關於 Azure 機密 VM
Azure 機密 VM 為租用戶提供強大的安全性和機密性。 它們會在您的應用程式與虛擬化堆疊之間建立硬體強制執行的界限。 您可以將其用於雲端移轉,而不需要修改程式碼,且平台可確保您的 VM 狀態維持受保護狀態。
重要
保護層級會根據您的設定和喜好設定而有所不同。 例如,Microsoft 可以擁有或管理加密金鑰來增加便利性,而不需要額外費用。
Microsoft Mechanics
機密 VM 的優點
- 虛擬機器、Hypervisor 和主機管理程式碼之間的健全硬體式隔離。
- 可自訂的證明原則,確保主機在部署之前符合規範。
- 第一次開機之前的雲端式機密 OS 磁碟加密。
- 平台或客戶 (選擇性) 可擁有和管理 VM 加密金鑰。
- 透過平台成功證明與 VM 加密金鑰之間的密碼編譯繫結保護金鑰發行。
- 專用的虛擬信任平台模組 (TPM) 執行個體,用於證明及保護虛擬機器中的金鑰和祕密。
- 安全開機功能,類似於 Azure VM 的可信啟動
機密 OS 磁碟加密
Azure 機密 VM 提供增強的最新磁碟加密配置。 此配置可保護磁碟的所有重要分割區。 這也會將磁碟加密金鑰繫結到虛擬機器的 TPM,並只讓該 VM 存取受保護的磁碟內容。 這些加密金鑰可以安全地略過 Azure 元件,包括 Hypervisor 和主機作業系統。 為了將攻擊可能性降到最低,專用和個別的雲端服務也會在 VM 初始建立期間加密磁碟。
如果計算平台遺漏 VM 隔離的重要設定,Azure 證明將不會在開機期間證明平台的健康情況,而是會避免 VM 啟動。 例如,如果您尚未啟用 SEV-SNP,就會發生此狀況。
機密 OS 磁碟加密是選用功能,因為此程序會延長初始 VM 建立時間。 您可以在以下項之間進行選擇:
- 在使用平台代控金鑰 (PMK) 或客戶自控金鑰 (CMK) 的 VM 部署之前,使用具有完整 OS 磁碟加密的機密 VM。
- 在 VM 部署之前,使用沒有機密 OS 磁碟加密的機密 VM。
為獲得進一步的完整性和保護,機密 VM 預設會在選取機密 OS 磁碟加密時提供安全開機。
使用安全開機時,受信任的發行者必須簽署 OS 開機元件 (包括開機載入器、核心和核心驅動程式)。 所有相容的機密 VM 映像都支援安全開機。
機密暫存磁碟加密
您也可以將機密磁碟加密的保護延伸至暫存磁碟。 在磁碟連結至 CVM 之後,我們會利用 VM 內對稱密鑰加密技術來啟用此功能。
暫存磁碟可為應用程式和程序提供快速且短期的本機儲存。 其只用來儲存頁面檔案、記錄檔、快取資料及其他類型的暫存資料。 CVM 上的暫存磁碟包含頁面檔案,也稱為分頁檔,其中可包含敏感資料。 如果沒有加密,這些磁碟上的資料就可供主機存取。 啟用此功能之後,暫存磁碟上的資料就不會再向主機公開。
這項功能可以透過選擇加入程序來啟用。 若要深入了解,請參閱文件。
加密定價的差異
Azure 機密 VM 會使用數 MB 的 OS 磁碟和小型加密虛擬機器客體狀態 (VMGS) 磁碟。 VMGS 磁碟包含 VM 元件的安全性狀態。 某些元件會包括 vTPM 和 UEFI 開機載入器。 小型 VMGS 磁碟可能會產生每月儲存體成本。
從 2022 年 7 月起,加密的 OS 磁碟會產生較高的成本。 如需詳細資訊,請參閱受控磁碟的定價指南。
證明和 TPM
只有在成功證明平台的重要元件和安全性設定之後,Azure 機密 VM 才會開機。 證明報告包括:
- 已簽署的證明報告
- 平台開機設定
- 平台韌體度量
- OS 度量
您可以在機密 VM 內初始化證明要求,以確認機密 VM 執行的硬體執行個體具有 AMD SEV-SNP 或啟用 Intel TDX 的處理器。 如需詳細資訊,請參閱 Azure 機密 VM 客體證明。
Azure 機密 VM 具有適用於 Azure VM 的虛擬 TPM (vTPM)。 vTPM 是硬體 TPM 的虛擬化版本,且符合 TPM2.0 規格。您可以使用 vTPM 作為金鑰和度量的專用安全保存庫。 機密 VM 有自己的專用 vTPM 執行個體,可在不觸及任何 VM 的安全環境中執行。
限制
機密 VM 有下列限制。 關於常見問題,請參閱機密 VM 的常見問題。
大小支援
機密 VM 支援下列 VM 大小:
- 不含本機磁碟的一般用途:DCasv5 系列、DCesv5 系列
- 包含本機磁碟的一般用途:DCadsv5 系列、DCedsv5 系列
- 不含本機磁碟的記憶體最佳化:ECasv5 系列、ECesv5 系列
- 包含本機磁碟的記憶體最佳化:ECadsv5 系列、ECedsv5 系列
- NVIDIA H100 Tensor Core GPU 支援的 NCCadsH100v5 系列
OS 支援
機密 VM 的 OS 映像必須符合特定安全性需求。 這些合格映像的設計目的是要支援選擇性的機密 OS 磁碟加密,並確保與基礎雲端基礎結構隔離。 符合這些需求有助於保護敏感性資料並維護系統完整性。
機密 VM 支援下列 OS 選項:
Linux | Windows 用戶端 | Windows 伺服器 |
---|---|---|
Ubuntu | Windows 11 | Windows Server Datacenter |
20.04 LTS (僅限 AMD SEV-SNP) | 21H2、21H2 Pro、21H2 Enterprise、21H2 Enterprise N、21H2 Enterprise Multi-session | 2019 Server Core |
22.04 LTS | 22H2、22H2 Pro、22H2 Enterprise、22H2 Enterprise N、22H2 Enterprise Multi-session | 2019 Datacenter |
24.04 LTS | 23H2、23H2 Pro、23H2 Enterprise、23H2 Enterprise N、23H2 Enterprise Multi-session | 2022 Server Core |
RHEL | Windows 10 | 2022 Azure Edition |
9.4 (僅限 AMD SEV-SNP) | 22H2、22H2 Pro、22H2 Enterprise、22H2 Enterprise N、22H2 Enterprise Multi-session | 2022 Azure Edition Core |
2022 Datacenter | ||
SUSE (技術預覽) | ||
15 SP5 (Intel TDX、AMD SEV-SNP) | ||
15 SP5 for SAP (Intel TDX、AMD SEV-SNP) |
地區
機密 VM 只會在特定 VM 區域中可用的特殊硬體上執行。
定價
定價取決於您的機密 VM 大小。 如需詳細資訊,請參閱定價計算機。
功能支援
機密 VM 不支援:
- Azure Batch
- Azure 備份
- Azure Site Recovery
- 有限的 Azure Compute Gallery 支援
- 共用磁碟
- 加速網路
- 即時移轉
- 開機診斷底下的螢幕擷取畫面
下一步
如需詳細資訊,請參閱我們的機密 VM 常見問題。