Udostępnij za pośrednictwem


Informacje o poufnych maszynach wirtualnych platformy Azure

Maszyny wirtualne Azure oferują silne zabezpieczenia oraz poufność dla użytkowników. Tworzą one wymuszoną sprzętowo granicę między aplikacją a stosem wirtualizacji. Można ich używać do migracji do chmury bez modyfikowania kodu, a platforma zapewnia ochronę stanu maszyny wirtualnej.

Ważne

Poziomy ochrony różnią się w zależności od konfiguracji i preferencji. Na przykład firma Microsoft może posiadać klucze szyfrowania lub zarządzać nimi w celu zwiększenia wygody bez dodatkowych kosztów.

Microsoft Mechanics

Korzyści z poufnych maszyn wirtualnych

  • Niezawodna izolacja sprzętowa między maszynami wirtualnymi, funkcją hypervisor i kodem zarządzania hostami.
  • Dostosowywalne zasady zaświadczania w celu zapewnienia zgodności hosta przed wdrożeniem.
  • Poufne szyfrowanie dysków systemu operacyjnego w chmurze przed pierwszym rozruchem.
  • Klucze szyfrowania maszyn wirtualnych, którymi opcjonalnie zarządza i które posiada platforma lub klient.
  • Bezpieczne wydanie klucza za pomocą powiązania kryptograficznego między pomyślnym zaświadczeniem platformy a kluczami szyfrowania maszyny wirtualnej.
  • Przeznaczone wystąpienie wirtualnego modułu zaufanej platformy (TPM) na potrzeby uwierzytelniania i ochrony kluczy oraz tajemnic w maszynie wirtualnej.
  • Funkcja bezpiecznego rozruchu podobna do zaufanego uruchamiania maszyn wirtualnych platformy Azure

Poufne szyfrowanie dysków systemu operacyjnego

Poufne maszyny wirtualne platformy Azure oferują nowy i rozszerzony schemat szyfrowania dysków. Ten schemat chroni wszystkie krytyczne partycje dysku. Wiąże również klucze szyfrowania dysków z modułem TPM maszyny wirtualnej i udostępnia chronioną zawartość dysku tylko maszynie wirtualnej. Te klucze szyfrowania mogą bezpiecznie pomijać składniki platformy Azure, w tym funkcję hypervisor i system operacyjny hosta. Aby zminimalizować potencjał ataku, dedykowana i oddzielna usługa w chmurze szyfruje również dysk podczas początkowego tworzenia maszyny wirtualnej.

Jeśli platforma obliczeniowa nie ma krytycznych ustawień izolacji maszyny wirtualnej, zaświadczenie platformy Azure nie będzie świadczyć o kondycji platformy podczas rozruchu i uniemożliwi uruchomienie maszyny wirtualnej. Ten scenariusz występuje, jeśli na przykład nie włączono protokołu SEV-SNP.

Poufne szyfrowanie dysków systemu operacyjnego jest opcjonalne, ponieważ ten proces może wydłużyć początkowy czas tworzenia maszyny wirtualnej. Do wyboru są następujące opcje:

  • Poufna maszyna wirtualna z szyfrowaniem dysku systemu operacyjnego w trybie poufnym przed wdrożeniem, korzystająca z kluczy zarządzanych przez platformę (PMK) lub klucza zarządzanego przez klienta (CMK).
  • Poufna maszyna wirtualna bez poufnego szyfrowania dysku systemu operacyjnego przed wdrożeniem maszyny wirtualnej.

Aby zapewnić dalszą integralność i ochronę, poufne maszyny wirtualne oferują bezpieczny rozruch domyślnie po wybraniu poufnego szyfrowania dysku systemu operacyjnego.

W przypadku bezpiecznego rozruchu zaufani wydawcy muszą podpisać składniki rozruchu systemu operacyjnego (w tym bootloader, jądro i sterowniki jądra). Wszystkie zgodne poufne obrazy maszyn wirtualnych obsługują bezpieczny rozruch.

Poufne szyfrowanie dysku tymczasowego

Można również rozszerzyć ochronę szyfrowania dysków poufnych na dysk tymczasowy. Umożliwiamy to dzięki wykorzystaniu technologii szyfrowania klucza symetrycznego w maszynie wirtualnej, po dołączeniu dysku do CVM.

Dysk tymczasowy zapewnia szybki, lokalny i krótkoterminowy magazyn dla aplikacji i procesów. Ma ona na celu przechowywanie tylko danych, takich jak pliki stron, pliki dziennika, dane buforowane i inne typy danych tymczasowych. Dyski tymczasowe na CVM zawierają plik strony, znany również jako plik wymiany, który może zawierać poufne dane. Bez szyfrowania dane na tych dyskach mogą być dostępne dla hosta. Po włączeniu tej funkcji dane na dyskach tymczasowych nie są już widoczne dla hosta.

Tę funkcję można włączyć za pomocą procesu zgody. Więcej informacji zawiera dokumentacja.

Różnice cen szyfrowania

Poufne maszyny wirtualne platformy Azure używają zarówno dysku systemu operacyjnego, jak i małego, kilkomegabajtowego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS). Dysk usługi VMGS zawiera stan zabezpieczeń składników maszyny wirtualnej. Niektóre składniki obejmują moduł rozruchowy vTPM i UEFI. Mały dysk VMGS może wiązać się z miesięcznymi kosztami magazynowania.

Od lipca 2022 r. zaszyfrowane dyski systemu operacyjnego będą ponosić wyższe koszty. Aby uzyskać więcej informacji, zobacz przewodnik cenowy dotyczący dysków zarządzanych.

Zaświadczenie i moduł TPM

Poufne maszyny wirtualne platformy Azure są uruchamiane dopiero po pomyślnym zaświadczaniu o krytycznych składnikach i ustawieniach zabezpieczeń platformy. Raport zaświadczania obejmuje:

  • Podpisany raport zaświadczania
  • Ustawienia rozruchu platformy
  • Pomiary oprogramowania układowego platformy
  • Pomiary systemu operacyjnego

Możesz zainicjować żądanie atestacji w poufnej maszynie wirtualnej, aby sprawdzić, czy uruchamiają one instancję sprzętową z włączonymi procesorami AMD SEV-SNP lub Intel TDX. Aby uzyskać więcej informacji, zobacz Atestacja poufnych maszyn wirtualnych dla gości na platformie Azure.

Poufne maszyny wirtualne platformy Azure oferują wirtualny moduł TPM (vTPM) dla maszyn wirtualnych platformy Azure. VTPM to zwirtualizowana wersja sprzętowego modułu TPM i jest zgodna ze specyfikacją modułu TPM 2.0. Maszynę wirtualną vTPM można używać jako dedykowanego, bezpiecznego magazynu dla kluczy i pomiarów. Poufne maszyny wirtualne mają własne dedykowane wystąpienie vTPM, które działa w bezpiecznym środowisku, poza zasięgiem jakiejkolwiek maszyny wirtualnej.

Ograniczenia

Istnieją następujące ograniczenia dotyczące poufnych maszyn wirtualnych. Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące poufnych maszyn wirtualnych.

Obsługa rozmiaru

Poufne maszyny wirtualne obsługują następujące rozmiary maszyn wirtualnych:

  • Ogólnego przeznaczenia bez dysku lokalnego: seria DCasv5 i DCesv5
  • Ogólnego przeznaczenia z dyskiem lokalnym: seria DCadsv5 i DCedsv5
  • Zoptymalizowane pod kątem pamięci bez dysku lokalnego: seria ECasv5, seria ECesv5
  • Pamięć zoptymalizowana pod kątem dysku lokalnego: seria ECadsv5, seria ECedsv5
  • GPU firmy NVIDIA H100 Tensor Core z serii NCCadsH100v5

Obsługa systemu operacyjnego

Obrazy systemu operacyjnego dla poufnych maszyn wirtualnych muszą spełniać określone wymagania dotyczące zabezpieczeń. Te kwalifikowane obrazy zostały zaprojektowane pod kątem obsługi opcjonalnego poufnego szyfrowania dysków systemu operacyjnego i zapewnienia izolacji od podstawowej infrastruktury chmury. Spełnienie tych wymagań pomaga chronić poufne dane i zachować integralność systemu.

Poufne maszyny wirtualne obsługują następujące opcje systemu operacyjnego:

Linuxa Klient z systemem Windows Serwer z systemem Windows
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (TYLKO AMD SEV-SNP) 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session 2019 Server Core
22.04 LTS 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session 2019 Centrum danych
24.04 LTS 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session 2022 Server Core
RHEL (Tech Preview) Windows 10 Edycja Azure 2022
9,4 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session 2022 Azure Edition Core
2022 Datacenter
SUSE (Tech Preview) 2025 Rdzeń Serwera
15 SP5 (Intel TDX, AMD SEV-SNP) 2025 Centrum Danych
15 SP5 dla SAP (Intel TDX, AMD SEV-SNP) Edycja Azure 2025
2025 Azure Edition Core
Skalisty
9.4

Regionów

Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie dostępnym w określonych regionach maszyn wirtualnych.

Cennik

Ceny zależą od poufnego rozmiaru maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Kalkulator cen.

Obsługa funkcji

Poufne maszyny wirtualne nie obsługują:

Następne kroki

Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące poufnej maszyny wirtualnej.