azure, aby zmodyfikować poufny obraz maszyny wirtualnej, na przykład przez zainstalowanie aplikacji. Następnie można wdrożyć poufne maszyny wirtualne na podstawie zmodyfikowanego obrazu.
Czy muszę używać schematu szyfrowania pełnego dysku? Czy zamiast tego można użyć schematu standardowego?
Opcjonalny schemat szyfrowania pełnego dysku jest najbezpieczniejszy i spełnia zasady poufnego przetwarzania na platformie Azure. Można jednak również użyć innych schematów szyfrowania dysków wraz z lub zamiast szyfrowania pełnego dysku. Jeśli używasz wielu schematów szyfrowania dysków, podwójne szyfrowanie może negatywnie wpłynąć na wydajność.
Ponieważ poufne maszyny wirtualne platformy Azure obsługują wirtualny moduł TPM, czy mogę uszczelnić wpisy tajne/klucze do poufnego wirtualnego modułu TPM maszyny wirtualnej?
Każda poufne maszyny wirtualnej platformy Azure ma własny wirtualny moduł TPM, w którym klienci mogą uszczelnić swoje wpisy tajne/klucze. Zaleca się, aby klienci weryfikowali stan maszyn wirtualnych vTPM (za pośrednictwem modułu TPM.msc dla maszyn wirtualnych z systemem Windows). Jeśli stan nie jest gotowy do użycia, zalecamy ponowne uruchomienie maszyn wirtualnych przed uszczelnieniem wpisów tajnych/kluczy do maszyny wirtualnej vTPM.
Czy mogę włączyć lub wyłączyć nowy schemat szyfrowania pełnego dysku po utworzeniu maszyny wirtualnej?
L.p. Po utworzeniu poufnej maszyny wirtualnej nie można dezaktywować ani ponownie uaktywnić szyfrowania na pełnym dysku. Zamiast tego utwórz nową poufne maszynę wirtualną.
Czy mogę kontrolować więcej aspektów zaufanej bazy obliczeniowej, aby wymusić niezależne zarządzanie kluczami, zaświadczanie i szyfrowanie dysków?
Deweloperzy poszukujący dalszej "separacji obowiązków" dla usług TCB od dostawcy usług w chmurze powinni używać typu zabezpieczeń "NonPersistedTPM".
- To środowisko jest dostępne tylko w ramach publicznej wersji zapoznawczej intel TDX. Organizacje korzystające z niego lub dostarczające z nim usługi są pod kontrolą TCB i obowiązków, które się z nim wiążą.
- To środowisko pomija natywne usługi platformy Azure, co pozwala na korzystanie z własnego szyfrowania dysków, zarządzania kluczami i rozwiązania zaświadczania.
- Każda maszyna wirtualna nadal ma maszynę wirtualną vTPM, która powinna być używana do pobierania dowodów sprzętowych, jednak stan vTPM nie jest utrwalany przez ponowne uruchomienie, co oznacza, że to rozwiązanie jest doskonałe dla efemerycznych obciążeń i organizacji, które chcą odłączyć się od dostawcy usług w chmurze.
Czy mogę przekonwertować nieufną maszynę wirtualną na poufne maszyny wirtualnej?
L.p. Ze względów bezpieczeństwa należy utworzyć poufne maszyny wirtualne jako takie od samego początku.
Czy mogę przekonwertować DCasv5/ECasv5 CVM na DCesv5/ECesv5 CVM lub DCesv5/ECesv5 CVM na DCasv5/ECasv5 CVM?
Tak, konwertowanie z jednej poufnej maszyny wirtualnej na inną poufne maszyny wirtualnej jest dozwolone zarówno na maszynach DCasv5/ECasv5, jak i DCesv5/ECesv5 w regionach, które udostępniają.
Jeśli używasz obrazu systemu Windows, upewnij się, że masz wszystkie najnowsze aktualizacje.
Jeśli używasz obrazu systemu Ubuntu Linux, upewnij się, że używasz poufnego obrazu ubuntu 22.04 LTS z minimalną wersją 6.2.0-1011-azure
jądra .
Dlaczego nie mogę znaleźć maszyn wirtualnych DCasv5/ECasv5 lub DCesv5/ECesv5 w selektorze rozmiaru witryny Azure Portal?
Upewnij się, że wybrano dostępny region dla poufnych maszyn wirtualnych. Upewnij się również, że zaznaczono zaznaczenie wszystkich filtrów w selektorze rozmiaru.
Czy mogę włączyć przyspieszoną sieć platformy Azure na poufnych maszynach wirtualnych?
L.p. Poufne maszyny wirtualne nie obsługują przyspieszonej sieci. Nie można włączyć przyspieszonej sieci dla żadnego poufnego wdrożenia maszyny wirtualnej ani wdrożenia klastra usługi Azure Kubernetes Service działającego w ramach poufnego przetwarzania.
Co oznacza ten błąd? "Nie można ukończyć operacji, ponieważ powoduje przekroczenie zatwierdzonego standardu DCasV5/ECasv5 lub DCesv5/ECesv5 Family Cores"
Być może nie można ukończyć operacji błędu , ponieważ powoduje przekroczenie zatwierdzonego standardowego limitu przydziału rdzeni rodziny DCasv5/ECasv5. Ten błąd szablonu usługi Azure Resource Manager (szablon usługi ARM) oznacza, że wdrożenie nie powiodło się z powodu braku rdzeni obliczeniowych platformy Azure. Subskrypcje bezpłatnej wersji próbnej platformy Azure nie mają wystarczającego limitu przydziału rdzeni dla poufnych maszyn wirtualnych. Utwórz wniosek o pomoc techniczną w celu zwiększenia limitu przydziału.
Jaka jest różnica między maszynami wirtualnymi serii DCasv5/DCesv5 i serii ECasv5/ECesv5?
Serie ECasv5 i ECesv5 to zoptymalizowane pod kątem pamięci rozmiary maszyn wirtualnych, które oferują wyższy stosunek pamięci do procesora CPU. Te rozmiary są szczególnie odpowiednie dla serwerów relacyjnych baz danych, średnich i dużych pamięci podręcznych oraz analizy w pamięci.
Czy poufne maszyny wirtualne są dostępne globalnie?
L.p. Obecnie te maszyny wirtualne są dostępne tylko w wybranych regionach. Aby uzyskać bieżącą listę dostępnych regionów, zobacz Produkty maszyn wirtualnych według regionów.
Co się stanie, jeśli potrzebuję firmy Microsoft, aby pomóc mi w obsłudze lub uzyskać dostęp do danych na poufnej maszynie wirtualnej?
Platforma Azure nie ma procedur operacyjnych dotyczących udzielania poufnych maszyn wirtualnych dostępu do swoich pracowników, nawet jeśli klient autoryzuje dostęp. W związku z tym różne scenariusze odzyskiwania i pomocy technicznej nie są dostępne dla poufnych maszyn wirtualnych.
Czy poufne maszyny wirtualne obsługują wirtualizację, taką jak usługa Azure VMware Solution?
Nie, poufne maszyny wirtualne nie obsługują obecnie wirtualizacji zagnieżdżonej, takiej jak możliwość uruchamiania funkcji hypervisor wewnątrz maszyny wirtualnej.
Czy istnieje dodatkowy koszt korzystania z poufnych maszyn wirtualnych?
Rozliczenia dotyczące poufnych maszyn wirtualnych zależą od użycia i magazynu oraz rozmiaru i regionu maszyny wirtualnej. Poufne maszyny wirtualne używają małego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS) kilku megabajtów. Usługa VMGS hermetyzuje stan zabezpieczeń maszyny wirtualnej składników, takich jak moduł rozruchowy vTPM i UEFI. Ten dysk może spowodować miesięczną opłatę za magazyn. Ponadto jeśli zdecydujesz się włączyć opcjonalne szyfrowanie pełnodytowe, zaszyfrowane dyski systemu operacyjnego generują wyższe koszty. Aby uzyskać więcej informacji na temat opłat za magazyn, zobacz przewodnik cenowy dotyczący dysków zarządzanych. Ponadto w przypadku niektórych ustawień o wysokim poziomie zabezpieczeń i prywatności możesz utworzyć połączone zasoby, takie jak zarządzana pula modułów HSM. Platforma Azure rozlicza takie zasoby oddzielnie od poufnych kosztów maszyn wirtualnych.
Co mogę zrobić, jeśli czas maszyny wirtualnej z serii DCesv5/ECesv5 różni się od czasu UTC?
Rzadko niektóre maszyny wirtualne serii DCesv5/ECesv5 mogą mieć niewielką różnicę czasu od czasu UTC. W tej chwili dostępna jest długoterminowa poprawka. W międzyczasie poniżej przedstawiono obejścia maszyn wirtualnych z systemami Windows i Ubuntu Linux:
sc config vmictimesync start=disabled
sc stop vmictimesync
W przypadku obrazów z systemem Ubuntu Linux uruchom następujący skrypt:
#!/bin/bash
# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak
# check chronyd.service status
status=$(systemctl is-active chronyd.service)
# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
echo "chronyd.service is active."
else
echo "chronyd.service is not active. Exiting script."
exit 1
fi
# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf
# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."
echo "Restart chronyd service"
systemctl restart chronyd.service
echo "Check chronyd status"
systemctl status chronyd.service