Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As VMs confidenciais do Azure oferecem forte segurança e confidencialidade para os locatários. Eles criam uma fronteira imposta por hardware entre a sua aplicação e a pilha de virtualização. Você pode usá-los para migrações para a nuvem sem modificar seu código, e a plataforma garante que o estado da sua VM permaneça protegido.
Important
Os níveis de proteção diferem com base na sua configuração e preferências. Por exemplo, a Microsoft pode possuir ou gerenciar chaves de criptografia para maior conveniência sem custo adicional.
Mecânica da Microsoft
Benefícios confidenciais das VMs
- Isolamento robusto baseado em hardware entre máquinas virtuais, hipervisor e código de gerenciamento de host.
- Políticas de atestado personalizáveis para garantir a conformidade do host antes da implantação.
- Encriptação de disco confidencial do SO baseada na nuvem antes do primeiro arranque.
- Chaves de criptografia de VM que a plataforma ou o cliente (opcionalmente) possui e gerencia.
- Liberação segura de chaves com vinculação criptográfica entre o atestado bem-sucedido da plataforma e as chaves de criptografia da VM.
- Instância virtual dedicada de TPM (Trusted Platform Module) para certificação e proteção de chaves e segredos na máquina virtual.
- Capacidade de inicialização segura semelhante à inicialização confiável para VMs do Azure
Encriptação confidencial do disco do SO
As VMs confidenciais do Azure oferecem um esquema de criptografia de disco novo e aprimorado. Este esquema protege todas as partições críticas do disco. Ele também vincula chaves de criptografia de disco ao TPM da máquina virtual e torna o conteúdo do disco protegido acessível apenas à VM. Essas chaves de criptografia podem ignorar com segurança os componentes do Azure, incluindo o hipervisor e o sistema operacional do host. Para minimizar o potencial de ataque, um serviço de nuvem dedicado e separado também criptografa o disco durante a criação inicial da VM.
Se a plataforma de computação estiver faltando configurações críticas para o isolamento da sua VM, o Atestado do Azure não atestará a integridade da plataforma durante a inicialização e, em vez disso, impedirá que a VM seja iniciada. Esse cenário acontece se você não tiver habilitado o SEV-SNP, por exemplo.
A criptografia de disco confidencial do sistema operacional é opcional, pois esse processo pode prolongar o tempo inicial de criação da VM. Pode escolher entre:
- Uma VM confidencial com criptografia de disco confidencial do sistema operacional antes da implantação da VM que usa chaves gerenciadas por plataforma (PMK) ou uma chave gerenciada pelo cliente (CMK).
- Uma máquina virtual confidencial sem criptografia confidencial de disco do sistema operativo antes da implementação da máquina virtual.
Para maior integridade e proteção, as VMs confidenciais oferecem Inicialização Segura por padrão quando a criptografia de disco confidencial do sistema operacional é selecionada.
Com a Inicialização Segura, os editores confiáveis devem assinar os componentes de inicialização do sistema operacional (incluindo o carregador de inicialização, o kernel e os drivers do kernel). Todas as imagens confidenciais de VM compatíveis suportam a Inicialização Segura.
Criptografia de disco temporário confidencial
Você também pode estender a proteção de criptografia de disco confidencial para o disco temporário. Possibilitamos isso aproveitando uma in-VM tecnologia de criptografia de chave simétrica, depois que o disco é conectado ao CVM.
O disco temporário fornece armazenamento rápido, local e de curto prazo para aplicativos e processos. Destina-se a armazenar apenas dados como arquivos de página, arquivos de log, dados armazenados em cache e outros tipos de dados temporários. Os discos temporários em CVMs contêm o arquivo de paginação, também conhecido como arquivo de permuta, que pode conter dados confidenciais. Sem criptografia, os dados nesses discos podem ser acessíveis ao host. Depois de ativar esse recurso, os dados nos discos temporários não são mais expostos ao host.
Esta funcionalidade pode ser ativada através de um processo de aceitação. Para saber mais, leia a documentação.
Diferenças de preços de criptografia
As VMs confidenciais do Azure usam o disco do sistema operacional e um pequeno disco VMGS (estado convidado da máquina virtual) criptografado de vários megabytes. O disco VMGS contém o estado de segurança dos componentes da VM. Alguns componentes incluem o vTPM e o carregador de inicialização UEFI. O pequeno disco VMGS pode incorrer em um custo mensal de armazenamento.
A partir de julho de 2022, os discos criptografados do sistema operacional incorrerão em custos mais altos. Para obter mais informações, consulte o guia de preços para discos gerenciados.
Atestação e TPM
As VMs confidenciais do Azure são inicializadas somente após o atestado bem-sucedido dos componentes críticos e das configurações de segurança da plataforma. O relatório de certificação inclui:
- Um relatório de certificação assinado
- Configurações de inicialização da plataforma
- Medições de firmware da plataforma
- Medições do Sistema Operativo
Você pode inicializar uma solicitação de atestado dentro de uma VM confidencial para verificar se suas VMs confidenciais estão executando uma instância de hardware com processadores habilitados para AMD SEV-SNP ou Intel TDX. Para obter mais informações, consulte Atestado de convidado confidencial da VM do Azure.
As VMs confidenciais do Azure dispõem de um TPM virtual (vTPM) para VMs na Azure. O vTPM é uma versão virtualizada de um TPM de hardware e está em conformidade com as especificações do TPM 2.0. Você pode usar um vTPM como um cofre dedicado e seguro para chaves e medições. As VMs confidenciais têm sua própria instância vTPM dedicada, que é executada em um ambiente seguro fora do alcance de qualquer VM.
Limitations
As limitações a seguir existem para VMs confidenciais. Para perguntas frequentes, consulte Perguntas frequentes sobre VMs confidenciais.
Suporte de tamanho
As VMs confidenciais suportam os seguintes tamanhos de VM:
- Uso geral sem disco local: DCasv5-series, DCesv5-series
- Uso geral com disco local: Série DCadsv5, Série DCedsv5
- Memória otimizada sem disco local: série ECasv5, série ECesv5
- Memória otimizada com disco local: séries ECadsv5 e ECedsv5
- NVIDIA H100 Tensor Core GPU alimentado NCCadsH100v5-series
Suporte a SO
As imagens do sistema operacional para VMs confidenciais devem atender a requisitos de segurança específicos. Essas imagens qualificadas são projetadas para oferecer suporte a uma criptografia de disco confidencial opcional do sistema operacional e garantir o isolamento da infraestrutura de nuvem subjacente. O cumprimento desses requisitos ajuda a proteger dados confidenciais e a manter a integridade do sistema.
As VMs confidenciais suportam as seguintes opções de SO:
| Linux | Cliente Windows | Servidor Windows |
|---|---|---|
| Ubuntu | Janelas 11 | Windows Server Datacenter |
| 20.04 LTS (apenas SEV-SNP da AMD) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Múltiplas sessões | Server Core 2019 |
| 22,04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-sessão | Datacenter 2019 |
| 24,04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-sessões | Servidor Core 2022 |
| RHEL | Janelas 10 | Edição Azure 2022 |
| 9.4 (ou posterior) | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-sessão | Edição Core Azure 2022 |
| Datacenter 2022 | ||
| SUSE (Visualização técnica) | Servidor Core 2025 | |
| 15 SP5 (Intel TDX, AMD SEV-SNP) | O Datacenter de 2025 | |
| 15 SP5 para SAP (Intel TDX, AMD SEV-SNP) | Edição do Azure 2025 | |
| Núcleo Azure Edição 2025 | ||
| Rocky | ||
| 9.4 |
Regions
As VMs confidenciais são executadas em hardware especializado disponível em regiões específicas da VM.
Pricing
O preço depende do tamanho confidencial da sua VM. Para obter mais informações, consulte a Calculadora de preços.
Suporte de funcionalidades
As Máquinas Virtuais confidenciais não suportam:
- Azure Backup
- Azure Site Recovery
- Suporte limitado da galeria de computação do Azure
- Rede acelerada
- Migração ao vivo
- Capturas de tela nas diagnósticos de inicialização
- Memória dinâmica
- A encriptação de disco confidencial só é suportada para discos com menos de 128 GB. Para discos maiores, recomenda-se optar por SSDs premium, particularmente para discos com mais de 32 GB.
- A rotação automática de chaves não é suportada, apenas a rotação de chaves offline é suportada.
Próximos passos
Para obter mais informações, consulte nossas Perguntas frequentes sobre VM confidenciais.