Compartilhar via

Início Rápido: Criar uma VM Intel SGX no portal do Azure

  • Artigo

Este tutorial orienta você pelo processo de implantação de VMs de Intel SGX com o portal do Azure. Caso contrário, recomendamos os seguintes modelos do Azure Marketplace.

Pré-requisitos

Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.

Observação

As contas de avaliação gratuita não têm acesso às VMs usadas neste tutorial. Atualize para uma assinatura de Pagamento Conforme o Uso.

Entrar no Azure

  1. Entre no Portal do Azure.

  2. Na parte superior, selecione Criar um recurso.

  3. No painel do lado esquerdo, selecione Computação.

  4. Selecione Criar máquina virtual.

    Implantar uma máquina virtual

Configurar uma máquina virtual Intel SGX

  1. Na guia Informações Básicas, selecione a Assinatura e o Grupo de Recursos.

  2. Em Nome da máquina virtual, insira um nome para a nova VM.

  3. Digite ou selecione os valores a seguir:

    • Região: Selecione a região do Azure ideal para você.

      Observação

      As VMs Intel SGX são executadas em hardware especializado em regiões específicas. Para ver a disponibilidade regional mais recente, procure a série DCsv2 ou DCsv3/DCdsv3 em regiões disponíveis.

  4. Configure a imagem do sistema operacional que você deseja usar para sua máquina virtual.

    • Escolher imagem: neste tutorial, selecione Ubuntu 20.04 LTS (Gen 2). Você também pode selecionar Ubuntu 18.04 LTS (Gen2) ou Windows Server 2019.

    • Atualização para a geração 2: abaixo da imagem, selecione Configurar geração de VM, em saída e, em seguida, selecione Geração 2.

      image

  5. Escolha uma máquina virtual com recursos do Intel SGX clicando em + Adicionar filtro para criar um filtro, selecione Tipo para Tipo de filtro e marque apenas Computação confidencial na lista na próxima lista suspensa.

    VMs da série DCsv2

    Dica

    Você deve ver os tamanhos DC(number)s_v2, DC(number)s_v3 e DC(number)ds_v3. Saiba mais.

  6. Preencha as seguintes informações:

    • Tipo de autenticação: Selecione Chave pública SSH se você estiver criando uma VM do Linux.

      Observação

      Você tem a opção de usar uma chave pública SSH ou uma senha para autenticação. SSH é mais seguro. Para obter instruções sobre como gerar uma chave SSH, confira Criar chaves SSH em Linux e Mac para VMs Linux no Azure.

    • Nome de usuário: Insira o nome do Administrador da VM.

    • Chave pública SSH: Se aplicável, insira a chave pública RSA.

    • Senha: Se aplicável, insira sua senha para autenticação.

    • Porta de entrada públicas: Escolha Permitir portas selecionadas e selecione SSH (22) e HTTP (80) na lista Selecionar portas de entrada públicas. Se você estiver implantando uma VM do Windows, selecione HTTP (80) e RDP (3389) .

    Observação

    A permissão de portas RDP/SSH não é recomendada para implantações de produção.

    Portas de entrada

  7. Faça alterações na guia Discos.

    • A série DCsv2 é compatível com o SSD Standard, já o SSD Premium tem compatibilidade com DC1, DC2 e DC4.
    • As séries DCsv3 e DCdsv3 são compatíveis com o SSD Standard, SSD Premium e Disco Ultra.

  8. Faça as alterações desejadas nas configurações nas guias a seguir ou mantenha as configurações padrão.

    • Rede
    • Gerenciamento
    • Configuração de convidado
    • Marcas

  9. Selecione Examinar + criar.

  10. No painel Examinar + criar, selecione Criar.

Observação

Vá para a próxima seção e continue com este tutorial se você tiver implantado uma VM do Linux. Se você implantou uma VM do Windows, siga estas etapas para se conectar à sua VM do Windows e, em seguida, instale o SDK do OE no Windows.

Conectar-se à VM do Linux

Abra o cliente SSH de sua escolha como, por exemplo, Bash no Linux ou PowerShell no Windows. O comando ssh normalmente está incluído no Linux, macOS e Windows. Se você estiver usando o Windows 7 ou anterior, em que o OpenSSH do Win32 não está incluído por padrão, considere instalar o WSL ou usar o Azure Cloud Shell no navegador. No comando a seguir, substitua o nome de usuário da VM e o endereço IP para se conectar à VM Linux.

ssh azureadmin@40.55.55.555

Você pode localizar o endereço IP público da VM no portal do Azure, na seção Visão geral da máquina virtual.

Endereço IP no portal do Azure

Para saber mais sobre como se conectar às VMs Linux, confira Criar uma VM Linux no Azure usando o Portal.

Instalar o cliente do Azure DCAP

O DCAP (Data Center Attestation Primitives) do Azure, um substituto da QPL (Quote Provider Library) da Intel, busca garantias de geração de cotação e garantias de validação de cotação diretamente do Serviço THIM.

O serviço THIM (Gerenciamento de Identidades de Hardware Confiável) manipula o gerenciamento de cache de certificados de todos os TEE (Ambientes de Execução Confiável) que residem no Azure e fornecem as informações de TCB (Base Computacional Confiável) para impor uma linha de base mínima para soluções de atestado.

As séries DCsv3 e DCdsv3 só dão suporte a Atestado baseado em ECDSA, e os usuários são obrigados a instalar o cliente Azure DCAP para interagir com o THIM e buscar o material de apoio do TEE para a geração de cota durante o processo de atestado. A DCsv2 continua a dar suporte ao Atestado baseado em EPID.

Limpar os recursos

Quando o grupo de recursos, a máquina virtual e todos os recursos relacionados não forem mais necessários, exclua-os.

Selecione o grupo de recursos da máquina virtual e, em seguida, selecione Excluir. Confirme o nome do grupo de recursos terminar de excluir os recursos.

Próximas etapas

Neste guia de início rápido, você implantou e se conectou à sua VM Intel SGX. Para saber mais, confira Soluções em Máquinas Virtuais.

Descubra como você pode criar aplicativos de computação confidenciais prosseguindo para os exemplos do Open Enclave SDK no GitHub.

Como criar amostras do Open Enclave SDK

O Atestado do Microsoft Azure é uma estrutura de atestado baseada em ECDSA e gratuita, cujo objetivo é verificar remotamente a confiabilidade de vários TEEs e a integridade dos binários em execução dentro dele. Saiba mais