Poufne maszyny wirtualne serii DCasv5 i ECasv5

Poufne przetwarzanie na platformie Azure oferuje poufne maszyny wirtualne oparte na procesorach AMD z technologią SEV-SNP. Poufne maszyny wirtualne są przeznaczone dla dzierżaw z wysokimi wymaganiami dotyczącymi zabezpieczeń i poufności. Te maszyny wirtualne zapewniają silną, wymuszoną sprzętowo granicę, która pomaga spełnić potrzeby związane z zabezpieczeniami. Na potrzeby migracji można używać poufnych maszyn wirtualnych bez wprowadzania zmian w kodzie, a platforma chroni stan maszyny wirtualnej przed odczytem lub modyfikacją.

Ważne

Poziomy ochrony różnią się w zależności od konfiguracji i preferencji. Na przykład firma Microsoft może być właścicielem kluczy szyfrowania lub zarządzać nimi, aby zwiększyć wygodę bez dodatkowych kosztów.

Korzyści

Oto niektóre zalety poufnych maszyn wirtualnych:

  • Niezawodna izolacja oparta na sprzęcie między maszynami wirtualnymi, funkcją hypervisor i kodem zarządzania hostem.
  • Dostosowywalne zasady zaświadczania w celu zapewnienia zgodności hosta przed wdrożeniem.
  • Poufne szyfrowanie dysków systemu operacyjnego w chmurze przed pierwszym rozruchem.
  • Klucze szyfrowania maszyny wirtualnej, które platforma lub klient (opcjonalnie) są właścicielami i zarządzają nimi.
  • Bezpieczne wydanie klucza za pomocą powiązania kryptograficznego między pomyślnym zaświadczeniem platformy a kluczami szyfrowania maszyny wirtualnej.
  • Dedykowane wystąpienie modułu TPM (Virtual Trusted Platform Module) na potrzeby zaświadczania i ochrony kluczy i wpisów tajnych na maszynie wirtualnej.
  • Funkcja bezpiecznego rozruchu podobna do zaufanego uruchamiania maszyn wirtualnych platformy Azure

Poufne szyfrowanie dysków systemu operacyjnego

Poufne maszyny wirtualne platformy Azure oferują nowy i rozszerzony schemat szyfrowania dysków. Ten schemat chroni wszystkie krytyczne partycje dysku. Wiąże również klucze szyfrowania dysków z modułem TPM maszyny wirtualnej i sprawia, że chroniona zawartość dysku jest dostępna tylko dla maszyny wirtualnej. Te klucze szyfrowania mogą bezpiecznie pomijać składniki platformy Azure, w tym funkcję hypervisor i system operacyjny hosta. Aby zminimalizować potencjalny atak, dedykowana i oddzielna usługa w chmurze szyfruje również dysk podczas początkowego tworzenia maszyny wirtualnej.

Jeśli platforma obliczeniowa nie ma ustawień krytycznych dla izolacji maszyny wirtualnej, podczas rozruchu Azure Attestation nie będzie świadczyć o kondycji platformy. Uniemożliwi to uruchomienie maszyny wirtualnej. Na przykład ten scenariusz występuje, jeśli nie włączono protokołu SEV-SNP.

Poufne szyfrowanie dysków systemu operacyjnego jest opcjonalne, ponieważ ten proces może wydłużyć początkowy czas tworzenia maszyny wirtualnej. Do wyboru są następujące opcje:

  • Poufne maszyny wirtualnej z szyfrowaniem poufnych dysków systemu operacyjnego przed wdrożeniem maszyny wirtualnej korzystającej z kluczy zarządzanych przez platformę (PMK) lub klucza zarządzanego przez klienta (CMK).
  • Poufna maszyna wirtualna bez poufnego szyfrowania dysków systemu operacyjnego przed wdrożeniem maszyny wirtualnej.

Aby zapewnić dalszą integralność i ochronę, poufne maszyny wirtualne domyślnie oferują bezpieczny rozruch po wybraniu poufnego szyfrowania dysku systemu operacyjnego. W przypadku bezpiecznego rozruchu zaufany wydawcy muszą podpisać składniki rozruchu systemu operacyjnego (w tym moduł ładujący rozruchu, jądro i sterowniki jądra). Wszystkie zgodne poufne obrazy maszyn wirtualnych obsługują bezpieczny rozruch.

Różnice cen szyfrowania

Poufne maszyny wirtualne platformy Azure używają zarówno dysku systemu operacyjnego, jak i małego zaszyfrowanego dysku stanu gościa maszyny wirtualnej (VMGS) kilku megabajtów. Dysk usługi VMGS zawiera stan zabezpieczeń składników maszyny wirtualnej. Niektóre składniki obejmują moduł rozruchowy vTPM i UEFI. Mały dysk usługi VMGS może spowodować naliczanie miesięcznych kosztów magazynowania.

Od lipca 2022 r. zaszyfrowane dyski systemu operacyjnego będą ponosić wyższe koszty. Ta zmiana wynika z tego, że zaszyfrowane dyski systemu operacyjnego używają więcej miejsca, a kompresja nie jest możliwa. Aby uzyskać więcej informacji, zobacz przewodnik po cenach dysków zarządzanych.

Zaświadczenie i moduł TPM

Poufne maszyny wirtualne platformy Azure są uruchamiane dopiero po pomyślnym zaświadczaniu o krytycznych składnikach i ustawieniach zabezpieczeń platformy. Raport zaświadczania obejmuje:

  • Podpisany raport zaświadczania wydany przez AMD SEV-SNP
  • Ustawienia rozruchu platformy
  • Pomiary oprogramowania układowego platformy
  • Pomiary systemu operacyjnego

Możesz zainicjować żądanie zaświadczania wewnątrz poufnej maszyny wirtualnej, aby sprawdzić, czy poufne maszyny wirtualne uruchamiają wystąpienie sprzętowe z procesorami z obsługą protokołu AMD SEV-SNP. Aby uzyskać więcej informacji, zobacz Zaświadczenie gościa poufnej maszyny wirtualnej platformy Azure.

Poufne maszyny wirtualne platformy Azure oferują wirtualny moduł TPM (vTPM) dla maszyn wirtualnych platformy Azure. VTPM to zwirtualizowana wersja sprzętowego modułu TPM i jest zgodna ze specyfikacją TPM2.0. Możesz użyć maszyny wirtualnej vTPM jako dedykowanego, bezpiecznego magazynu dla kluczy i pomiarów. Poufne maszyny wirtualne mają własne dedykowane wystąpienie vTPM, które działa w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej.

Ograniczenia

Istnieją następujące ograniczenia dotyczące poufnych maszyn wirtualnych. Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące poufnych maszyn wirtualnych z procesorami AMD.

Obsługa rozmiaru

Poufne maszyny wirtualne obsługują następujące rozmiary maszyn wirtualnych:

  • Seria DCasv5
  • Seria DCadsv5
  • Seria ECasv5
  • Seria ECadsv5

Aby uzyskać więcej informacji, zobacz opcje wdrażania FIRMY AMD.

Obsługa systemu operacyjnego

Poufne maszyny wirtualne obsługują następujące opcje systemu operacyjnego:

  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Windows Server 2019
  • Windows Server 2022

Regiony

Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie dostępnym w określonych regionach maszyn wirtualnych.

Cennik

Ceny zależą od poufnego rozmiaru maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Kalkulator cen.

Obsługa funkcji

Poufne maszyny wirtualne nie obsługują:

  • Usługa Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Azure Dedicated Host
  • Usługa Microsoft Azure Virtual Machine Scale Sets z włączonym szyfrowaniem poufnych dysków systemu operacyjnego
  • Ograniczona obsługa usługi Azure Compute Gallery
  • Dyski udostępnione
  • Dyski w warstwie Ultra
  • Accelerated Networking
  • Migracja na żywo
  • Zrzuty ekranu w obszarze diagnostyki rozruchu

Następne kroki