Bu makalede, gizli sanal makineler (VM) hakkındaki en yaygın sorulardan bazılarının yanıtları verilmektedir.
Gizli VM'ler nedir?
Gizli VM'ler, yüksek güvenlik ve gizlilik gereksinimleri olan kiracılar için bir IaaS çözümüdir. Gizli VM'ler teklifi:
- İşlemci durumu ve sanal makinenin belleği dahil olmak üzere "kullanımdaki veriler" için şifreleme. Anahtarlar işlemci tarafından oluşturulur ve hiçbir zaman bırakmaz.
- Konak kanıtlama, veri işleme başlamadan önce sunucunun tam sistem durumunu ve uyumluluğunu doğrulamanıza yardımcı olur.
- Donanım Güvenlik Modülü (HSM), kiracının özel olarak sahip olduğu gizli VM disklerinin anahtarlarını korumak için eklenebilir.
- Gelişmiş güvenlik ayarları ve özellikleri için konuk işletim sistemini destekleyen yeni UEFI önyükleme mimarisi.
- Ayrılmış bir sanal Güvenilen Platform Modülü (TPM), VM'nin durumunu onaylar, sağlamlaştırılmış anahtar yönetimi sağlar ve BitLocker gibi kullanım örneklerini destekler.
Neden gizli VM'leri kullanmalıyım?
Gizli VM'ler, müşterinin hassas iş yüklerini şirket dışına buluta taşıma konusundaki endişelerini giderir. Gizli VM'ler, temel alınan altyapı ve bulut operatörlerinin müşteri verileri için yükseltilmiş korumalar sağlar. Diğer yaklaşımların ve çözümlerin aksine, mevcut iş yüklerinizi platformun teknik gereksinimlerine uyacak şekilde uyarlamanız gerekmez.
AMD SEV-SNP nedir ve Bunun Azure gizli VM'leriyle ilişkisi nedir?
SEV-SNP, Güvenli Şifrelenmiş Sanallaştırma-Güvenli İç İçe Disk Belleği anlamına gelir. BU, AMD tarafından sağlanan ve birden çok koruma sağlayan bir Güvenilir Yürütme Ortamı (TEE) teknolojisidir: Örneğin, bellek şifrelemesi, benzersiz CPU anahtarları, işlemci kayıt durumu için şifreleme, bütünlük koruması, üretici yazılımı geri alma önleme, yan kanal sağlamlaştırma ve kesme ve özel durum davranışı kısıtlamaları. AMD SEV teknolojileri, sanal makine belleğine ve durumuna hiper yönetici ve diğer konak yönetimi kodu erişimini reddetmek için konuk korumalarını toplu olarak güçlendirir. Gizli VM'ler, tam disk şifrelemesi ve Azure Key Vault Yönetilen HSM gibi Azure teknolojileriyle AMD SEV-SNP'lerden yararlanıyor. Kullanımdaki, aktarımdaki ve bekleyen verileri denetlediğiniz anahtarlarla şifreleyebilirsiniz. Yerleşik Azure Doğrulama özellikleriyle, gizli VM'lerinizin güvenliğine, durumuna ve temel alınan altyapısına bağımsız olarak güven oluşturabilirsiniz.
Intel TDX teknolojileri nedir ve Azure gizli VM'leriyle nasıl ilişkilidir?
Intel TDX, Intel Trust Domain Extensions (Intel TDX) anlamına gelir. Intel tarafından sağlanan ve birden çok koruma sağlayan bir Güvenilen Yürütme Ortamı (TEE) teknolojisidir: Intel TDX, belleği yönetmek ve şifrelemek için donanım uzantılarını kullanır ve CPU durumunun hem gizliliğini hem de bütünlüğünü korur. Ayrıca Intel TDX hiper yöneticiyi, diğer konak yönetim kodunu ve yöneticilerin VM belleğine ve durumuna erişimini reddederek sanallaştırılmış ortamı sağlamlaştırmaya yardımcı olur. Gizli VM'ler, Intel TDX'i tam disk şifrelemesi ve Azure Key Vault Yönetilen HSM gibi Azure teknolojileriyle birleştirir. Kullanımdaki, aktarımdaki ve bekleyen verileri denetlediğiniz anahtarlarla şifreleyebilirsiniz.
Azure gizli VM'leri, Azure bulut altyapısının hem içinden hem de dışından kaynaklanan tehditlere karşı nasıl daha iyi koruma sağlar?
Azure VM'leri zaten diğer kiracılara ve kötü amaçlı davetsiz misafirlere karşı sektör lideri güvenlik ve koruma sunar. Azure gizli VM'leri, veri gizliliğinizi ve bütünlüğünüzü şifrelemek ve korumak için AMD SEV-SNP ve Intel TDX gibi donanım tabanlı TEE'leri kullanarak bu korumaları genişletir. Hiçbir konak yöneticisi veya konak hizmeti (Azure hiper yöneticisi dahil) gizli VM'nizin belleğini veya CPU durumunu doğrudan görüntüleyemez veya değiştiremez. Ayrıca, tam kanıtlama özelliği, tam işletim sistemi disk şifrelemesi ve donanım korumalı sanal Güvenilen Platform Modülleri ile kalıcı durum, özel anahtarlarınızın korunması ve belleğinizin içeriğinin barındırma ortamına şifrelenmemiş olarak gösterilmemesi için korunur.
Gizli VM'lere bağlı sanal diskler otomatik olarak korunuyor mu?
Şu anda gizli VM'ler için işletim sistemi diskleri şifrelenebilir ve güvenliği sağlanabilir. Ek güvenlik için tüm veri sürücüleri için konuk düzeyinde şifrelemeyi (BitLocker veya dm-crypt gibi) etkinleştirebilirsiniz.
Windows takas dosyasına (pagefile.sys) yazılan bellek TEE tarafından korunuyor mu?
Evet, ancak yalnızca pagefile.sys şifrelenmiş işletim sistemi diskinde bulunuyorsa. Geçici diske sahip gizli VM'lerde, pagefile.sys dosyası pagefile.sys c:\ sürücüsüne taşımak için şifrelenmiş işletim sistemi ipuçlarına taşınabilir.
Gizli SANAL makinemin içinden bir konak bellek dökümü oluşturabilir miyim?
Hayır, bu özellik gizli VM'ler için mevcut değildir.
Azure gizli VM'lerini nasıl dağıtabilirim?
Gizli bir VM'yi dağıtmanın bazı yolları şunlardır:
AMD tabanlı gizli VM'lerim için kanıtlama gerçekleştirebilir miyim?
AMD SEV-SNP üzerindeki Azure gizli VM'leri, önyükleme aşamalarının bir parçası olarak kanıtlamadan geçer. Bu işlem kullanıcıya göre uygun değildir ve Microsoft Azure Doğrulama ve Azure Key Vault hizmetleriyle bulut işletim sisteminde gerçekleşir. Gizli VM'ler, kullanıcıların gizli VM'leri için bağımsız kanıtlama gerçekleştirmesine de olanak sağlar. Bu kanıtlama, Azure gizli VM Konuk Kanıtlama adlı yeni araçlar kullanılarak gerçekleşir. Konuk kanıtlama, müşterilerin gizli VM'lerinin SEV-SNP etkin AMD işlemcilerde çalıştığını kanıtlamasına olanak tanır.
Intel tabanlı gizli VM'lerim için kanıtlama gerçekleştirebilir miyim?
Intel TDX kullanan Azure gizli VM'leri, platformun uyumlu ve güncel olduğundan emin olmak için önyükleme akışının bir parçası olarak saydam olarak doğrulanabilir. İşlem kullanıcıya göre donuk olur ve Microsoft Azure Doğrulama ve Azure Key Vault kullanılarak gerçekleştirilir. Önyükleme sonrasında denetim gerçekleştirmek için daha fazla bilgi edinmek isterseniz konuk içi platform kanıtlaması kullanılabilir. Bu, SANAL makinenizin orijinal Intel TDX üzerinde çalıştığını doğrulamanıza olanak tanır. Özelliğe erişmek için önizleme dalımızı ziyaret edin. Buna ek olarak, operatör bağımsız kanıtlaması arayan kuruluşlar için Intel® Güven Yetkilisi'ne de destek salarız. AMD SEV-SNP'ye benzer tam konuk içi kanıtlama desteği yakında sunulacaktır. Bu, kuruluşların konuk uygulama katmanına kadar daha derine inmesini ve daha fazla ayrıntıyı doğrulamasını sağlar.
Tüm işletim sistemi görüntüleri gizli VM'lerle mi çalışır?
Gizli bir VM'de çalıştırmak için işletim sistemi görüntülerinin belirli güvenlik ve uyumluluk gereksinimlerini karşılaması gerekir. Bu, gizli VM'lerin güvenli bir şekilde bağlanmasını, test edilmesini ve temel bulut altyapısından yalıtılmasını sağlar. Gelecekte, özel bir Linux derlemesi alma ve bunu gizli bir VM görüntüsü olarak niteleme amacıyla bir dizi açık kaynak düzeltme eki uygulama konusunda rehberlik sağlamayı planlıyoruz.
Kullanılabilir gizli VM görüntülerinden birini özelleştirebilir miyim?
Evet. Azure İşlem Galerisi'ni kullanarak, örneğin uygulamaları yükleyerek gizli bir VM görüntüsünü değiştirebilirsiniz. Ardından, değiştirilen görüntünüze göre gizli VM'leri dağıtabilirsiniz.
Tam disk şifreleme düzenini kullanmam gerekiyor mu? Bunun yerine standart bir düzen kullanabilir miyim?
İsteğe bağlı tam disk şifreleme düzeni, Azure'ın en güvenli düzenidir ve Gizli Bilgi İşlem ilkelerini karşılar. Ancak, tam disk şifrelemesi yerine veya ile birlikte diğer disk şifreleme düzenlerini de kullanabilirsiniz. Birden çok disk şifreleme düzeni kullanıyorsanız, çift şifreleme performansı olumsuz etkileyebilir.
Azure gizli VM'leri sanal TPM'yi desteklediğinden gizli vm sanal TPM'me gizli dizileri/anahtarları mühürleyebilir miyim?
Her Azure gizli VM'sinde, müşterilerin gizli dizilerini/anahtarlarını kapatabilecekleri kendi sanal TPM'leri vardır. Müşterilerin vTPM durumunu doğrulamaları önerilir (Windows VM'leri için TPM.msc aracılığıyla). Durum kullanıma hazır değilse, gizli dizileri/anahtarları vTPM'ye kapatmadan önce VM'lerinizi yeniden başlatmanızı öneririz.
VM oluşturulduktan sonra yeni tam disk şifreleme düzenini etkinleştirebilir veya devre dışı bırakabilir miyim?
Hayır Gizli bir VM oluşturduktan sonra, tam disk şifrelemesini devre dışı bırakamaz veya yeniden etkinleştiremezsiniz. Bunun yerine yeni bir gizli VM oluşturun.
Operatörden bağımsız anahtar yönetimini, kanıtlamayı ve disk şifrelemesini zorunlu kılmak için Güvenilen Bilgi İşlem Tabanı'nın daha fazla yönünü denetleyebiliyorum?
TCB hizmetleri için bulut hizmeti sağlayıcısından daha fazla "görev ayrımı" isteyen geliştiricilerin "NonPersistedTPM" güvenlik türünü kullanması gerekir.
- Bu deneyim yalnızca Intel TDX genel önizlemesinin bir parçası olarak kullanılabilir. Bunu kullanan veya hizmet sağlayan kuruluşlar, TCB'nin ve onunla birlikte gelen sorumlulukların denetimindedir.
- Bu deneyim yerel Azure hizmetlerini atlayarak kendi disk şifreleme, anahtar yönetimi ve kanıtlama çözümünüzü getirmenizi sağlar.
- Her VM'de hala donanım kanıtı almak için kullanılması gereken bir vTPM vardır, ancak vTPM durumu yeniden başlatmalar aracılığıyla kalıcı hale getirilmediğinden, bu çözüm kısa ömürlü iş yükleri ve bulut hizmeti sağlayıcısından ayrıştırmak isteyen kuruluşlar için mükemmeldir.
Gizli olmayan bir VM'yi gizli bir VM'ye dönüştürebilir miyim?
Hayır Güvenlik nedenleriyle, başlangıçtan itibaren gibi gizli bir VM oluşturmanız gerekir.
DCasv5/ECasv5 CVM'sini DCesv5/ECesv5 CVM'ye veya DCesv5/ECesv5 CVM'yi DCasv5/ECasv5 CVM'ye dönüştürebilir miyim?
Evet, paylaştıkları bölgelerde hem DCasv5/ECasv5 hem de DCesv5/ECesv5 üzerinde bir gizli VM'den başka bir gizli VM'ye dönüştürmeye izin verilir.
Windows görüntüsü kullanıyorsanız en son güncelleştirmelerin tümüne sahip olduğunuzdan emin olun.
Ubuntu Linux görüntüsü kullanıyorsanız, en düşük çekirdek sürümüyle 6.2.0-1011-azure
Ubuntu 22.04 LTS gizli görüntüsünü kullandığınızdan emin olun.
Azure portal boyutu seçicisinde neden DCasv5/ECasv5 veya DCesv5/ECesv5 VM'lerini bulamıyorum?
Gizli VM'ler için kullanılabilir bir bölge seçtiğinizden emin olun. Ayrıca, boyut seçicideki tüm filtreleri temizle'yi seçtiğinizden emin olun.
Gizli VM'lerde Azure Hızlandırılmış Ağ özelliğini etkinleştirebilir miyim?
Hayır Gizli VM'ler Hızlandırılmış Ağı desteklemez. Herhangi bir gizli VM dağıtımı veya Gizli Bilgi İşlem üzerinde çalışan Azure Kubernetes Service küme dağıtımı için Hızlandırılmış Ağ'ı etkinleştiremezsiniz.
Bu hata ne anlama geliyor? "onaylanan standart DCasV5/ECasv5 veya DCesv5/ECesv5 Aile Çekirdeği Kotası aşıldığından işlem tamamlanamadı"
onaylanan standart DCasv5/ECasv5 Aile Çekirdeği Kotası aşıldığından İşlem tamamlanamadı hatasını alabilirsiniz. Bu Azure Resource Manager şablonu (ARM şablonu) hatası, Azure işlem çekirdeklerinin olmaması nedeniyle dağıtımın başarısız olduğu anlamına gelir. Azure ücretsiz deneme aboneliklerinin gizli VM'ler için yeterli çekirdek kotası yoktur. Kotanızı artırmak için bir destek isteği oluşturun.
DCasv5 serisi/DCesv5 serisi ile ECasv5 serisi/ECesv5 serisi VM'ler arasındaki fark nedir?
ECasv5 serisi ve ECesv5 serisi, daha yüksek bellek-CPU oranı sunan bellek için iyileştirilmiş VM boyutlarıdır. Bu boyutlar özellikle ilişkisel veritabanı sunucuları, orta ve büyük önbellekler ve bellek içi analizler için uygundur.
Gizli VM'ler genel olarak kullanılabilir mi?
Hayır Şu anda bu VM'ler yalnızca belirli bölgelerde kullanılabilir. Kullanılabilir bölgelerin geçerli listesi için bkz . Bölgeye göre VM ürünleri.
Microsoft'un gizli VM'mdeki verilere hizmet vermeme veya verilere erişmeme yardımcı olması gerekiyorsa ne olur?
Azure' ın, bir müşteri erişim yetkisi verse bile çalışanlarına gizli VM erişimi vermek için çalışma yordamları yoktur. Sonuç olarak, gizli VM'ler için çeşitli kurtarma ve destek senaryoları kullanılamaz.
Gizli VM'ler Azure VMware Çözümü gibi sanallaştırmayı destekliyor mu?
Hayır, gizli VM'ler şu anda vm içinde hiper yönetici çalıştırabilme gibi iç içe sanallaştırmayı desteklememektedir.
Gizli VM'leri kullanmanın ek bir maliyeti var mı?
Gizli VM'ler için faturalama, kullanımınıza ve depolama alanınıza ve VM'nin boyutuna ve bölgesine bağlıdır. Gizli VM'ler birkaç megabaytlık küçük bir şifrelenmiş sanal makine konuk durumu (VMGS) diski kullanır. VMGS, vTPM ve UEFI önyükleme yükleyicisi gibi bileşenlerin VM güvenlik durumunu kapsüller. Bu disk aylık depolama ücretine neden olabilir. Ayrıca, isteğe bağlı tam disk şifrelemesini etkinleştirmeyi seçerseniz şifrelenmiş işletim sistemi diskleri daha yüksek maliyetlere neden olur. Depolama ücretleri hakkında daha fazla bilgi için yönetilen diskler için fiyatlandırma kılavuzuna bakın. Son olarak, bazı yüksek güvenlik ve gizlilik ayarları için Yönetilen HSM Havuzu gibi bağlı kaynaklar oluşturmayı seçebilirsiniz. Azure bu tür kaynakları gizli VM maliyetlerinden ayrı olarak faturalar.
DCesv5/ECesv5 serisi SANAL makinemdeki süre UTC'den farklıysa ne yapabilirim?
Bazı DCesv5/ECesv5 serisi VM'ler UTC'den küçük bir zaman farkıyla karşılaşabilir. Bunun için kısa süre içinde uzun vadeli bir düzeltme kullanıma sunulacaktır. Bu arada Windows ve Ubuntu Linux VM'leri için geçici çözümler şunlardır:
sc config vmictimesync start=disabled
sc stop vmictimesync
Ubuntu Linux görüntüleri için aşağıdaki betiği çalıştırın:
#!/bin/bash
# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak
# check chronyd.service status
status=$(systemctl is-active chronyd.service)
# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
echo "chronyd.service is active."
else
echo "chronyd.service is not active. Exiting script."
exit 1
fi
# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf
# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."
echo "Restart chronyd service"
systemctl restart chronyd.service
echo "Check chronyd status"
systemctl status chronyd.service