Dela via


Om konfidentiella virtuella Azure-datorer

Azures konfidentiella virtuella datorer erbjuder stark säkerhet och konfidentialitet för klienter. De skapar en maskinvarubaserad gräns mellan ditt program och virtualiseringsstacken. Du kan använda dem för molnmigreringar utan att ändra koden, och plattformen säkerställer att den virtuella datorns tillstånd förblir skyddat.

Viktigt!

Skyddsnivåerna varierar beroende på konfiguration och inställningar. Microsoft kan till exempel äga eller hantera krypteringsnycklar för ökad bekvämlighet utan extra kostnad.

Microsoft Mechanics

Fördelar med konfidentiella virtuella datorer

  • Robust maskinvarubaserad isolering mellan virtuella datorer, hypervisor- och värdhanteringskod.
  • Anpassningsbara attesteringsprinciper för att säkerställa värdens efterlevnad före distributionen.
  • Molnbaserad diskkryptering av konfidentiellt operativsystem före den första starten.
  • VM-krypteringsnycklar som plattformen eller kunden (valfritt) äger och hanterar.
  • Säker nyckelversion med kryptografisk bindning mellan plattformens lyckade attestering och den virtuella datorns krypteringsnycklar.
  • Dedikerad TPM-instans (Virtual Trusted Platform Module) för attestering och skydd av nycklar och hemligheter på den virtuella datorn.
  • Säker startfunktion som liknar betrodd start för virtuella Azure-datorer

Konfidentiell os-diskkryptering

Azures konfidentiella virtuella datorer erbjuder ett nytt och förbättrat diskkrypteringsschema. Det här schemat skyddar alla kritiska partitioner på disken. Den binder även diskkrypteringsnycklar till den virtuella datorns TPM och gör det skyddade diskinnehållet endast tillgängligt för den virtuella datorn. Dessa krypteringsnycklar kan på ett säkert sätt kringgå Azure-komponenter, inklusive hypervisor- och värdoperativsystemet. För att minimera attackpotentialen krypterar en dedikerad och separat molntjänst även disken när den virtuella datorn skapas.

Om beräkningsplattformen saknar viktiga inställningar för den virtuella datorns isolering, kommer Azure Attestation inte att intyga plattformens hälsotillstånd under start, utan förhindrar i stället att den virtuella datorn startas. Det här scenariot inträffar om du till exempel inte har aktiverat SEV-SNP.

Konfidentiell os-diskkryptering är valfritt eftersom den här processen kan förlänga den första tiden för att skapa virtuella datorer. Du kan välja mellan:

  • En konfidentiell virtuell dator med konfidentiell os-diskkryptering före VM-distribution som använder plattformshanterade nycklar (PMK) eller en kundhanterad nyckel (CMK).
  • En konfidentiell virtuell dator utan konfidentiell os-diskkryptering före vm-distribution.

För ytterligare integritet och skydd erbjuder konfidentiella virtuella datorer säker start som standard när konfidentiell OS-diskkryptering har valts.

Med säker start måste betrodda utgivare signera operativsystemsstartkomponenter (inklusive startinläsaren, kernel- och kerneldrivrutinerna). Alla kompatibla konfidentiella VM-avbildningar stöder säker start.

Konfidentiell temp diskkryptering

Du kan också utöka skyddet av konfidentiell diskkryptering till den temporära disken. Vi aktiverar detta genom att använda en symmetrisk nyckelkrypteringsteknik på den virtuella datorn när disken är ansluten till CVM.

Temp-disken tillhandahåller snabb, lokal och kortsiktig lagring för program och processer. Den är avsedd att endast lagra data som sidfiler, loggfiler, cachelagrade data och andra typer av tillfälliga data. Temporära diskar på CVM:er innehåller sidfilen, även kallad växlingsfil, som kan innehålla känsliga data. Utan kryptering kan data på dessa diskar vara tillgängliga för värden. När du har aktiverat den här funktionen exponeras inte längre data på de temporära diskarna för värden.

Den här funktionen kan aktiveras genom en opt-in-process. Mer information finns i dokumentationen.

Prisskillnader för kryptering

Azures konfidentiella virtuella datorer använder både OS-disken och en liten VMGS-disk (virtual machine guest state) på flera megabyte. VMGS-disken innehåller säkerhetstillståndet för den virtuella datorns komponenter. Vissa komponenter är vTPM och UEFI-startladdaren. Den lilla VMGS-disken kan medföra en månatlig lagringskostnad.

Från och med juli 2022 medför krypterade OS-diskar högre kostnader. Mer information finns i prisguiden för hanterade diskar.

Attestering och TPM

Azures konfidentiella virtuella datorer startar endast efter lyckad attestering av plattformens kritiska komponenter och säkerhetsinställningar. Attesteringsrapporten innehåller:

  • En signerad attesteringsrapport
  • Inställningar för plattformsstart
  • Mätningar av inbyggd programvara för plattform
  • OS-mått

Du kan initiera en attesteringsbegäran i en konfidentiell virtuell dator för att kontrollera att dina konfidentiella virtuella datorer kör en maskinvaruinstans med antingen AMD SEV-SNP eller Intel TDX-aktiverade processorer. Mer information finns i Gästattestering av konfidentiella virtuella Azure-datorer.

Konfidentiella virtuella Azure-datorer har en virtuell TPM (vTPM) för virtuella Azure-datorer. vTPM är en virtualiserad version av en maskinvaru-TPM och uppfyller TPM 2.0-specifikationen. Du kan använda en vTPM som ett dedikerat, säkert valv för nycklar och mått. Konfidentiella virtuella datorer har en egen dedikerad vTPM-instans, som körs i en säker miljö utanför alla virtuella datorers räckvidd.

Begränsningar

Följande begränsningar finns för konfidentiella virtuella datorer. Vanliga frågor och svar finns i Vanliga frågor och svar om konfidentiella virtuella datorer.

Stöd för storlek

Konfidentiella virtuella datorer har stöd för följande VM-storlekar:

  • Generell användning utan lokal disk: DCasv5-serien, DCesv5-serien
  • Generell användning med lokal disk: DCadsv5-serien, DCedsv5-serien
  • Minnesoptimerad utan lokal disk: ECasv5-serien, ECesv5-serien
  • Minnesoptimerad med lokal disk: ECadsv5-serien, ECedsv5-serien
  • NVIDIA H100 Tensor Core GPU-baserad NCCadsH100v5-serie

Stöd för operativsystem

OS-avbildningar för konfidentiella virtuella datorer måste uppfylla specifika säkerhetskrav. Dessa kvalificerade avbildningar är utformade för att stödja en valfri konfidentiell OS-diskkryptering och säkerställa isolering från den underliggande molninfrastrukturen. Om du uppfyller dessa krav kan du skydda känsliga data och upprätthålla systemintegriteten.

Konfidentiella virtuella datorer stöder följande os-alternativ:

Linux Windows Client Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (endast AMD SEV-SNP) 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session 2019 Server Core
22.04 LTS 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session Datacenter 2019
24.04 LTS 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session 2022 Server Core
RHEL Windows 10 2022 Azure Edition
9.4 (endast AMD SEV-SNP) 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session 2022 Azure Edition Core
2022 Datacenter
SUSE (Tech Preview)
15 SP5 (Intel TDX, AMD SEV-SNP)
15 SP5 för SAP (Intel TDX, AMD SEV-SNP)

Regioner

Konfidentiella virtuella datorer körs på specialiserad maskinvara som är tillgänglig i specifika VM-regioner.

Prissättning

Prissättningen beror på din konfidentiella VM-storlek. Mer information finns i Priskalkylatorn.

Funktionsstöd

Konfidentiella virtuella datorer stöder inte:

  • Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Begränsat stöd för Azure Compute Gallery
  • Delade diskar
  • Accelererat nätverk
  • Direktmigrering
  • Skärmbilder under startdiagnostik

Nästa steg

Mer information finns i våra vanliga frågor och svar om konfidentiella virtuella datorer.