Om konfidentiella virtuella Azure-datorer
Konfidentiell databehandling i Azure erbjuder konfidentiella virtuella datorer för klienter med höga krav på säkerhet och konfidentialitet. Dessa virtuella datorer tillhandahåller en stark, maskinvarubaserad gräns som hjälper dig att uppfylla dina säkerhetsbehov. Du kan använda konfidentiella virtuella datorer för migreringar utan att göra ändringar i koden, där plattformen skyddar den virtuella datorns tillstånd från att läsas eller ändras.
Viktigt!
Skyddsnivåerna varierar beroende på konfiguration och inställningar. Microsoft kan till exempel äga eller hantera krypteringsnycklar för ökad bekvämlighet utan extra kostnad.
Förmåner
Några av fördelarna med konfidentiella virtuella datorer är:
- Robust maskinvarubaserad isolering mellan virtuella datorer, hypervisor- och värdhanteringskod.
- Anpassningsbara attesteringsprinciper för att säkerställa värdens efterlevnad före distributionen.
- Molnbaserad diskkryptering av konfidentiellt operativsystem före den första starten.
- VM-krypteringsnycklar som plattformen eller kunden (valfritt) äger och hanterar.
- Säker nyckelversion med kryptografisk bindning mellan plattformens lyckade attestering och den virtuella datorns krypteringsnycklar.
- Dedikerad TPM-instans (Virtual Trusted Platform Module) för attestering och skydd av nycklar och hemligheter på den virtuella datorn.
- Säker startfunktion som liknar betrodd start för virtuella Azure-datorer
Konfidentiell os-diskkryptering
Azures konfidentiella virtuella datorer erbjuder ett nytt och förbättrat diskkrypteringsschema. Det här schemat skyddar alla kritiska partitioner på disken. Den binder även diskkrypteringsnycklar till den virtuella datorns TPM och gör det skyddade diskinnehållet endast tillgängligt för den virtuella datorn. Dessa krypteringsnycklar kan på ett säkert sätt kringgå Azure-komponenter, inklusive hypervisor- och värdoperativsystemet. För att minimera attackpotentialen krypterar en dedikerad och separat molntjänst även disken när den virtuella datorn skapas.
Om beräkningsplattformen saknar viktiga inställningar för den virtuella datorns isolering, kommer Azure Attestation inte att intyga plattformens hälsotillstånd under start, utan förhindrar i stället att den virtuella datorn startas. Det här scenariot inträffar om du till exempel inte har aktiverat SEV-SNP.
Konfidentiell os-diskkryptering är valfritt eftersom den här processen kan förlänga den första tiden för att skapa virtuella datorer. Du kan välja mellan:
- En konfidentiell virtuell dator med konfidentiell os-diskkryptering före VM-distribution som använder plattformshanterade nycklar (PMK) eller en kundhanterad nyckel (CMK).
- En konfidentiell virtuell dator utan konfidentiell os-diskkryptering före vm-distribution.
För ytterligare integritet och skydd erbjuder konfidentiella virtuella datorer säker start som standard när konfidentiell OS-diskkryptering har valts.
Med säker start måste betrodda utgivare signera operativsystemsstartkomponenter (inklusive startinläsaren, kernel- och kerneldrivrutinerna). Alla kompatibla konfidentiella VM-avbildningar stöder säker start.
Konfidentiell temp diskkryptering
Du kan också utöka skyddet av konfidentiell diskkryptering till den temporära disken. Vi aktiverar detta genom att använda en symmetrisk nyckelkrypteringsteknik på den virtuella datorn när disken är ansluten till CVM.
Temp-disken tillhandahåller snabb, lokal och kortsiktig lagring för program och processer. Den är avsedd att endast lagra data som sidfiler, loggfiler, cachelagrade data och andra typer av tillfälliga data. Temporära diskar på CVM:er innehåller sidfilen, även kallad växlingsfil, som kan innehålla känsliga data. Utan kryptering kan data på dessa diskar vara tillgängliga för värden. När du har aktiverat den här funktionen exponeras inte längre data på de temporära diskarna för värden.
Den här funktionen kan aktiveras genom en opt-in-process. Mer information finns i dokumentationen.
Prisskillnader för kryptering
Azures konfidentiella virtuella datorer använder både OS-disken och en liten VMGS-disk (virtual machine guest state) på flera megabyte. VMGS-disken innehåller säkerhetstillståndet för den virtuella datorns komponenter. Vissa komponenter är vTPM och UEFI-startladdaren. Den lilla VMGS-disken kan medföra en månatlig lagringskostnad.
Från och med juli 2022 medför krypterade OS-diskar högre kostnader. Mer information finns i prisguiden för hanterade diskar.
Attestering och TPM
Azures konfidentiella virtuella datorer startar endast efter lyckad attestering av plattformens kritiska komponenter och säkerhetsinställningar. Attesteringsrapporten innehåller:
- En signerad attesteringsrapport
- Inställningar för plattformsstart
- Mätningar av inbyggd programvara för plattform
- OS-mått
Du kan initiera en attesteringsbegäran i en konfidentiell virtuell dator för att kontrollera att dina konfidentiella virtuella datorer kör en maskinvaruinstans med antingen AMD SEV-SNP eller Intel TDX-aktiverade processorer. Mer information finns i Gästattestering av konfidentiella virtuella Azure-datorer.
Konfidentiella virtuella Azure-datorer har en virtuell TPM (vTPM) för virtuella Azure-datorer. vTPM är en virtualiserad version av en maskinvaru-TPM och uppfyller TPM 2.0-specifikationen. Du kan använda en vTPM som ett dedikerat, säkert valv för nycklar och mått. Konfidentiella virtuella datorer har en egen dedikerad vTPM-instans, som körs i en säker miljö utanför alla virtuella datorers räckvidd.
Begränsningar
Följande begränsningar finns för konfidentiella virtuella datorer. Vanliga frågor och svar finns i Vanliga frågor och svar om konfidentiella virtuella datorer.
Stöd för storlek
Konfidentiella virtuella datorer har stöd för följande VM-storlekar:
- Generell användning utan lokal disk: DCasv5-serien, DCesv5-serien
- Generell användning med lokal disk: DCadsv5-serien, DCedsv5-serien
- Minnesoptimerad utan lokal disk: ECasv5-serien, ECesv5-serien
- Minnesoptimerad med lokal disk: ECadsv5-serien, ECedsv5-serien
Os-stöd
Konfidentiella virtuella datorer stöder följande os-alternativ:
| Linux | Windows Client | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (endast AMD SEV-SNP) | 22H2 Pro | 2019 Server Core |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | 2022 Server Core | |
| RHEL | 22H2 Enterprise | 2022 Azure Edition |
| 9.3 (endast AMD SEV-SNP) | 22H2 Enterprise N | 2022 Azure Edition Core |
| 9.3 Förhandsversion (endast Intel TDX) | 22H2 Enterprise Multi-session | |
| SUSE (Tech Preview) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 för SAP (Intel TDX, AMD SEV-SNP) |
Regioner
Konfidentiella virtuella datorer körs på specialiserad maskinvara som är tillgänglig i specifika VM-regioner.
Prissättning
Prissättningen beror på din konfidentiella VM-storlek. Mer information finns i Priskalkylatorn.
Funktionsstöd
Konfidentiella virtuella datorer stöder inte:
- Azure Batch
- Azure Backup
- Azure Site Recovery
- Azure Dedicated Host
- Skalningsuppsättningar för virtuella Microsoft Azure-datorer med kryptering för konfidentiell os-disk aktiverat
- Begränsat stöd för Azure Compute Gallery
- Delade diskar
- Ultradiskar
- Accelererat nätverk
- Direktmigrering
- Skärmbilder under startdiagnostik
Nästa steg
Mer information finns i våra vanliga frågor och svar om konfidentiella virtuella datorer.