Poufne maszyny wirtualne platformy Azure — często zadawane pytania

Poufne maszyny wirtualne to maszyny wirtualne IaaS dla dzierżaw z szczególnie wysokimi wymaganiami dotyczącymi zabezpieczeń i poufności. Poufne maszyny wirtualne oferują dostęp do następujących technologii i korzyści:

• Szyfrowanie dla "używanych danych", w tym stanu procesora i pamięci maszyny wirtualnej. Klucze są generowane przez procesor i nigdy go nie pozostawiają.
• Zaświadczenie hosta w celu zweryfikowania pełnej kondycji i zgodności serwera przed zainicjowaniem poufnej maszyny wirtualnej.
• Szyfrowanie "danych magazynowanych". Sprzętowy moduł zabezpieczeń (HSM) może służyć do ochrony kluczy, które jest właścicielem dzierżawy.
• Nowa architektura rozruchu UEFI obsługująca system operacyjny gościa na potrzeby rozszerzonych ustawień zabezpieczeń i możliwości.
• Dedykowane wystąpienie wirtualne modułu TPM (Trusted Platform Module). Potwierdza kondycję maszyny wirtualnej i zapewnia funkcje zarządzania kluczami ze wzmocnionym zabezpieczeniami. Obsługuje przypadki użycia, takie jak funkcja BitLocker.

Poufne maszyny wirtualne dotyczą obaw klientów dotyczących przenoszenia poufnych obciążeń lokalnych do chmury. Poufne maszyny wirtualne zapewniają znacznie podwyższony poziom ochrony danych klientów z podstawowej infrastruktury i operatorów chmury. W przeciwieństwie do innych podejść i rozwiązań nie trzeba dostosowywać istniejących obciążeń do potrzeb technicznych platformy.

Technologia SEV-SNP (Secure Nested Paging) firmy AMD Secure Encrypted Virtualization-Secure oferuje wiele ochrony. Na przykład szyfrowanie pamięci, unikatowe klucze procesora, szyfrowanie stanu rejestru procesora, silna ochrona integralności, zapobieganie wycofywaniu oprogramowania układowego, wzmacnianie zabezpieczeń kanału bocznego i ograniczenia dotyczące zachowania przerwań i wyjątków. Łącznie technologie AMD SEV wzmacniają ochronę gości w celu odmowy funkcji hypervisor i innego kodu zarządzania hostem dostępu do pamięci i stanu maszyny wirtualnej. Poufne maszyny wirtualne łączą protokół AMD SEV-SNP z technologiami platformy Azure, takimi jak szyfrowanie pełnodytowe i zarządzany moduł HSM usługi Azure Key Vault. Dane używane, przesyłane i magazynowane można szyfrować przy użyciu kluczy, które kontrolujesz. Dzięki wbudowanym funkcjom zaświadczania platformy Azure można niezależnie ustanowić zaufanie do zabezpieczeń, kondycji i podstawowej infrastruktury poufnych maszyn wirtualnych.

Rozszerzenia domeny intel trust (Intel TDX) oferuje wiele ochrony. Technologia Intel TDX używa rozszerzeń sprzętowych do zarządzania i szyfrowania pamięci oraz chroni zarówno poufność, jak i integralność stanu procesora TD. Ponadto technologia Intel TDX pomaga wzmocnić zwirtualizowane środowisko, odmawiając funkcji hypervisor, innego kodu zarządzania hostem i administratorów dostępu do pamięci i stanu maszyny wirtualnej. Poufne maszyny wirtualne łączą funkcję Intel TDX z technologiami platformy Azure, takimi jak szyfrowanie pełnodytowe i zarządzany moduł HSM usługi Azure Key Vault. Dane używane, przesyłane i magazynowane można szyfrować przy użyciu kluczy, które kontrolujesz.

Maszyny wirtualne platformy Azure oferują już wiodące w branży zabezpieczenia i ochronę przed innymi dzierżawami i złośliwymi intruzami. Poufne maszyny wirtualne platformy Azure rozszerzają te zabezpieczenia przy użyciu sprzętowych środowisk TEE (zaufanego środowiska wykonawczego), które wykorzystują SEV-SNP firmy AMD i Intel TDX do kryptograficznego izolowania i ochrony poufności i integralności danych nawet wtedy, gdy są one używane. Oznacza to, że ani administratorzy hosta, ani usługi (w tym funkcja hypervisor platformy Azure) nie mogą bezpośrednio wyświetlać ani modyfikować stanu pamięci lub procesora CPU maszyny wirtualnej. Ponadto dzięki pełnej możliwości zaświadczania pełne szyfrowanie dysków systemu operacyjnego i wirtualne moduły zaufanej platformy chronione sprzętowo są chronione poufnego stanu trwałego maszyny wirtualnej, tak aby ani twoje klucze prywatne, ani zawartość pamięci nigdy nie były widoczne dla środowiska hostingu.

Obecnie dyski systemu operacyjnego dla poufnych maszyn wirtualnych można zaszyfrować i zabezpieczyć. Aby uzyskać dodatkowe zabezpieczenia, można włączyć szyfrowanie na poziomie gościa (takie jak BitLocker lub dm-crypt) dla wszystkich dysków danych.

Tak, ale tylko wtedy, gdy pagefile.sys znajduje się na zaszyfrowanym dysku systemu operacyjnego. Na poufnych maszynach wirtualnych z dyskiem tymczasowym plik pagefile.sys można przenieść do zaszyfrowanego systemu operacyjnego Wskazówki w celu przeniesienia pagefile.sys na dysk c:\.

Poniżej przedstawiono kilka sposobów wdrażania poufnej maszyny wirtualnej:

• Wdrażanie z witryny Azure Portal
• Wdrażanie z interfejsu wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure)
• Wdrażanie przy użyciu szablonu usługi ARM

Poufne maszyny wirtualne platformy Azure na platformie AMD SEV-SNP przechodzą zaświadczenie w ramach fazy rozruchu. Ten proces jest nieprzezroczystym dla użytkownika i odbywa się w systemie operacyjnym w chmurze w połączeniu z usługami Zaświadczania platformy Microsoft Azure i usługi Azure Key Vault. Poufne maszyny wirtualne umożliwiają również użytkownikom wykonywanie niezależnego zaświadczania dla poufnych maszyn wirtualnych. To zaświadczanie odbywa się przy użyciu nowego narzędzia o nazwie Poufne zaświadczanie gościa maszyny wirtualnej platformy Azure. Zaświadczenie gościa pozwala klientom potwierdzić, że ich poufne maszyny wirtualne są uruchomione na procesorach AMD z włączoną funkcją SEV-SNP.

Poufne maszyny wirtualne platformy Azure w środowisku Intel TDX mają możliwość włączenia zaświadczania w ramach fazy rozruchu. Ten proces jest nieprzezroczystym dla użytkownika i odbywa się w systemie operacyjnym w chmurze w połączeniu z usługami Zaświadczania platformy Microsoft Azure i usługi Azure Key Vault. Obsługa zaświadczania gościa będzie dostępna za pośrednictwem maszyny wirtualnej vTPM. Służy to do weryfikowania całego stosu z platformy sprzętowej do warstwy aplikacji gościa. Funkcjonalność istnieje obecnie na AMD SEV-SNP i wkrótce zostanie wydana dla Intel TDX. Obecnie tylko zaświadczenie na platformie gościa jest dostępne dla intel TDX. Dzięki temu możesz sprawdzić, czy maszyna wirtualna jest uruchomiona na sprzęcie Intel TDX. Aby uzyskać dostęp do tej funkcji w wersji zapoznawczej, odwiedź naszą gałąź w wersji zapoznawczej. Ponadto obsługujemy usługę Intel® Trust Authority dla przedsiębiorstw poszukujących niezależnego zaświadczania operatora.

Aby można było uruchomić na poufnej maszynie wirtualnej, obrazy systemu operacyjnego muszą spełniać pewne wymagania dotyczące zabezpieczeń i zgodności. Dzięki temu poufne maszyny wirtualne mogą być bezpiecznie instalowane, zaświadczane i odizolowane od podstawowej infrastruktury chmury. W przyszłości planujemy udostępnić wskazówki dotyczące sposobu wykonywania niestandardowej kompilacji systemu Linux i stosowania zestawu poprawek typu open source w celu zakwalifikowania go jako poufnego obrazu maszyny wirtualnej.

Tak. Możesz użyć galerii obliczeń platformy Azure, aby zmodyfikować poufny obraz maszyny wirtualnej, na przykład przez zainstalowanie aplikacji. Następnie można wdrożyć poufne maszyny wirtualne na podstawie zmodyfikowanego obrazu.

Opcjonalny schemat szyfrowania pełnego dysku jest najbezpieczniejszy i spełnia zasady poufnego przetwarzania na platformie Azure. Można jednak również użyć innych schematów szyfrowania dysków wraz z lub zamiast szyfrowania pełnego dysku. Jeśli używasz wielu schematów szyfrowania dysków, podwójne szyfrowanie może negatywnie wpłynąć na wydajność.

Każda poufne maszyny wirtualnej platformy Azure ma własny wirtualny moduł TPM, w którym klienci mogą uszczelnić swoje wpisy tajne/klucze. Zaleca się, aby klienci weryfikowali stan vTPM (za pośrednictwem modułu TPM.msc dla maszyn wirtualnych z systemem Windows). Jeśli stan nie jest gotowy do użycia, zalecamy ponowne uruchomienie maszyn wirtualnych przed uszczelnieniem wpisów tajnych/kluczy do maszyny wirtualnej vTPM.

L.p. Po utworzeniu poufnej maszyny wirtualnej nie można dezaktywować ani ponownie uaktywnić szyfrowania na pełnym dysku. Zamiast tego utwórz nową poufne maszynę wirtualną.

Deweloperzy poszukujący dalszej "separacji obowiązków" dla usług TCB od dostawcy usług w chmurze powinni używać typu zabezpieczeń "NonPersistedTPM".

• To środowisko jest dostępne tylko w ramach publicznej wersji zapoznawczej intel TDX. Ma to zastrzeżenia do tego, organizacje, które go używają, lub świadczenia z nim usług są pod kontrolą TCB i obowiązków, które są wraz z nim.
• To środowisko pomija natywne usługi platformy Azure, co pozwala na korzystanie z własnego szyfrowania dysków, zarządzania kluczami i rozwiązania zaświadczania.
• Każda maszyna wirtualna nadal ma maszynę wirtualną vTPM, która powinna być używana do pobierania dowodów sprzętowych, jednak stan vTPM nie jest utrwalany podczas ponownego uruchamiania, co oznacza, że to rozwiązanie jest doskonałe dla efemerycznych obciążeń i organizacji poszukujących dalszego oddzielenia od dostawcy usług w chmurze.

L.p. Ze względów bezpieczeństwa należy utworzyć poufne maszyny wirtualne jako takie od samego początku.

Tak, konwertowanie z jednej poufnej maszyny wirtualnej na inną poufne maszyny wirtualnej jest dozwolone zarówno na maszynach DCasv5/ECasv5, jak i DCesv5/ECesv5 w regionach, które udostępniają. Jeśli używasz obrazu systemu Windows, upewnij się, że masz wszystkie najnowsze aktualizacje. Jeśli używasz obrazu systemu Ubuntu Linux, upewnij się, że używasz poufnego obrazu systemu Ubuntu 22.04 LTS z minimalną wersją 6.2.0-1011-azurejądra .

Upewnij się, że wybrano dostępny region dla poufnych maszyn wirtualnych. Upewnij się również, że zaznaczono zaznaczenie wszystkich filtrów w selektorze rozmiaru.

L.p. Poufne maszyny wirtualne nie obsługują przyspieszonej sieci. Nie można włączyć przyspieszonej sieci dla żadnego poufnego wdrożenia maszyny wirtualnej ani wdrożenia klastra usługi Azure Kubernetes Service działającego w ramach poufnego przetwarzania.

Być może nie można ukończyć operacji błędu , ponieważ powoduje przekroczenie zatwierdzonego standardowego limitu przydziału rdzeni rodziny DCasv5/ECasv5. Ten błąd szablonu usługi Azure Resource Manager (szablon usługi ARM) oznacza, że wdrożenie nie powiodło się z powodu braku rdzeni obliczeniowych platformy Azure. Subskrypcje bezpłatnej wersji próbnej platformy Azure nie mają wystarczającego limitu przydziału rdzeni dla poufnych maszyn wirtualnych. Utwórz wniosek o pomoc techniczną w celu zwiększenia limitu przydziału.

Serie ECasv5 i ECesv5 to zoptymalizowane pod kątem pamięci rozmiary maszyn wirtualnych, które oferują wyższy stosunek pamięci do procesora CPU. Te rozmiary są szczególnie odpowiednie dla serwerów relacyjnych baz danych, średnich i dużych pamięci podręcznych oraz analizy w pamięci.

L.p. Obecnie te maszyny wirtualne są dostępne tylko w wybranych regionach. Aby uzyskać bieżącą listę dostępnych regionów, zobacz Produkty maszyn wirtualnych według regionów.

Platforma Azure nie ma procedur operacyjnych dotyczących udzielania poufnych maszyn wirtualnych dostępu do swoich pracowników, nawet jeśli klient autoryzuje dostęp. W związku z tym różne scenariusze odzyskiwania i pomocy technicznej nie są dostępne dla poufnych maszyn wirtualnych.

Nie, poufne maszyny wirtualne nie obsługują obecnie wirtualizacji zagnieżdżonej, takiej jak możliwość uruchamiania funkcji hypervisor wewnątrz maszyny wirtualnej.

Rozliczenia dotyczące poufnych maszyn wirtualnych zależą od użycia i magazynu oraz rozmiaru i regionu maszyny wirtualnej. Poufne maszyny wirtualne używają małego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS) kilku megabajtów. Usługa VMGS hermetyzuje stan zabezpieczeń maszyny wirtualnej składników, takich jak moduł rozruchowy vTPM i UEFI. Ten dysk może spowodować miesięczną opłatę za magazyn. Ponadto jeśli zdecydujesz się włączyć opcjonalne szyfrowanie pełnodytowe, zaszyfrowane dyski systemu operacyjnego będą ponosić wyższe koszty. Aby uzyskać więcej informacji na temat opłat za magazyn, zobacz przewodnik cenowy dotyczący dysków zarządzanych. Ponadto w przypadku niektórych ustawień o wysokim poziomie zabezpieczeń i prywatności możesz utworzyć połączone zasoby, takie jak zarządzana pula modułów HSM. Platforma Azure rozlicza takie zasoby oddzielnie od poufnych kosztów maszyn wirtualnych.

Rzadko niektóre maszyny wirtualne serii DCesv5/ECesv5 mogą mieć niewielką różnicę czasu od czasu UTC. Długoterminowa poprawka będzie dostępna wkrótce. W międzyczasie poniżej przedstawiono obejścia maszyn wirtualnych z systemami Windows i Ubuntu Linux:

sc config vmictimesync start=disabled
sc stop vmictimesync

W przypadku obrazów systemu Ubuntu Linux uruchom następujący skrypt:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service