Vanliga frågor och svar om konfidentiella virtuella Azure-datorer

Den här artikeln innehåller svar på några av de vanligaste frågorna om konfidentiella virtuella datorer.

Vad är konfidentiella virtuella datorer?

Konfidentiella virtuella datorer är virtuella IaaS-datorer för klienter med särskilt höga krav på säkerhet och konfidentialitet. Konfidentiella virtuella datorer ger åtkomst till följande tekniker och fördelar:

  • Kryptering för "data som används", inklusive processortillståndet och den virtuella datorns minne. Nycklar genereras av processorn och lämnar den aldrig.
  • Värdattestering för att verifiera serverns fullständiga hälsa och efterlevnad innan du initierar en konfidentiell virtuell dator.
  • Kryptering av "vilande data". En maskinvarusäkerhetsmodul (HSM) kan användas för att skydda nycklarna, som klientorganisationen äger exklusivt.
  • Ny UEFI-startarkitektur som stöder gästoperativsystemet för förbättrade säkerhetsinställningar och funktioner.
  • En dedikerad virtuell instans av en TPM (Trusted Platform Module). Certifierar hälsotillståndet för den virtuella datorn och tillhandahåller härdade nyckelhanteringsfunktioner. Stöder användningsfall som BitLocker.

Varför ska jag använda konfidentiella virtuella datorer?

Konfidentiella virtuella datorer löser kundernas problem med att flytta känsliga arbetsbelastningar lokalt till molnet. Konfidentiella virtuella datorer ger avsevärt utökat skydd för kunddata från den underliggande infrastrukturen och molnoperatörerna. Till skillnad från andra metoder och lösningar behöver du inte anpassa dina befintliga arbetsbelastningar så att de passar plattformens tekniska behov.

Vad är AMD SEV-SNP-tekniker och hur relaterar de till konfidentiella virtuella Azure-datorer?

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) teknik erbjuder flera skydd. Till exempel minneskryptering, unika CPU-nycklar, kryptering för processorregistrets tillstånd, starkt integritetsskydd, skydd mot återställning av inbyggd programvara, härdning av sidokanaler och begränsningar för avbrotts- och undantagsbeteende. Tillsammans hårdnar AMD SEV-teknikerna gästskyddet för att neka hypervisor-kod och annan kodåtkomst för värdhantering till vm-minne och -tillstånd. Konfidentiella virtuella datorer kombinerar AMD SEV-SNP med Azure-tekniker som fulldiskkryptering och Azure Key Vault Managed HSM. Du kan kryptera data som används, under överföring och i vila med nycklar som du styr. Med inbyggda azure-attesteringsfunktioner kan du självständigt skapa förtroende för säkerheten, hälsan och den underliggande infrastrukturen för dina konfidentiella virtuella datorer.

Vad är Intel TDX-tekniker och hur relaterar de till konfidentiella virtuella Azure-datorer?

Intel Trust Domain Extensions (Intel TDX) erbjuder flera skydd. Intel TDX använder maskinvarutillägg för att hantera och kryptera minne och skyddar både konfidentialiteten och integriteten för TD CPU-tillståndet. Dessutom hjälper Intel TDX till att förstärka den virtualiserade miljön genom att neka hypervisor-programmet, annan värdhanteringskod och administratörer åtkomst till den virtuella datorns minne och tillstånd. Konfidentiella virtuella datorer kombinerar Intel TDX med Azure-tekniker som fulldiskkryptering och Azure Key Vault Managed HSM. Du kan kryptera data som används, under överföring och i vila med nycklar som du styr.

Hur ger konfidentiella virtuella Azure-datorer bättre skydd mot hot från både inom och utanför Azure-molninfrastrukturen?

Virtuella Azure-datorer erbjuder redan branschledande säkerhet och skydd mot andra klienter och skadliga inkräktare. Azures konfidentiella virtuella datorer utökar dessa skydd med hjälp av maskinvarubaserade TEE:er (Trusted Execution Environment) som utnyttjar AMD:s SEV-SNP och Intel TDX för att kryptografiskt isolera och skydda dina datasekretess och integritet även när de används. Det innebär att varken värdadministratörer eller tjänster (inklusive Azure-hypervisor-programmet) direkt kan visa eller ändra minne eller CPU-tillstånd för den virtuella datorn. Med fullständig attesteringsfunktion, fullständig OS-diskkryptering och maskinvaruskyddade virtuella betrodda plattformsmoduler skyddas dessutom konfidentiellt beständigt tillstånd för virtuella datorer så att varken dina privata nycklar eller innehållet i ditt minne någonsin exponeras för värdmiljön.

Är de virtuella diskarna anslutna till konfidentiella virtuella datorer automatiskt skyddade?

För närvarande kan OS-diskar för konfidentiella virtuella datorer krypteras och skyddas. För ytterligare säkerhet kan du aktivera kryptering på gästnivå (till exempel BitLocker eller dm-crypt) för alla dataenheter.

Skyddas minnet som skrivs till Windows-växlingsfilen (pagefile.sys) av TEE?

Ja, men bara om pagefile.sys finns på den krypterade OS-disken. På konfidentiella virtuella datorer med en temporär disk kan filen pagefile.sys flyttas till de krypterade OS-tipsen för att flytta pagefile.sys till c:\-enheten.

Hur distribuerar jag konfidentiella virtuella Azure-datorer?

Kan jag utföra attestering för mina AMD-baserade konfidentiella virtuella datorer?

Azures konfidentiella virtuella datorer på AMD SEV-SNP genomgår attestering som en del av startfasen. Den här processen är ogenomskinlig för användaren och sker i molnoperativsystemet tillsammans med Tjänsterna Microsoft Azure Attestation och Azure Key Vault. Konfidentiella virtuella datorer gör det också möjligt för användare att utföra oberoende attestering för sina konfidentiella virtuella datorer. Den här attesteringen sker med hjälp av nya verktyg som kallas Azure confidential VM Guest Attestation. Gästattestering gör det möjligt för kunder att intyga att deras konfidentiella virtuella datorer körs på AMD-processorer med SEV-SNP aktiverat.

Kan jag utföra attestering för mina Intel-baserade konfidentiella virtuella datorer?

Azures konfidentiella virtuella datorer på Intel TDX har möjlighet att inkludera attestering som en del av startfasen. Den här processen är ogenomskinlig för användaren och sker i molnoperativsystemet tillsammans med Tjänsterna Microsoft Azure Attestation och Azure Key Vault. Stöd för gästattestering kommer att vara tillgängligt via vTPM. Du kan använda detta för att verifiera hela stacken från maskinvaruplattformen till gästprogramlagret. Funktionerna finns på AMD SEV-SNP idag och kommer snart att släppas för Intel TDX. Idag är endast gästplattformsattestering tillgänglig för Intel TDX. På så sätt kan du kontrollera att den virtuella datorn körs på Intel TDX-maskinvara. Om du vill komma åt den här förhandsgranskningsfunktionen går du till vår förhandsgranskningsgren. Dessutom stöder vi Intel® Trust Authority för företag som söker oberoende attestering av operatör.

Fungerar alla OS-avbildningar med konfidentiella virtuella datorer?

Os-avbildningar måste uppfylla vissa säkerhetskrav och kompatibilitetskrav för att kunna köras på en konfidentiell virtuell dator. Detta gör att konfidentiella virtuella datorer kan monteras på ett säkert sätt, intygas och isoleras från den underliggande molninfrastrukturen. I framtiden planerar vi att ge vägledning om hur du använder en anpassad Linux-version och tillämpar en uppsättning korrigeringar med öppen källkod för att kvalificera den som en konfidentiell VM-avbildning.

Kan jag anpassa en av de tillgängliga konfidentiella VM-avbildningarna?

Ja. Du kan använda Azure Compute Gallery för att ändra en konfidentiell VM-avbildning, till exempel genom att installera program. Sedan kan du distribuera konfidentiella virtuella datorer baserat på din ändrade avbildning.

Måste jag använda krypteringsschemat för fullständig disk? Kan jag använda ett standardschema i stället?

Det valfria fulldiskkrypteringsschemat är Azures säkraste och uppfyller principerna för konfidentiell databehandling. Du kan dock också använda andra diskkrypteringsscheman tillsammans med eller i stället för fulldiskkryptering. Om du använder flera diskkrypteringsscheman kan dubbel kryptering påverka prestanda negativt.

Eftersom konfidentiella virtuella Azure-datorer har stöd för virtuell TPM, kan jag försegla hemligheter/nycklar till min konfidentiella virtuella virtuella TPM?

Varje konfidentiell virtuell Azure-dator har sin egen virtuella TPM, där kunderna kan försegla sina hemligheter/nycklar. Vi rekommenderar att kunder verifierar vTPM-status (via TPM.msc för virtuella Windows-datorer). Om statusen inte är redo för användning rekommenderar vi att du startar om dina virtuella datorer innan du förseglar hemligheter/nycklar till vTPM.

Kan jag aktivera eller inaktivera det nya fulldiskkrypteringsschemat när den virtuella datorn har skapats?

Nej. När du har skapat en konfidentiell virtuell dator kan du inte inaktivera eller återaktivera fulldiskkryptering. Skapa en ny konfidentiell virtuell dator i stället.

Kan jag konvertera en icke-konfidentiell virtuell dator till en konfidentiell virtuell dator?

Nej. Av säkerhetsskäl måste du skapa en konfidentiell virtuell dator som sådan från början.

Kan jag konvertera en DCasv5/ECasv5 CVM till en DCesv5/ECesv5 CVM eller en DCesv5/ECesv5 CVM till en DCasv5/ECasv5 CVM?

Ja, konvertering från en konfidentiell virtuell dator till en annan konfidentiell virtuell dator tillåts på både DCasv5/ECasv5 och DCesv5/ECesv5 i de regioner som de delar. Om du använder en Windows-avbildning kontrollerar du att du har alla de senaste uppdateringarna. Om du använder en Ubuntu Linux-avbildning kontrollerar du att du använder den konfidentiella Ubuntu 22.04 LTS-avbildningen med den lägsta kernelversionen 6.2.0-1011-azure.

Varför hittar jag inte de virtuella datorerna DCasv5/ECasv5 eller DCesv5/ECesv5 i azure-portalens storleksväljare?

Kontrollera att du har valt en tillgänglig region för konfidentiella virtuella datorer. Se också till att välja rensa alla filter i storleksväljaren.

Kan jag aktivera Azure Accelerated Networking på konfidentiella virtuella datorer?

Nej. Konfidentiella virtuella datorer stöder inte accelererat nätverk. Du kan inte aktivera accelererat nätverk för någon konfidentiell distribution av virtuella datorer eller distribution av Azure Kubernetes Service-kluster som körs på konfidentiell databehandling.

Vad betyder det här felet? "Det gick inte att slutföra åtgärden eftersom den resulterar i att godkänd standardkvot för DCasV5/ECasv5 eller DCesv5/ECesv5 Family Cores överskrids"

Du kan få felet Åtgärden kunde inte slutföras eftersom det resulterar i att godkänd standard DCasv5/ECasv5 Family Cores-kvot överskrids. Det här felet med Azure Resource Manager-mallen (ARM-mall) innebär att distributionen misslyckades på grund av brist på Azure-beräkningskärnor. Kostnadsfria Utvärderingsprenumerationer i Azure har inte en tillräckligt stor kärnkvot för konfidentiella virtuella datorer. Skapa en supportbegäran för att öka din kvot.

Vad är skillnaden mellan virtuella datorer i DCasv5-serien/DCesv5-serien och ECasv5-serien/ECesv5-serien?

ECasv5-serien och ECesv5-serien är minnesoptimerade VM-storlekar, vilket ger ett högre förhållande mellan minne och CPU. Dessa storlekar passar särskilt bra för relationsdatabasservrar, medelstora till stora cacheminnen och minnesintern analys.

Är konfidentiella virtuella datorer tillgängliga globalt?

Nej. För närvarande är dessa virtuella datorer endast tillgängliga i utvalda regioner. En aktuell lista över tillgängliga regioner finns i VM-produkter per region.

Vad händer om jag behöver Microsoft för att hjälpa mig att tjänsten eller komma åt data på min konfidentiella virtuella dator?

Azure har inte några driftsprocedurer för att bevilja konfidentiell vm-åtkomst till sina anställda, även om en kund godkänner åtkomsten. Därför är olika återställnings- och supportscenarier inte tillgängliga för konfidentiella virtuella datorer.

Stöder konfidentiella virtuella datorer virtualisering, till exempel Azure VMware Solution?

Nej, konfidentiella virtuella datorer stöder för närvarande inte kapslad virtualisering, till exempel möjligheten att köra ett hypervisor-program i en virtuell dator.

Kostar det extra att använda konfidentiella virtuella datorer?

Faktureringen för konfidentiella virtuella datorer beror på din användning och lagring samt storleken och regionen på den virtuella datorn. Konfidentiella virtuella datorer använder en liten VMGS-disk (encrypted virtual machine guest state) på flera megabyte. VMGS kapslar in säkerhetstillståndet för den virtuella datorn för komponenter som vTPM och UEFI-startladdaren. Den här disken kan resultera i en månatlig lagringsavgift. Om du väljer att aktivera valfri fulldiskkryptering medför krypterade OS-diskar dessutom högre kostnader. Mer information om lagringsavgifter finns i prisguiden för hanterade diskar. Slutligen kan du för vissa höga säkerhets- och sekretessinställningar välja att skapa länkade resurser, till exempel en hanterad HSM-pool. Azure fakturerar sådana resurser separat från kostnaderna för den konfidentiella virtuella datorn.

Vad kan jag göra om tiden på min virtuella dator i DCesv5/ECesv5-serien skiljer sig från UTC?

Sällan kan vissa virtuella datorer i DCesv5/ECesv5-serien uppleva en liten tidsskillnad från UTC. En långsiktig korrigering kommer snart att vara tillgänglig för detta. Under tiden här är lösningarna för virtuella Windows- och Ubuntu Linux-datorer:

sc config vmictimesync start=disabled
sc stop vmictimesync

Kör följande skript för Ubuntu Linux-avbildningar:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service