Poufne maszyny wirtualne serii DCasv5 i ECasv5
Poufne przetwarzanie na platformie Azure oferuje poufne maszyny wirtualne oparte na procesorach AMD z technologią SEV-SNP. Poufne maszyny wirtualne są przeznaczone dla dzierżaw z wysokimi wymaganiami dotyczącymi zabezpieczeń i poufności. Te maszyny wirtualne zapewniają silną, wymuszaną przez sprzęt granicę, która pomaga spełnić potrzeby związane z zabezpieczeniami. Poufne maszyny wirtualne można używać do migracji bez wprowadzania zmian w kodzie, a platforma chroni stan maszyny wirtualnej przed odczytywaniem lub modyfikowaniem.
Ważne
Poziomy ochrony różnią się w zależności od konfiguracji i preferencji. Na przykład firma Microsoft może posiadać klucze szyfrowania lub zarządzać nimi w celu zwiększenia wygody bez dodatkowych kosztów.
Korzyści
Oto niektóre zalety poufnych maszyn wirtualnych:
- Niezawodna izolacja oparta na sprzęcie między maszynami wirtualnymi, funkcją hypervisor i kodem zarządzania hostami.
- Dostosowywalne zasady zaświadczania w celu zapewnienia zgodności hosta przed wdrożeniem.
- Poufne szyfrowanie dysku systemu operacyjnego w chmurze przed pierwszym rozruchem.
- Klucze szyfrowania maszyn wirtualnych, które platforma lub klient (opcjonalnie) są właścicielami i zarządzają nimi.
- Bezpieczne wydanie klucza za pomocą powiązania kryptograficznego między pomyślnym zaświadczeniem platformy a kluczami szyfrowania maszyny wirtualnej.
- Dedykowane wystąpienie modułu TPM (Virtual Trusted Platform Module) na potrzeby zaświadczania i ochrony kluczy i wpisów tajnych na maszynie wirtualnej.
- Bezpieczna funkcja rozruchu podobna do zaufanej uruchamiania maszyn wirtualnych platformy Azure
Poufne szyfrowanie dysków systemu operacyjnego
Poufne maszyny wirtualne platformy Azure oferują nowy i rozszerzony schemat szyfrowania dysków. Ten schemat chroni wszystkie krytyczne partycje dysku. Wiąże również klucze szyfrowania dysków z modułem TPM maszyny wirtualnej i udostępnia zawartość dysku chronionego tylko maszynie wirtualnej. Te klucze szyfrowania mogą bezpiecznie pomijać składniki platformy Azure, w tym funkcję hypervisor i system operacyjny hosta. Aby zminimalizować potencjał ataku, dedykowana i oddzielna usługa w chmurze szyfruje również dysk podczas początkowego tworzenia maszyny wirtualnej.
Jeśli platforma obliczeniowa nie ma ustawień krytycznych dla izolacji maszyny wirtualnej, podczas rozruchu Azure Attestation nie będzie zaświadczać o kondycji platformy. Uniemożliwi to uruchomienie maszyny wirtualnej. Na przykład ten scenariusz występuje, jeśli nie włączono protokołu SEV-SNP.
Poufne szyfrowanie dysków systemu operacyjnego jest opcjonalne, ponieważ ten proces może wydłużyć początkowy czas tworzenia maszyny wirtualnej. Do wyboru są następujące opcje:
- Poufne maszyny wirtualnej z poufnym szyfrowaniem dysku systemu operacyjnego przed wdrożeniem maszyny wirtualnej korzystającej z kluczy zarządzanych przez platformę (PMK) lub klucza zarządzanego przez klienta (CMK).
- Poufne maszyny wirtualnej bez poufnego szyfrowania dysków systemu operacyjnego przed wdrożeniem maszyny wirtualnej.
Aby zapewnić dalszą integralność i ochronę, poufne maszyny wirtualne domyślnie oferują bezpieczny rozruch po wybraniu poufnego szyfrowania dysków systemu operacyjnego. W przypadku bezpiecznego rozruchu zaufane wydawcy muszą podpisać składniki rozruchu systemu operacyjnego (w tym moduł ładujący rozruch, jądro i sterowniki jądra). Wszystkie zgodne poufne obrazy maszyn wirtualnych obsługują bezpieczny rozruch.
Różnice cenowe szyfrowania
Poufne maszyny wirtualne platformy Azure używają zarówno dysku systemu operacyjnego, jak i dysku o małym zaszyfrowanym stanie gościa maszyny wirtualnej (VMGS) kilku megabajtów. Dysk vmGS zawiera stan zabezpieczeń składników maszyny wirtualnej. Niektóre składniki to vTPM i bootloader UEFI. Mały dysk VMGS może ponieść miesięczny koszt magazynowania.
Od lipca 2022 r. zaszyfrowane dyski systemu operacyjnego będą ponosić wyższe koszty. Ta zmiana jest taka, ponieważ zaszyfrowane dyski systemu operacyjnego używają więcej miejsca, a kompresja nie jest możliwa. Aby uzyskać więcej informacji, zobacz przewodnik cenowy dotyczący dysków zarządzanych.
Zaświadczania i modułu TPM
Poufne maszyny wirtualne platformy Azure są uruchamiane dopiero po pomyślnym zaświadczaniu o krytycznych składnikach i ustawieniach zabezpieczeń platformy. Raport zaświadczania obejmuje:
- Podpisany raport zaświadczania wydany przez AMD SEV-SNP
- Ustawienia rozruchu platformy
- Pomiary oprogramowania układowego platformy
- Pomiary systemu operacyjnego
Możesz zainicjować żądanie zaświadczania wewnątrz poufnej maszyny wirtualnej, aby sprawdzić, czy poufne maszyny wirtualne uruchamiają wystąpienie sprzętowe z procesorami z włączonymi procesorami AMD SEV-SNP. Aby uzyskać więcej informacji, zobacz Zaświadczenie gościa poufne maszyny wirtualnej platformy Azure.
Poufne maszyny wirtualne platformy Azure oferują wirtualny moduł TPM (vTPM) dla maszyn wirtualnych platformy Azure. VTPM to zwirtualizowana wersja sprzętowego modułu TPM i jest zgodna ze specyfikacją TPM2.0. Możesz użyć maszyny wirtualnej vTPM jako dedykowanego, bezpiecznego magazynu dla kluczy i pomiarów. Poufne maszyny wirtualne mają własne dedykowane wystąpienie vTPM, które działa w bezpiecznym środowisku poza zasięgiem dowolnej maszyny wirtualnej.
Ograniczenia
Istnieją następujące ograniczenia dotyczące poufnych maszyn wirtualnych. Aby uzyskać często zadawane pytania, zobacz Często zadawane pytania dotyczące poufnych maszyn wirtualnych z procesorami AMD.
Obsługa rozmiaru
Poufne maszyny wirtualne obsługują następujące rozmiary maszyn wirtualnych:
- Seria DCasv5
- Seria DCadsv5
- Seria ECasv5
- Seria ECadsv5
Aby uzyskać więcej informacji, zobacz opcje wdrażania AMD.
Obsługa systemu operacyjnego
Poufne maszyny wirtualne obsługują następujące opcje systemu operacyjnego:
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Windows Server 2019 Datacenter — x64 Gen 2
- Windows Server 2019 Datacenter Server Core — x64 Gen 2
- Windows Server 2022 Datacenter — x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core — x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition — x64 Gen 2
- Windows Server 2022 Datacenter Server Core — x64 Gen 2
- Windows 11 Enterprise N, wersja 22H2 -x64 Gen 2
- Windows 11 Pro, wersja 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro, wersja 22H2 -x64 Gen 2
- Windows 11 Pro N, wersja 22H2 -x64 Gen 2
- Windows 11 Enterprise, wersja 22H2 -x64 Gen 2
- Windows 11 Enterprise wielu sesji, wersja 22H2 -x64 Gen 2
Regiony
Poufne maszyny wirtualne działają na wyspecjalizowanym sprzęcie dostępnym w określonych regionach maszyn wirtualnych.
Cennik
Ceny zależą od poufnego rozmiaru maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Kalkulator cen.
Obsługa funkcji
Poufne maszyny wirtualne nie obsługują:
- Usługa Azure Batch
- Azure Backup
- Azure Site Recovery
- Azure Dedicated Host
- Usługa Microsoft Azure Virtual Machine Scale Sets z włączonym poufnym szyfrowaniem dysków systemu operacyjnego
- Ograniczona obsługa galerii obliczeń platformy Azure
- Dyski udostępnione
- Dyski w warstwie Ultra
- Accelerated Networking
- Migracja na żywo
- Zrzuty ekranu w obszarze diagnostyki rozruchu