Informace o důvěrných virtuálních počítačích Azure
Důvěrné virtuální počítače Azure nabízejí pro tenanty silné zabezpečení a důvěrnost. Vytvoří hranice vynucené hardwarem mezi vaší aplikací a zásobníkem virtualizace. Můžete je použít pro migrace do cloudu beze změny kódu a platforma zajistí, že stav virtuálního počítače zůstane chráněný.
Důležité
Úrovně ochrany se liší v závislosti na konfiguraci a předvolbách. Microsoft může například vlastnit nebo spravovat šifrovací klíče pro větší pohodlí bez dalších poplatků.
Microsoft Mechanics
Výhody důvěrných virtuálních počítačů
- Robustní hardwarová izolace mezi virtuálními počítači, hypervisorem a kódem pro správu hostitelů.
- Přizpůsobitelné zásady ověření identity, které zajistí dodržování předpisů hostitele před nasazením.
- Cloudové důvěrné šifrování disku s operačním systémem před prvním spuštěním.
- Šifrovací klíče virtuálních počítačů, které platforma nebo zákazník (volitelně) vlastní a spravuje.
- Zabezpečené vydání klíče s kryptografickou vazbou mezi úspěšným ověřením identity platformy a šifrovacími klíči virtuálního počítače.
- Vyhrazená instance čipu TPM (Trusted Platform Module) pro ověření identity a ochranu klíčů a tajných kódů na virtuálním počítači.
- Funkce zabezpečeného spouštění podobná důvěryhodnému spuštění pro virtuální počítače Azure
Šifrování důvěrných disků s operačním systémem
Důvěrné virtuální počítače Azure nabízejí nové a vylepšené schéma šifrování disků. Toto schéma chrání všechny důležité oddíly disku. Vytvoří také vazbu šifrovacích klíčů disku k čipu TPM virtuálního počítače a zpřístupní chráněný obsah disku jenom virtuálnímu počítači. Tyto šifrovací klíče můžou bezpečně obejít komponenty Azure, včetně hypervisoru a hostitelského operačního systému. Kvůli minimalizaci potenciálního útoku zašifruje disk během počátečního vytvoření virtuálního počítače vyhrazená a samostatná cloudová služba.
Pokud výpočetní platformě chybí důležitá nastavení izolace virtuálního počítače, ověření identity Azure během spouštění neotestuje stav platformy a místo toho zabrání spuštění virtuálního počítače. K tomuto scénáři dochází, pokud jste například nepovolili SEV-SNP.
Důvěrné šifrování disku s operačním systémem je volitelné, protože tento proces může prodloužit počáteční dobu vytvoření virtuálního počítače. Můžete si vybrat mezi možnostmi:
- Důvěrný virtuální počítač s důvěrným šifrováním disků s operačním systémem před nasazením virtuálního počítače, který používá klíče spravované platformou (PMK) nebo klíč spravovaný zákazníkem (CMK).
- Důvěrný virtuální počítač bez důvěrného šifrování disku s operačním systémem před nasazením virtuálního počítače.
Pro další integritu a ochranu nabízejí důvěrné virtuální počítače ve výchozím nastavení zabezpečené spouštění při výběru šifrování disku s důvěrným operačním systémem.
Při zabezpečeném spouštění musí důvěryhodní vydavatelé podepisovat spouštěcí komponenty operačního systému (včetně zavaděče spouštění, jádra a ovladačů jádra). Všechny kompatibilní důvěrné image virtuálních počítačů podporují zabezpečené spouštění.
Důvěrné šifrování dočasného disku
Ochranu důvěrného šifrování disku můžete také rozšířit na dočasný disk. Tuto možnost povolíme použitím technologie šifrování symetrického klíče virtuálního počítače po připojení disku k CVM.
Dočasný disk poskytuje rychlé, místní a krátkodobé úložiště pro aplikace a procesy. Účelem je ukládat pouze data, jako jsou stránkovací soubory, soubory protokolů, data uložená v mezipaměti a další typy dočasných dat. Dočasné disky na CVM obsahují stránkovací soubor, označovaný také jako prohozený soubor, který může obsahovat citlivá data. Bez šifrování můžou být data na těchto discích přístupná hostiteli. Po povolení této funkce se data na dočasných discích už nezobrazují hostiteli.
Tuto funkci je možné povolit prostřednictvím procesu přihlášení. Další informace najdete v dokumentaci.
Rozdíly v cenách šifrování
Důvěrné virtuální počítače Azure používají disk s operačním systémem i malý šifrovaný disk hostovaného virtuálního počítače (VMGS) několika megabajtů. Disk VMGS obsahuje stav zabezpečení komponent virtuálního počítače. Mezi komponenty patří spouštěcí zavaděč VTPM a UEFI. U malého disku VMGS můžou vzniknout měsíční náklady na úložiště.
Od července 2022 se zašifrované disky s operačním systémem budou účtovat vyšší náklady. Další informace najdete v průvodci cenami spravovaných disků.
Ověření identity a TPM
Důvěrné virtuální počítače Azure se spouští až po úspěšném ověření důležitých komponent platformy a nastavení zabezpečení. Sestava ověření identity zahrnuje:
- Podepsaná sestava ověření identity
- Nastavení spouštění platformy
- Měření firmwaru platformy
- Měření operačního systému
Žádost o ověření identity můžete inicializovat uvnitř důvěrného virtuálního počítače, abyste ověřili, že vaše důvěrné virtuální počítače používají hardwarovou instanci s procesory AMD SEV-SNP nebo intel TDX. Další informace najdete v tématu Ověření identity hosta virtuálního počítače Azure s důvěrnými informacemi.
Důvěrné virtuální počítače Azure mají virtuální čip TPM (vTPM) pro virtuální počítače Azure. VTPM je virtualizovaná verze hardwarového čipu TPM a splňuje specifikace TPM 2.0. Virtuální počítač vTPM můžete použít jako vyhrazený zabezpečený trezor pro klíče a měření. Důvěrné virtuální počítače mají svou vlastní vyhrazenou instanci virtuálního počítače vTPM, která běží v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače.
Omezení
Pro důvěrné virtuální počítače existují následující omezení. Nejčastější dotazy najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.
Podpora velikosti
Důvěrné virtuální počítače podporují následující velikosti virtuálních počítačů:
- Obecné účely bez místního disku: DCasv5-series, DCesv5-series
- Obecné účely s místním diskem: DCadsv5-series, DCedsv5-series
- Optimalizováno pro paměť bez místního disku: ECasv5-series, ECesv5-series
- Paměť optimalizovaná s místním diskem: ECadsv5-series, ECedsv5-series
- NVIDIA H100 Tensor Core GPU s procesorem NCCadsH100v5
Podpora operačního systému
Image operačního systému pro důvěrné virtuální počítače musí splňovat konkrétní požadavky na zabezpečení. Tyto kvalifikované image jsou navržené tak, aby podporovaly volitelné důvěrné šifrování disku s operačním systémem a zajistily izolaci od základní cloudové infrastruktury. Splnění těchto požadavků pomáhá chránit citlivá data a udržovat integritu systému.
Důvěrné virtuální počítače podporují následující možnosti operačního systému:
Linux | Klient Windows | Windows Server |
---|---|---|
Ubuntu | Windows 11 | Windows Server Datacenter |
20.04 LTS (pouze AMD SEV-SNP) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session | Jádro serveru 2019 |
22.04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2019 Datacenter |
24.04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session | Jádro serveru 2022 |
RHEL | Windows 10 | 2022 Azure Edition |
9.4 (Pouze AMD SEV-SNP) | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2022 Azure Edition Core |
2022 Datacenter | ||
SUSE (Tech Preview) | ||
15 SP5 (Intel TDX, AMD SEV-SNP) | ||
15 SP5 pro SAP (Intel TDX, AMD SEV-SNP) |
Oblasti
Důvěrné virtuální počítače běží na specializovaném hardwaru dostupném v konkrétních oblastech virtuálních počítačů.
Ceny
Ceny závisí na vaší důvěrné velikosti virtuálního počítače. Další informace najdete v cenové kalkulačce.
Podpora funkcí
Důvěrné virtuální počítače nepodporují:
- Azure Batch
- Azure Backup
- Azure Site Recovery
- Omezená podpora galerie výpočetních prostředků Azure
- Sdílené disky
- Akcelerované síťové služby
- Migrace za provozu
- Snímky obrazovky pod diagnostikou spouštění
Další kroky
Další informace najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.