Informazioni sulle macchine virtuali riservate di Azure

Le macchine virtuali riservate di Azure offrono sicurezza e riservatezza avanzate per i tenant. Creano un limite applicato tramite hardware tra l'applicazione e lo stack di virtualizzazione. Possono essere usate per le migrazioni cloud senza modifiche al codice e la piattaforma garantisce la protezione continua dello stato della macchina virtuale.

Microsoft Mechanics

Vantaggi delle macchine virtuali riservate

• Isolamento affidabile basato su hardware tra macchine virtuali, hypervisor e codice di gestione host.
• Criteri di attestazione personalizzabili per garantire la conformità dell'host prima della distribuzione.
• Crittografia del disco del sistema operativo riservato basata sul cloud prima del primo avvio.
• Chiavi di crittografia della macchina virtuale che la piattaforma o il cliente (facoltativamente) possiede e gestisce.
• Versione della chiave sicura con l'associazione crittografica tra l'attestazione corretta della piattaforma e le chiavi di crittografia della macchina virtuale.
• Istanza Trusted Platform Module (TPM) virtuale dedicata per l'attestazione e la protezione di chiavi e segreti nella macchina virtuale.
• Funzionalità di avvio sicuro simili all'Avvio attendibile per le macchine virtuali di Azure

Crittografia del disco del sistema operativo riservato

Le macchine virtuali riservate di Azure offrono uno schema di crittografia dei dischi nuovo e tecnologicamente avanzato. Questo schema protegge tutte le partizioni critiche del disco. Associa anche le chiavi di crittografia del disco al TPM della macchina virtuale e rende il contenuto del disco protetto accessibile esclusivamente alla macchina virtuale. Queste chiavi di crittografia possono ignorare in modo sicuro i componenti di Azure, incluso l'hypervisor e il sistema operativo host. Per ridurre al minimo il potenziale di attacco, un servizio cloud dedicato e separato crittografa anche il disco durante la creazione iniziale della macchina virtuale.

Se la piattaforma di calcolo non possiede impostazioni critiche per l'isolamento della macchina virtuale, Attestazione di Azure non attesta l'integrità della piattaforma durante l'avvio, impedendo invece l'avvio della macchina virtuale. Tale scenario si verifica se, ad esempio, non è stato abilitato il SEV-SNP.

La crittografia del disco del sistema operativo riservato è facoltativa, poiché tale processo può aumentare il tempo di creazione iniziale della macchina virtuale. È possibile scegliere tra:

• Macchina virtuale riservata con crittografia del disco del sistema operativo riservato prima della distribuzione su macchine virtuali che usa chiavi gestite dalla piattaforma (PMK) o una chiave gestita dal cliente.
• Macchina virtuale riservata senza crittografia del disco del sistema operativo riservato prima della distribuzione su macchine virtuali.

Per ulteriore integrità e protezione, le macchine virtuali riservate offrono l'avvio protetto (Secure Boot) per impostazione predefinita quando è selezionata la crittografia del disco del sistema operativo riservato.

Con l'avvio protetto, i server di pubblicazione devono firmare i componenti di avvio del sistema operativo (inclusi il caricatore di avvio, il kernel e i driver del kernel). Tutte le immagini di macchine virtuali riservate compatibili supportano l'avvio protetto.

Crittografia dischi temporanei riservati

Inoltre, è possibile estendere la protezione della crittografia del disco riservato al disco temporaneo. Tale funzionalità viene abilitata sfruttando una tecnologia di crittografia con chiave simmetrica in-VM, dopo che il disco è collegato al CVM.

Il disco temporaneo offre un’archiviazione rapida, locale e a breve termine per applicazioni e processi. È progettato solo per archiviare dati, ad esempio file di pagina, file di log, dati memorizzati nella cache e altre tipologie di dati temporanei. I dischi temporanei nelle CVM contengono il file di pagina, noto anche come file di scambio, che può contenere dati sensibili. In assenza di crittografia, i dati in questi dischi possono essere accessibili all'host. Dopo aver abilitato questa funzionalità, i dati nei dischi temporanei non vengono più esposti all'host.

La funzionalità può essere abilitata tramite un processo di consenso esplicito. Per scoprire di più, leggi la documentazione.

Differenze di prezzo della crittografia

Le macchine virtuali riservate di Azure utilizzano sia il disco del sistema operativo che un piccolo disco VMGS (Virtual Machine Guest State) crittografato di diversi megabyte. Il disco VMGS contiene lo stato di sicurezza dei componenti della macchina virtuale. Alcuni componenti includono vTPM e bootloader UEFI. Il piccolo disco VMGS potrebbe comportare un costo di archiviazione mensile.

A partire da luglio 2022, i dischi del sistema operativo crittografati hanno costi più elevati. Per altre informazioni, vedere la guida ai prezzi per i dischi gestiti.

Attestazione e TPM

Le macchine virtuali riservate di Azure vengono avviate solo dopo l'attestazione corretta dei componenti critici e delle impostazioni di sicurezza della piattaforma. Il report di attestazione include:

• Report di attestazione firmato
• Impostazioni di avvio della piattaforma
• Misure del firmware della piattaforma
• Misure del sistema operativo

È possibile inizializzare una richiesta di attestazione all'interno di una macchina virtuale riservata per verificare che le macchine virtuali riservate eseguano un'istanza hardware con processori abilitati per AMD SEV-SNP o Intel TDX. Per altre informazioni, vedere Attestazione guest di macchine virtuali riservate di Azure.

Le macchine virtuali riservate di Azure includono un TPM virtuale (vTPM) per le macchine virtuali di Azure. Il vTPM è una versione virtualizzata di un TPM hardware ed è conforme alla specifica TPM 2.2.0. È possibile usare un vTPM come insieme di credenziali sicuro dedicato per chiavi e misure. Le macchine virtuali riservate hanno una propria istanza vTPM dedicata, che viene eseguita in un ambiente sicuro al di fuori della portata di qualsiasi macchina virtuale.

Limiti

Per le macchine virtuali riservate esistono le limitazioni seguenti. Per domande ricorrenti, vedere Domande frequenti sulle macchine virtuali riservate.

Supporto delle dimensioni

Le macchine virtuali riservate supportano le dimensioni di macchine virtuali seguenti:

• Utilizzo generico senza disco locale: serie DCasv5, serie DCesv5
• Utilizzo generico con disco locale: serie DCadsv5, serie DCedsv5
• Ottimizzato per la memoria senza disco locale: serie ECasv5, serie ECesv5
• Ottimizzato con disco locale: serie ECadsv5, serie ECedsv5
• GPU NVIDIA H100 Tensor Core con tecnologia Serie NCCadsH100v5

Sistemi operativi supportati

Le immagini del sistema operativo per le macchine virtuali riservate devono soddisfare requisiti di sicurezza specifici. Queste immagini qualificate sono progettate per supportare una crittografia facoltativa del disco del sistema operativo riservato e garantire l'isolamento dall'infrastruttura cloud sottostante. Soddisfare questi requisiti consente di proteggere i dati sensibili e mantenere l'integrità del sistema.

Le macchine virtuali riservate supportano le opzioni del sistema operativo seguenti:

Aree

Le macchine virtuali riservate vengono eseguite su hardware specializzato disponibile in aree di macchine virtualispecifiche.

Prezzi

I prezzi dipendono dalle dimensioni della macchina virtuale riservata. Per altre informazioni, vedere il Calcolatore dei prezzi.

Supporto funzionalità

Le macchine virtuali riservate non supportano:

• Azure Batch
• Backup di Azure
• Azure Site Recovery
• Supporto limitato di Raccolta di calcolo di Azure
• Dischi condivisi
• Rete accelerata
• Live Migration
• Screenshot nella diagnostica di avvio

Passaggi successivi

Per altre informazioni, vedere le domande frequenti sulla macchina virtuale riservata.