Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Maszyny wirtualne Azure oferują silne zabezpieczenia oraz poufność dla użytkowników. Tworzą one wymuszoną sprzętowo granicę między aplikacją a stosem wirtualizacji. Można ich używać do migracji do chmury bez modyfikowania kodu, a platforma zapewnia ochronę stanu maszyny wirtualnej.
Ważne
Poziomy ochrony różnią się w zależności od konfiguracji i preferencji. Na przykład firma Microsoft może posiadać klucze szyfrowania lub zarządzać nimi w celu zwiększenia wygody bez dodatkowych kosztów.
Microsoft Mechanics
Korzyści z poufnych maszyn wirtualnych
- Niezawodna izolacja sprzętowa między maszynami wirtualnymi, funkcją hypervisor i kodem zarządzania hostami.
- Dostosowywalne zasady zaświadczania w celu zapewnienia zgodności hosta przed wdrożeniem.
- Poufne szyfrowanie dysków systemu operacyjnego w chmurze przed pierwszym rozruchem.
- Klucze szyfrowania maszyn wirtualnych, którymi opcjonalnie zarządza i które posiada platforma lub klient.
- Bezpieczne wydanie klucza za pomocą powiązania kryptograficznego między pomyślnym zaświadczeniem platformy a kluczami szyfrowania maszyny wirtualnej.
- Przeznaczone wystąpienie wirtualnego modułu zaufanej platformy (TPM) na potrzeby uwierzytelniania i ochrony kluczy oraz tajemnic w maszynie wirtualnej.
- Funkcja bezpiecznego rozruchu podobna do zaufanego uruchamiania maszyn wirtualnych platformy Azure
Poufne szyfrowanie dysków systemu operacyjnego
Poufne maszyny wirtualne platformy Azure oferują nowy i rozszerzony schemat szyfrowania dysków. Ten schemat chroni wszystkie krytyczne partycje dysku. Wiąże również klucze szyfrowania dysków z modułem TPM maszyny wirtualnej i udostępnia chronioną zawartość dysku tylko maszynie wirtualnej. Te klucze szyfrowania mogą bezpiecznie pomijać składniki platformy Azure, w tym funkcję hypervisor i system operacyjny hosta. Aby zminimalizować potencjał ataku, dedykowana i oddzielna usługa w chmurze szyfruje również dysk podczas początkowego tworzenia maszyny wirtualnej.
Jeśli platforma obliczeniowa nie ma krytycznych ustawień izolacji maszyny wirtualnej, zaświadczenie platformy Azure nie będzie świadczyć o kondycji platformy podczas rozruchu i uniemożliwi uruchomienie maszyny wirtualnej. Ten scenariusz występuje, jeśli na przykład nie włączono protokołu SEV-SNP.
Poufne szyfrowanie dysków systemu operacyjnego jest opcjonalne, ponieważ ten proces może wydłużyć początkowy czas tworzenia maszyny wirtualnej. Do wyboru są następujące opcje:
- Poufna maszyna wirtualna z szyfrowaniem dysku systemu operacyjnego w trybie poufnym przed wdrożeniem, korzystająca z kluczy zarządzanych przez platformę (PMK) lub klucza zarządzanego przez klienta (CMK).
- Poufna maszyna wirtualna bez poufnego szyfrowania dysku systemu operacyjnego przed wdrożeniem maszyny wirtualnej.
Aby zapewnić dalszą integralność i ochronę, poufne maszyny wirtualne oferują bezpieczny rozruch domyślnie po wybraniu poufnego szyfrowania dysku systemu operacyjnego.
W przypadku bezpiecznego rozruchu zaufani wydawcy muszą podpisać składniki rozruchu systemu operacyjnego (w tym bootloader, jądro i sterowniki jądra). Wszystkie zgodne poufne obrazy maszyn wirtualnych obsługują bezpieczny rozruch.
Poufne szyfrowanie dysku tymczasowego
Można również rozszerzyć ochronę szyfrowania dysków poufnych na dysk tymczasowy. Umożliwiamy to dzięki wykorzystaniu technologii szyfrowania klucza symetrycznego w maszynie wirtualnej, po dołączeniu dysku do CVM.
Dysk tymczasowy zapewnia szybki, lokalny i krótkoterminowy magazyn dla aplikacji i procesów. Ma ona na celu przechowywanie tylko danych, takich jak pliki stron, pliki dziennika, dane buforowane i inne typy danych tymczasowych. Dyski tymczasowe na CVM zawierają plik strony, znany również jako plik wymiany, który może zawierać poufne dane. Bez szyfrowania dane na tych dyskach mogą być dostępne dla hosta. Po włączeniu tej funkcji dane na dyskach tymczasowych nie są już widoczne dla hosta.
Tę funkcję można włączyć za pomocą procesu zgody. Więcej informacji zawiera dokumentacja.
Różnice cen szyfrowania
Poufne maszyny wirtualne platformy Azure używają zarówno dysku systemu operacyjnego, jak i małego, kilkomegabajtowego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS). Dysk usługi VMGS zawiera stan zabezpieczeń składników maszyny wirtualnej. Niektóre składniki obejmują moduł rozruchowy vTPM i UEFI. Mały dysk VMGS może wiązać się z miesięcznymi kosztami magazynowania.
Od lipca 2022 r. zaszyfrowane dyski systemu operacyjnego będą ponosić wyższe koszty. Aby uzyskać więcej informacji, zobacz przewodnik cenowy dotyczący dysków zarządzanych.
Zaświadczenie i moduł TPM
Poufne maszyny wirtualne platformy Azure są uruchamiane dopiero po pomyślnym zaświadczaniu o krytycznych składnikach i ustawieniach zabezpieczeń platformy. Raport zaświadczania obejmuje:
- Podpisany raport zaświadczania
- Ustawienia rozruchu platformy
- Pomiary oprogramowania układowego platformy
- Pomiary systemu operacyjnego
Możesz zainicjować żądanie atestacji w poufnej maszynie wirtualnej, aby sprawdzić, czy uruchamiają one instancję sprzętową z włączonymi procesorami AMD SEV-SNP lub Intel TDX. Aby uzyskać więcej informacji, zobacz Atestacja poufnych maszyn wirtualnych dla gości na platformie Azure.
Poufne maszyny wirtualne platformy Azure oferują wirtualny moduł TPM (vTPM) dla maszyn wirtualnych platformy Azure. VTPM to zwirtualizowana wersja sprzętowego modułu TPM i jest zgodna ze specyfikacją modułu TPM 2.0. Maszynę wirtualną vTPM można używać jako dedykowanego, bezpiecznego magazynu dla kluczy i pomiarów. Poufne maszyny wirtualne mają własne dedykowane wystąpienie vTPM, które działa w bezpiecznym środowisku, poza zasięgiem jakiejkolwiek maszyny wirtualnej.
Ograniczenia
Istnieją następujące ograniczenia dotyczące poufnych maszyn wirtualnych. Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące poufnych maszyn wirtualnych.
Obsługa rozmiaru
Poufne maszyny wirtualne obsługują następujące rozmiary maszyn wirtualnych:
- Ogólnego przeznaczenia bez dysku lokalnego: seria DCasv5 i DCesv5
- Ogólnego przeznaczenia z dyskiem lokalnym: seria DCadsv5 i DCedsv5
- Zoptymalizowane pod kątem pamięci bez dysku lokalnego: seria ECasv5, seria ECesv5
- Pamięć zoptymalizowana pod kątem dysku lokalnego: seria ECadsv5, seria ECedsv5
- GPU firmy NVIDIA H100 Tensor Core z serii NCCadsH100v5
Obsługa systemu operacyjnego
Obrazy systemu operacyjnego dla poufnych maszyn wirtualnych muszą spełniać określone wymagania dotyczące zabezpieczeń. Te kwalifikowane obrazy zostały zaprojektowane pod kątem obsługi opcjonalnego poufnego szyfrowania dysków systemu operacyjnego i zapewnienia izolacji od podstawowej infrastruktury chmury. Spełnienie tych wymagań pomaga chronić poufne dane i zachować integralność systemu.
Poufne maszyny wirtualne obsługują następujące opcje systemu operacyjnego:
| Linuxa | Klient z systemem Windows | Serwer z systemem Windows |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (TYLKO AMD SEV-SNP) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session | 2019 Server Core |
| 22.04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2019 Centrum danych |
| 24.04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session | 2022 Server Core |
| RHEL (Tech Preview) | Windows 10 | Edycja Azure 2022 |
| 9,4 | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2022 Azure Edition Core |
| 2022 Datacenter | ||
| SUSE (Tech Preview) | 2025 Rdzeń Serwera | |
| 15 SP5 (Intel TDX, AMD SEV-SNP) | 2025 Centrum Danych | |
| 15 SP5 dla SAP (Intel TDX, AMD SEV-SNP) | Edycja Azure 2025 | |
| 2025 Azure Edition Core | ||
| Skalisty | ||
| 9.4 |
Regionów
Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie dostępnym w określonych regionach maszyn wirtualnych.
Cennik
Ceny zależą od poufnego rozmiaru maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Kalkulator cen.
Obsługa funkcji
Poufne maszyny wirtualne nie obsługują:
- Azure Backup
- Azure Site Recovery
- Ograniczona obsługa galerii zasobów obliczeniowych platformy Azure
- Dyski udostępnione
- Accelerated Networking
- Migracja na żywo
- Zrzuty ekranu w obszarze diagnostyki rozruchu
- Pamięć dynamiczna
Następne kroki
Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące poufnej maszyny wirtualnej.