Vanliga frågor och svar om konfidentiella virtuella Azure-datorer

Konfidentiella virtuella datorer är en IaaS-lösning för klienter med höga krav på säkerhet och konfidentialitet. Erbjudande om konfidentiella virtuella datorer:

• Kryptering för "data som används", inklusive processortillståndet och den virtuella datorns minne. Nycklarna genereras av processorn och lämnar den aldrig.
• Värdattestering hjälper dig att verifiera serverns fullständiga hälsa och efterlevnad innan databehandlingen börjar.
• Maskinvarusäkerhetsmodulen (HSM) kan kopplas för att skydda nycklarna till konfidentiella VM-diskar, som klientorganisationen äger exklusivt.
• Ny UEFI-startarkitektur som stöder gästoperativsystemet för förbättrade säkerhetsinställningar och funktioner.
• En dedikerad virtuell TPM-modul (Trusted Platform Module) certifierar den virtuella datorns hälsotillstånd, tillhandahåller förstärkt nyckelhantering och stöder användningsfall som BitLocker.

Konfidentiella virtuella datorer löser kundernas problem med att flytta känsliga arbetsbelastningar lokalt till molnet. Konfidentiella virtuella datorer ger ett utökat skydd för kunddata från den underliggande infrastrukturen och molnoperatörerna. Till skillnad från andra metoder och lösningar behöver du inte anpassa dina befintliga arbetsbelastningar så att de passar plattformens tekniska behov.

SEV-SNP står för Secure Encrypted Virtualization-Secure Nested Paging. Det är en TEKNIK för betrodd körningsmiljö (TEE) som tillhandahålls av AMD och erbjuder flera skydd: Till exempel minneskryptering, unika CPU-nycklar, kryptering för processorregistrets tillstånd, integritetsskydd, skydd mot återställning av inbyggd programvara, härdning av sidokanaler och begränsningar för avbrotts- och undantagsbeteende. Tillsammans hårdnar AMD SEV-teknikerna gästskyddet för att neka hypervisor-kod och annan kodåtkomst för värdhantering till vm-minne och -tillstånd. Konfidentiella virtuella datorer utnyttjar AMD SEV-SNP med Azure-tekniker som fulldiskkryptering och Azure Key Vault Managed HSM. Du kan kryptera data som används, under överföring och i vila med nycklar som du styr. Med inbyggda azure-attesteringsfunktioner kan du självständigt skapa förtroende för säkerhet, hälsa och underliggande infrastruktur för dina konfidentiella virtuella datorer.

Intel TDX står för Intel Trust Domain Extensions (Intel TDX) It a Trusted Execution Environment (TEE) technology provided by Intel and offers multiple protections: Intel TDX uses hardware extensions for managing and encrypting memory and protects both the confidentiality and integrity of the CPU state. Dessutom hjälper Intel TDX till att förstärka den virtualiserade miljön genom att neka hypervisor-programmet, annan värdhanteringskod och administratörer åtkomst till den virtuella datorns minne och tillstånd. Konfidentiella virtuella datorer kombinerar Intel TDX med Azure-tekniker som fulldiskkryptering och Azure Key Vault Managed HSM. Du kan kryptera data som används, under överföring och i vila med nycklar som du styr.

Virtuella Azure-datorer erbjuder redan branschledande säkerhet och skydd mot andra klienter och skadliga inkräktare. Azures konfidentiella virtuella datorer utökar dessa skydd med hjälp av maskinvarubaserade TEE:er som AMD SEV-SNP och Intel TDX för att kryptografiskt isolera och skydda dina datasekretess och integritet. Inga värdadministratörer eller värdtjänster (inklusive Azure-hypervisor-programmet) kan direkt visa eller ändra minnet eller CPU-tillståndet för den konfidentiella virtuella datorn. Med fullständig attesteringskapacitet, fullständig OS-diskkryptering och maskinvaruskyddade virtuella betrodda plattformsmoduler skyddas dessutom det beständiga tillståndet så att dina privata nycklar och innehållet i minnet inte exponeras för värdmiljön okrypterat.

För närvarande kan OS-diskar för konfidentiella virtuella datorer krypteras och skyddas. För extra säkerhet kan du aktivera kryptering på gästnivå (till exempel BitLocker eller dm-crypt) för alla dataenheter.

Ja, men bara om pagefile.sys finns på den krypterade OS-disken. På konfidentiella virtuella datorer med en temporär disk kan pagefile.sys-filen flyttas till krypterade OS-tips för att flytta pagefile.sys till c:\-enheten.

Nej, den här funktionen finns inte för konfidentiella virtuella datorer.

Här följer några sätt att distribuera en konfidentiell virtuell dator:

• Distribuera från Azure-portalen
• Distribuera från Azure-kommandoradsgränssnittet (Azure CLI)
• Distribuera med hjälp av en ARM-mall

Azures konfidentiella virtuella datorer på AMD SEV-SNP genomgår attestering som en del av startfasen. Den här processen är ogenomskinlig för användaren och sker i molnoperativsystemet med Tjänsterna Microsoft Azure Attestation och Azure Key Vault. Konfidentiella virtuella datorer gör det också möjligt för användare att utföra oberoende attestering för sina konfidentiella virtuella datorer. Den här attesteringen sker med hjälp av nya verktyg som kallas Azure confidential VM Guest Attestation. Gästattestering gör det möjligt för kunder att intyga att deras konfidentiella virtuella datorer körs på AMD-processorer med SEV-SNP aktiverat.

Konfidentiella virtuella Azure-datorer med Intel TDX kan intygas transparent som en del av startflödet för att säkerställa att plattformen är kompatibel och uppdaterad. Processen är ogenomskinlig för användaren och sker med Microsoft Azure Attestation och Azure Key Vault. Om du vill gå vidare för att utföra kontroller efter start är plattformsattestering på gästen tillgänglig. På så sätt kan du kontrollera att den virtuella datorn körs på äkta Intel TDX. Om du vill komma åt funktionen går du till vår förhandsgranskningsgren. Dessutom stöder vi Intel® Trust Authority för företag som söker oberoende attestering av operatör. Stöd för fullständig gästattestering, liknande AMD SEV-SNP, kommer snart. Detta gör det möjligt för organisationer att gå djupare och validera ytterligare aspekter, även ned till gästprogramlagret.

Os-avbildningar måste uppfylla vissa säkerhetskrav och kompatibilitetskrav för att kunna köras på en konfidentiell virtuell dator. Detta gör att konfidentiella virtuella datorer kan monteras på ett säkert sätt, intygas och isoleras från den underliggande molninfrastrukturen. I framtiden planerar vi att ge vägledning om hur du använder en anpassad Linux-version och tillämpar en uppsättning korrigeringar med öppen källkod för att kvalificera den som en konfidentiell VM-avbildning.

Ja. Du kan använda Azure Compute Gallery för att ändra en konfidentiell VM-avbildning, till exempel genom att installera program. Sedan kan du distribuera konfidentiella virtuella datorer baserat på din ändrade avbildning.

Det valfria fulldiskkrypteringsschemat är Azures säkraste och uppfyller principerna för konfidentiell databehandling. Du kan dock också använda andra diskkrypteringsscheman tillsammans med eller i stället för fulldiskkryptering. Om du använder flera diskkrypteringsscheman kan dubbel kryptering påverka prestanda negativt.

Varje konfidentiell virtuell Azure-dator har sin egen virtuella TPM, där kunderna kan försegla sina hemligheter/nycklar. Vi rekommenderar att kunder verifierar vTPM-status (via TPM.msc för virtuella Windows-datorer). Om statusen inte är redo för användning rekommenderar vi att du startar om dina virtuella datorer innan du förseglar hemligheter/nycklar till vTPM.

Nej. När du har skapat en konfidentiell virtuell dator kan du inte inaktivera eller återaktivera fulldiskkryptering. Skapa en ny konfidentiell virtuell dator i stället.

Utvecklare som vill ha ytterligare "ansvarsfördelning" för TCB-tjänster från molntjänstleverantören bör använda säkerhetstypen "NonPersistedTPM".

• Den här upplevelsen är endast tillgänglig som en del av den offentliga förhandsversionen av Intel TDX. Organisationer som använder den eller tillhandahåller tjänster med den har kontroll över TCB och de ansvarsområden som följer med den.
• Den här upplevelsen kringgår de interna Azure-tjänsterna så att du kan använda din egen diskkryptering, nyckelhantering och attesteringslösning.
• Varje virtuell dator har fortfarande en vTPM, som ska användas för att hämta maskinvarubevis, men vTPM-tillståndet sparas inte via omstarter, vilket innebär att den här lösningen är utmärkt för tillfälliga arbetsbelastningar och organisationer som vill koppla från molntjänstleverantören.

Nej. Av säkerhetsskäl måste du skapa en konfidentiell virtuell dator som sådan från början.

Ja, konvertering från en konfidentiell virtuell dator till en annan konfidentiell virtuell dator tillåts på både DCasv5/ECasv5 och DCesv5/ECesv5 i de regioner som de delar. Om du använder en Windows-avbildning kontrollerar du att du har alla de senaste uppdateringarna. Om du använder en Ubuntu Linux-avbildning kontrollerar du att du använder den konfidentiella Ubuntu 22.04 LTS-avbildningen med den lägsta kernelversionen 6.2.0-1011-azure.

Kontrollera att du har valt en tillgänglig region för konfidentiella virtuella datorer. Se också till att välja rensa alla filter i storleksväljaren.

Nej. Konfidentiella virtuella datorer stöder inte accelererat nätverk. Du kan inte aktivera accelererat nätverk för någon konfidentiell distribution av virtuella datorer eller distribution av Azure Kubernetes Service-kluster som körs på konfidentiell databehandling.

Du kan få felet Åtgärden kunde inte slutföras eftersom det resulterar i att godkänd standard DCasv5/ECasv5 Family Cores-kvot överskrids. Det här felet med Azure Resource Manager-mallen (ARM-mall) innebär att distributionen misslyckades på grund av brist på Azure-beräkningskärnor. Kostnadsfria Utvärderingsprenumerationer i Azure har inte en tillräckligt stor kärnkvot för konfidentiella virtuella datorer. Skapa en supportbegäran för att öka din kvot.

ECasv5-serien och ECesv5-serien är minnesoptimerade VM-storlekar, vilket ger ett högre förhållande mellan minne och CPU. Dessa storlekar passar särskilt bra för relationsdatabasservrar, medelstora till stora cacheminnen och minnesintern analys.

Nej. För närvarande är dessa virtuella datorer endast tillgängliga i utvalda regioner. En aktuell lista över tillgängliga regioner finns i VM-produkter per region.

Azure har inte några driftsprocedurer för att bevilja konfidentiell vm-åtkomst till sina anställda, även om en kund godkänner åtkomsten. Därför är olika återställnings- och supportscenarier inte tillgängliga för konfidentiella virtuella datorer.

Nej, konfidentiella virtuella datorer stöder för närvarande inte kapslad virtualisering, till exempel möjligheten att köra ett hypervisor-program i en virtuell dator.

Faktureringen för konfidentiella virtuella datorer beror på din användning och lagring samt storleken och regionen på den virtuella datorn. Konfidentiella virtuella datorer använder en liten VMGS-disk (encrypted virtual machine guest state) på flera megabyte. VMGS kapslar in säkerhetstillståndet för den virtuella datorn för komponenter som vTPM och UEFI-startladdaren. Den här disken kan resultera i en månatlig lagringsavgift. Om du väljer att aktivera valfri fulldiskkryptering medför krypterade OS-diskar dessutom högre kostnader. Mer information om lagringsavgifter finns i prisguiden för hanterade diskar. Slutligen kan du för vissa höga säkerhets- och sekretessinställningar välja att skapa länkade resurser, till exempel en hanterad HSM-pool. Azure fakturerar sådana resurser separat från kostnaderna för den konfidentiella virtuella datorn.

Sällan kan vissa virtuella datorer i DCesv5/ECesv5-serien uppleva en liten tidsskillnad från UTC. En långsiktig korrigering är tillgänglig för detta snart. Under tiden här är lösningarna för virtuella Windows- och Ubuntu Linux-datorer:

sc config vmictimesync start=disabled
sc stop vmictimesync

Kör följande skript för Ubuntu Linux-avbildningar:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service