Nejčastější dotazy k důvěrným virtuálním počítačům Azure

Tento článek obsahuje odpovědi na některé z nejběžnějších otázek týkajících se důvěrných virtuálních počítačů.

Co jsou důvěrné virtuální počítače?

Důvěrné virtuální počítače jsou řešení IaaS pro tenanty s vysokými požadavky na zabezpečení a důvěrnost. Nabídka důvěrných virtuálních počítačů:

  • Šifrování pro "data se používají", včetně stavu procesoru a paměti virtuálního počítače. Klíče jsou generovány procesorem a nikdy je neopustí.
  • Ověření identity hostitele vám pomůže ověřit úplný stav a dodržování předpisů serveru před zahájením zpracování dat.
  • Modul hardwarového zabezpečení (HSM) je možné připojit k ochraně klíčů důvěrných disků virtuálních počítačů, které tenant vlastní výhradně.
  • Nová spouštěcí architektura UEFI podporující hostovaný operační systém pro vylepšené nastavení a možnosti zabezpečení
  • Vyhrazený virtuální čip TPM (Trusted Platform Module) certifikuje stav virtuálního počítače, poskytuje posílenou správu klíčů a podporuje případy použití, jako je BitLocker.

Proč mám používat důvěrné virtuální počítače?

Důvěrné virtuální počítače řeší obavy zákazníků ohledně přesunu citlivých úloh místně do cloudu. Důvěrné virtuální počítače poskytují zvýšenou ochranu zákaznických dat ze základní infrastruktury a cloudových operátorů. Na rozdíl od jiných přístupů a řešení nemusíte přizpůsobovat stávající úlohy tak, aby vyhovovaly technickým potřebám platformy.

Co je AMD SEV-SNP a jak souvisí s důvěrnými virtuálními počítači Azure?

SEV-SNP je zkratka pro vnořené stránkování Secure Encrypted Virtualization-Secure. Jedná se o technologii důvěryhodného spouštěcího prostředí (TEE), kterou poskytuje AMD a nabízí několik ochrany: například šifrování paměti, jedinečné klíče procesoru, šifrování stavu registru procesoru, ochranu integrity, ochranu proti vrácení firmwaru, posílení zabezpečení kanálu na straně a omezení chování přerušení a výjimek. Technologie AMD SEV společně posílit ochranu hostů, aby odepřela hypervisor a další kód pro správu hostitelů přístup k paměti a stavu virtuálního počítače. Důvěrné virtuální počítače využívají AMD SEV-SNP s technologiemi Azure, jako je šifrování úplného disku a spravovaný HSM služby Azure Key Vault. Pomocí klíčů, které řídíte, můžete šifrovat použitá data, přenášená a neaktivní uložená data. Díky integrovaným možnostem ověření identity Azure můžete nezávisle navázat důvěru v zabezpečení, stav a základní infrastrukturu důvěrných virtuálních počítačů.

Co jsou technologie Intel TDX a jak souvisí s důvěrnými virtuálními počítači Azure?

Intel TDX je zkratka pro technologii Intel Trust Domain Extensions (Intel TDX) It a Trusted Execution Environment (TEE), kterou poskytuje Intel a nabízí více ochrany: Intel TDX používá hardwarové rozšíření pro správu a šifrování paměti a chrání jak důvěrnost, tak integritu stavu procesoru. Intel TDX navíc pomáhá posílit virtualizované prostředí odepřením hypervisoru, dalšího kódu pro správu hostitelů a přístupu správců k paměti a stavu virtuálního počítače. Důvěrné virtuální počítače kombinují Intel TDX s technologiemi Azure, jako je úplné šifrování disků a spravovaný HSM služby Azure Key Vault. Pomocí klíčů, které řídíte, můžete šifrovat použitá data, přenášená a neaktivní uložená data.

Jak důvěrné virtuální počítače Azure nabízejí lepší ochranu před hrozbami pocházejícími z cloudové infrastruktury Azure i mimo cloudovou infrastrukturu Azure?

Virtuální počítače Azure již nabízejí špičkové zabezpečení a ochranu před jinými tenanty a škodlivými útočníky. Důvěrné virtuální počítače Azure rozšiřují tyto ochrany pomocí hardwarových TEE, jako jsou AMD SEV-SNP a Intel TDX, k kryptografické izolaci a ochraně důvěrnosti a integrity vašich dat. Správci hostitelů ani hostitelské služby (včetně hypervisoru Azure) nemůžou přímo zobrazit nebo upravit stav paměti nebo procesoru vašeho důvěrného virtuálního počítače. Kromě toho s plnou schopností ověření identity, úplným šifrováním disků s operačním systémem a hardwarem chráněnými virtuálními čipy Trusted Platform Modules je trvalý stav chráněn tak, aby vaše privátní klíče a obsah paměti nebyl zpřístupněn hostitelskému prostředí nešifrovaný.

Jsou virtuální disky připojené k důvěrným virtuálním počítačům automaticky chráněné?

Disky operačního systému pro důvěrné virtuální počítače je v současné době možné zašifrovat a zabezpečit. Kvůli dodatečnému zabezpečení můžete povolit šifrování na úrovni hosta (například BitLocker nebo dm-crypt) pro všechny datové jednotky.

Je paměť zapsaná do prohození souboru Windows (pagefile.sys) chráněna TEE?

Ano, ale pouze v případě, že je pagefile.sys umístěn na šifrovaný disk s operačním systémem. Na důvěrných virtuálních počítačích s dočasným diskem je možné soubor pagefile.sys přesunout do šifrovaných tipů pro operační systém pro přesun pagefile.sys na jednotku c:\.

Můžu vygenerovat výpis paměti hostitele z důvěrného virtuálního počítače?

Ne, tato funkce neexistuje pro důvěrné virtuální počítače.

Jak můžu nasadit důvěrné virtuální počítače Azure?

Můžu provést ověření identity pro důvěrné virtuální počítače založené na amd?

Důvěrné virtuální počítače Azure na AMD SEV-SNP procházejí ověřením v rámci fáze spouštění. Tento proces je pro uživatele neprůhlený a probíhá v cloudovém operačním systému se službami Microsoft Azure Attestation a Azure Key Vault. Důvěrné virtuální počítače také umožňují uživatelům provádět nezávislá ověření identity pro jejich důvěrné virtuální počítače. K tomuto ověření identity dochází pomocí nových nástrojů, které se nazývají důvěrné ověření hosta virtuálního počítače Azure. Ověření identity hosta umožňuje zákazníkům ověřit, že jejich důvěrné virtuální počítače běží na procesorech AMD s povoleným SEV-SNP.

Můžu pro důvěrné virtuální počítače založené na Intelu provést ověření identity?

Důvěrné virtuální počítače Azure využívající Intel TDX je možné transparentně ověřit jako součást spouštěcího toku, aby se zajistilo, že platforma dodržuje předpisy a je aktuální. Proces je neprůhlé pro uživatele a provádí se pomocí ověřování Microsoft Azure a služby Azure Key Vault. Pokud chcete pokračovat v provádění kontrol po spuštění, je k dispozici ověření identity na platformě hosta. To vám umožní ověřit, že váš virtuální počítač běží na originálním procesoru Intel TDX. Pokud chcete získat přístup k této funkci, navštivte naši větev Preview. Kromě toho podporujeme Intel® Trust Authority pro podniky, které hledají operátora nezávislé ověření identity. Podpora úplné ověření identity v hostovi, podobně jako AMD SEV-SNP, bude brzy k dispozici. To organizacím umožňuje přejít hlouběji a ověřit další aspekty, a to i do vrstvy hostované aplikace.

Fungují všechny image operačního systému s důvěrnými virtuálními počítači?

Pokud chcete běžet na důvěrném virtuálním počítači, musí image operačního systému splňovat určité požadavky na zabezpečení a kompatibilitu. To umožňuje bezpečné připojení důvěrných virtuálních počítačů, jejich testování a izolaci od základní cloudové infrastruktury. V budoucnu plánujeme poskytnout pokyny k tomu, jak vytvořit vlastní sestavení Linuxu a použít sadu opensourcových oprav, aby se kvalifikoval jako důvěrná image virtuálního počítače.

Můžu přizpůsobit jednu z dostupných imagí důvěrných virtuálních počítačů?

Ano. Galerii výpočetních prostředků Azure můžete použít k úpravě důvěrné image virtuálního počítače, například instalací aplikací. Pak můžete nasadit důvěrné virtuální počítače na základě upravené image.

Musím použít schéma úplného šifrování disku? Můžu místo toho použít standardní schéma?

Volitelné schéma šifrování na plný disk je nejbezpečnější v Azure a splňuje principy důvěrného computingu. Můžete ale také použít jiná schémata šifrování disků spolu s šifrováním na plný disk nebo místo šifrování na plný disk. Pokud používáte více schémat šifrování disků, může dvojité šifrování negativně ovlivnit výkon.

Protože důvěrné virtuální počítače Azure podporují virtuální čip TPM, můžu zapečetit tajné kódy nebo klíče k virtuálnímu virtuálnímu počítači virtuálního počítače?

Každý důvěrný virtuální počítač Azure má svůj vlastní virtuální čip TPM, kde zákazníci můžou zapečetit tajné kódy a klíče. Zákazníkům se doporučuje ověřit stav virtuálního počítače vTPM (přes TPM.msc pro virtuální počítače s Windows). Pokud stav není připravený k použití, doporučujeme restartovat virtuální počítače před uzavřením tajných kódů nebo klíčů do virtuálního počítače vTPM.

Můžu po vytvoření virtuálního počítače povolit nebo zakázat nové schéma úplného šifrování disku?

Ne. Po vytvoření důvěrného virtuálního počítače nemůžete deaktivovat ani znovu aktivovat šifrování na plný disk. Místo toho vytvořte nový důvěrný virtuální počítač.

Můžu řídit více aspektů důvěryhodného výpočetního základu pro vynucení správy nezávislých klíčů, ověření identity a šifrování disků operátorem?

Vývojáři, kteří hledají další oddělení povinností pro služby TCB od poskytovatele cloudových služeb, by měli použít typ zabezpečení NonPersistedTPM.

  • Toto prostředí je k dispozici pouze v rámci verze Public Preview pro Intel TDX. Organizace, které ji používají, nebo poskytují služby, mají kontrolu nad TCB a odpovědností, které spolu s ní přicházejí.
  • Toto prostředí obchází nativní služby Azure a umožňuje vám přinést vlastní šifrování disků, správu klíčů a řešení ověření identity.
  • Každý virtuální počítač stále má virtuální počítač vTPM, který by se měl použít k načtení důkazů o hardwaru, ale stav virtuálního počítače se neprovádí restartováním, což znamená, že toto řešení je vynikající pro dočasné úlohy a organizace, které chtějí oddělit od poskytovatele cloudových služeb.

Můžu převést neutajení virtuálního počítače na důvěrný virtuální počítač?

Ne. Z bezpečnostních důvodů musíte od začátku vytvořit důvěrný virtuální počítač.

Můžu převést DCasv5/ECasv5 CVM na DCesv5/ECesv5 CVM nebo DCesv5/ECesv5 CVM na DCasv5/ECasv5 CVM?

Ano, převod z jednoho důvěrného virtuálního počítače na jiný důvěrný virtuální počítač je povolený na virtuálním počítači DCasv5/ECasv5 i DCesv5/ECesv5 v oblastech, které sdílejí. Pokud používáte image Windows, ujistěte se, že máte všechny nejnovější aktualizace. Pokud používáte image Ubuntu Linuxu, ujistěte se, že používáte důvěrnou image Ubuntu 22.04 LTS s minimální verzí 6.2.0-1011-azurejádra.

Proč na webu Azure Portal nejde najít virtuální počítače DCasv5/ECasv5 nebo DCesv5/ECesv5?

Ujistěte se, že jste pro důvěrné virtuální počítače vybrali dostupnou oblast. Nezapomeňte také vybrat vymazat všechny filtry v selektoru velikosti.

Můžu na důvěrných virtuálních počítačích povolit akcelerované síťové služby Azure?

Ne. Důvěrné virtuální počítače nepodporují akcelerované síťové služby. Akcelerované síťové služby nemůžete povolit pro žádné důvěrné nasazení virtuálního počítače ani pro nasazení clusteru Azure Kubernetes Service, které běží na důvěrném výpočetním prostředí.

Co tato chyba znamená? Operace se nepovedlo dokončit, protože výsledkem je překročení schválené kvóty pro jádra rodiny DCasV5/ECasv5 nebo ECesv5/ECesv5

Možná se zobrazí chybová operace, protože výsledkem je překročení schválené kvóty pro jádra rodiny DCasv5/ECasv5. Tato chyba šablony Azure Resource Manageru (šablona ARM) znamená, že nasazení selhalo kvůli nedostatku výpočetních jader Azure. Bezplatná zkušební předplatná Azure nemají dostatečnou kvótu jader pro důvěrné virtuální počítače. Vytvořte žádost o podporu pro zvýšení kvóty.

Jaký je rozdíl mezi virtuálními počítači řady DCasv5/DCesv5-series a ECasv5-series/ECesv5-series?

ECasv5-series a ECesv5-series jsou velikosti virtuálních počítačů optimalizované pro paměť, které nabízejí vyšší poměr paměti k procesoru. Tyto velikosti jsou zvláště vhodné pro servery relačních databází, střední až velké mezipaměti a analýzu v paměti.

Jsou důvěrné virtuální počítače dostupné globálně?

Ne. V tuto chvíli jsou tyto virtuální počítače dostupné jenom ve vybraných oblastech. Aktuální seznam dostupnýchoblastích

Co se stane, když potřebuji, aby mi Microsoft pomohl se službou nebo získat přístup k datům na svém důvěrném virtuálním počítači?

Azure nemá provozní postupy pro udělení důvěrného přístupu k virtuálnímu počítači svým zaměstnancům, i když zákazník autorizuje přístup. V důsledku toho nejsou pro důvěrné virtuální počítače dostupné různé scénáře obnovení a podpory.

Podporují důvěrné virtuální počítače virtualizaci, jako je Azure VMware Solution?

Ne, důvěrné virtuální počítače v současné době nepodporují vnořenou virtualizaci, například schopnost spustit hypervisor uvnitř virtuálního počítače.

Existují další náklady na používání důvěrných virtuálních počítačů?

Fakturace důvěrných virtuálních počítačů závisí na využití a úložišti a velikosti a oblasti virtuálního počítače. Důvěrné virtuální počítače používají malý šifrovaný disk hostovaného virtuálního počítače (VMGS) několika megabajtů. VMGS zapouzdřuje stav zabezpečení virtuálního počítače komponent, jako je spouštěcí zavaděč VTPM a UEFI. Tento disk může vést k měsíčnímu poplatku za úložiště. Pokud se také rozhodnete povolit volitelné šifrování na plný disk, zašifrované disky s operačním systémem se účtují vyšší náklady. Další informace o poplatcích za úložiště najdete v průvodci cenami spravovaných disků. A konečně, u některých nastavení zabezpečení a ochrany osobních údajů můžete vytvořit propojené prostředky, jako je spravovaný fond HSM. Azure tyto prostředky fakturuje odděleně od nákladů na důvěrné virtuální počítače.

Co můžu dělat, když se čas na virtuálním počítači řady DCesv5/ECesv5 liší od UTC?

V některých virtuálních počítačích řady DCesv5/ECesv5 můžou u některých virtuálních počítačů řady DCesv5 docházet k malému časovému rozdílu od UTC. Pro tuto chvíli je k dispozici dlouhodobá oprava. Mezitím tady jsou alternativní řešení pro virtuální počítače s Windows a Ubuntu Linuxem:

sc config vmictimesync start=disabled
sc stop vmictimesync

V případě imagí Ubuntu Linux spusťte následující skript:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service