你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于 Azure 机密 VM

Azure 机密 VM 为租户提供强大的安全性和机密性。 它们在应用程序与虚拟化堆栈之间创建由硬件强制实现的边界。 你无需修改代码即可将其用于云迁移,并且平台可确保 VM 的状态保持受保护。

重要

根据你的配置和首选项,保护级别有所不同。 例如,Microsoft 可以拥有或管理加密密钥以提高便利性,无需额外付费。

Microsoft Mechanics

机密 VM 权益

  • 虚拟机、虚拟机监控程序和主机管理代码之间以强大的硬件进行隔离。
  • 可自定义的证明策略,以确保在部署之前主机的合规性。
  • 首次启动之前基于云的机密 OS 磁盘加密。
  • 平台或客户(可选)拥有和管理的 VM 加密密钥。
  • 通过平台的成功证明和 VM 的加密密钥之间的加密绑定,可以安全地发布密钥。
  • 专用虚拟可信平台模块 (TPM) 实例,用于证明和保护虚拟机中的密钥和机密。
  • 安全启动功能,类似于 Azure VM 的可信启动

机密 OS 磁盘加密

Azure 机密 VM 提供了新的和增强的磁盘加密方案。 此方案可保护磁盘的所有关键分区。 此方案还将磁盘加密密钥绑定到虚拟机的 TPM,并且只允许 VM 访问受保护的磁盘内容。 这些加密密钥可以安全地绕过 Azure 组件,包括虚拟机监控程序和主机操作系统。 为最大程度地降低攻击可能性,专用和单独的云服务还会在虚拟机的初始创建过程中对该磁盘进行加密。

如果计算平台缺少 VM 隔离的关键设置,则 Azure 证明不会在启动期间证明平台的运行状况,而会阻止 VM 启动。 例如,如果你没有启用 SEV-SNP,就会发生这种情况。

机密 OS 磁盘加密是可选的,因为此过程会延长初始 VM 创建时间。 你可以选择:

  • 在使用平台管理的密钥 (PMK) 或客户管理的密钥 (CMK) 的 VM 部署之前具有机密 OS 磁盘加密的机密 VM。
  • VM 部署之前不包含机密 OS 磁盘加密的机密 VM。

为了提供进一步的完整性和保护,在选择了机密 OS 磁盘加密后,机密 VM 默认提供安全启动

使用安全启动,受信任的发布者必须对操作系统启动组件(包括启动加载程序、内核和内核驱动程序)进行签名。 所有兼容的机密 VM 映像都支持安全启动。

机密临时磁盘加密

还可以将机密磁盘加密的保护扩展到临时磁盘。 在磁盘附加到 CVM 后,我们利用 VM 内对称密钥加密技术来实现此操作。

临时磁盘为应用程序和进程提供快速、本地和短期存储。 它只用于存储页文件、日志文件、缓存数据和其他类型的临时数据。 CVM 上的临时磁盘包含页文件(也称为交换文件),其中可能包含敏感数据。 如果没有加密,主机可以访问这些磁盘上的数据。 启用此功能后,临时磁盘上的数据将不再向主机公开。

可以通过选择加入过程启用此功能。 要了解详细信息,请阅读本文档

加密定价差异

Azure 机密 VM 同时使用操作系统磁盘和几兆字节的小型加密虚拟机访客状态 (VMGS) 磁盘。 VMGS 磁盘包含 VM 组件的安全状态。 某些组件包括 vTPM 和 UEFI 引导加载。 小型 VMGS 磁盘可能会产生每月存储费用。

从 2022 年 7月开始,加密 OS 磁盘将产生更高的费用。 有关详细信息,请参阅托管磁盘定价

证明和 TPM

只有在成功证明平台的关键组件和安全设置后,Azure 机密 VM 才会启动。 证明报告包括:

  • 签名的证明报告
  • 平台启动设置
  • 平台固件度量
  • OS 度量

可以在机密 VM 内部初始化证明请求,以验证机密 VM 是否正在使用启用了 AMD SEV-SNP 或 Intel TDX 的处理器运行硬件实例。 有关详细信息,请参阅 Azure 机密 VM 来宾证明

Azure 机密 VM 配备了适用于 Azure VM 的 虚拟 TPM (vTPM)。 vTPM 是硬件 TPM 的虚拟化版本,符合 TPM 2.0 规范。可以将 vTPM 用作专用的安全保管库,用于保管密钥和度量。 机密 VM 拥有自己的专用 vTPM 实例,该实例在一个安全环境中运行(任何 VM 都无法进入这个环境)。

限制

机密 VM 存在以下限制: 有关常见问题,请参阅关于机密 VM 的常见问题解答

大小支持

机密 VM 支持以下 VM 大小:

  • 无本地磁盘的常规用途:DCasv5-series、DCesv5-series
  • 带本地磁盘的常规用途:DCadsv5-series、DCedsv5-series
  • 无本地磁盘的内存优化:ECasv5-series、ECesv5-series
  • 带本地磁盘的内存优化:ECadsv5-series、ECedsv5-series
  • NVIDIA H100 Tensor 核心 GPU 支持的 NCCadsH100v5 系列

OS 支持

机密 VM 的 OS 映像必须满足特定的安全要求。 这些符合条件的映像设计用来支持可选的机密 OS 磁盘加密,并确保与底层云基础设施的隔离。 满足这些要求有助于保护敏感数据和维护系统完整性。

机密 VM 支持以下 OS 选项:

Linux Windows 客户端 Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS(仅 AMD SEV-SNP) 21H2、21H2 Pro、21H2 Enterprise、21H2 Enterprise N、21H2 Enterprise Multi-session 2019 Server Core
22.04 LTS 22H2、22H2 Pro、22H2 Enterprise、22H2 Enterprise N、22H2 Enterprise Multi-session 2019 Datacenter
24.04 LTS 23H2、23H2 Pro、23H2 Enterprise、23H2 Enterprise N、23H2 Enterprise Multi-session 2022 Server Core
RHEL Windows 10 2022 Azure Edition
9.4(仅 AMD SEV-SNP) 22H2、22H2 Pro、22H2 Enterprise、22H2 Enterprise N、22H2 Enterprise Multi-session 2022 Azure Edition Core
2022 数据中心
SUSE(技术预览版)
15 SP5(Intel TDX、AMD SEV-SNP)
适用于 SAP 的 15 SP5(Intel TDX、AMD SEV-SNP)

区域

机密 VM 在特定 VM 区域中可用的专用硬件上运行。

定价

定价取决于机密 VM 大小。 有关详细详细,请参阅定价计算器

功能支持

机密 VM 不支持以下功能:

  • Azure Batch
  • Azure 备份
  • Azure Site Recovery
  • 有限的 Azure 计算库支持
  • 共享磁盘
  • 加速网络
  • 实时迁移
  • 启动诊断下的屏幕截图

后续步骤

有关详细信息,请参阅我们的机密 VM FAQ