Сведения о конфиденциальных виртуальных машинах Azure
Конфиденциальные виртуальные машины Azure обеспечивают надежную безопасность и конфиденциальность для клиентов. Они создают аппаратные границы между приложением и стеком виртуализации. Их можно использовать для миграции в облако, не изменяя код, и платформа гарантирует, что состояние виртуальной машины остается защищенным.
Внимание
Уровни защиты зависят от ваших предпочтений и конфигурации. Например, в целях повышения удобства корпорация Майкрософт может владеть ключами шифрования или управлять ими без дополнительных затрат.
Microsoft Mechanics
Преимущества конфиденциальных виртуальных машин
- Надежная аппаратная изоляция между виртуальными машинами, гипервизором и кодом управления узлами.
- Настраиваемые политики аттестации для обеспечения соответствия узла перед развертыванием.
- Шифрование дисков конфиденциальной ОС на основе облака перед первой загрузкой.
- Ключи шифрования виртуальных машин, которыми владеет и управляет платформа или клиент (необязательно).
- Безопасный выпуск ключа с криптографической привязкой между успешной аттестацией платформы и ключами шифрования виртуальных машин.
- Выделенный виртуальный экземпляр доверенного платформенного модуля (TPM) для аттестации и защиты ключей и секретов на виртуальной машине.
- Возможности безопасной загрузки, аналогичные доверенному запуску для виртуальных машин Azure
Шифрование дисков конфиденциальной ОС
Конфиденциальные виртуальные машины Azure предлагают новую и расширенную схему шифрования дисков. Эта схема защищает все критически важные секции диска. Он также привязывает ключи шифрования дисков к доверенному платформенного платформенного модуля виртуальной машины и делает защищенное содержимое диска доступным только для виртуальной машины. Эти ключи шифрования могут безопасно обходить компоненты Azure, включая гипервизор и операционную систему сервера виртуальных машин. Чтобы минимизировать угрозу атак, выделенная и отдельная облачная служба также шифрует диск во время первоначального создания виртуальной машины.
Если в вычислительной платформе отсутствуют критические параметры изоляции виртуальной машины, Аттестация Azure не будет свидетельствовать о работоспособности платформы во время загрузки и вместо этого предотвратит запуск виртуальной машины. Этот сценарий происходит, если вы не включили SEV-SNP, например.
Шифрование дисков конфиденциальной ОС является необязательным, так как этот процесс может продлить начальное время создания виртуальной машины. Вы можете выбрать один из вариантов:
- Конфиденциальная виртуальная машина с шифрованием дисков конфиденциальной ОС перед развертыванием виртуальной машины, использующая ключи, управляемые платформой (PMK) или управляемый клиентом ключ (CMK).
- Конфиденциальная виртуальная машина без шифрования дисков конфиденциальной ОС перед развертыванием виртуальной машины.
Для дальнейшей целостности и защиты конфиденциальные виртуальные машины предлагают безопасную загрузку по умолчанию при выборе шифрования дисков конфиденциальной ОС.
При безопасной загрузке надежные издатели должны подписывать загрузочные компоненты ОС (включая загрузчик, ядро и драйверы ядра). Все совместимые образы конфиденциальных виртуальных машин поддерживают безопасную загрузку.
Шифрование конфиденциальных временных дисков
Вы также можете расширить защиту шифрования конфиденциальных дисков на временный диск. Это можно сделать, используя технологию шифрования симметричного ключа в виртуальной машине после подключения диска к CVM.
Временный диск обеспечивает быстрое, локальное и краткосрочное хранилище для приложений и процессов. Он предназначен только для хранения данных, таких как файлы страниц, файлы журналов, кэшированные данные и другие типы временных данных. Временные диски на CVMs содержат файл страницы, также известный как файл буфера, который может содержать конфиденциальные данные. Без шифрования данные на этих дисках могут быть доступны узлу. После включения этой функции данные на временных дисках больше не предоставляются узлу.
Эту функцию можно включить с помощью процесса регистрации. Дополнительные сведения см. в документации.
Различия в ценах на шифрование
Конфиденциальные виртуальные машины Azure используют диск ОС и небольшой зашифрованный диск гостевой машины (VMGS) нескольких мегабайт. Диск VMGS содержит состояние безопасности компонентов виртуальной машины. Некоторые компоненты включают загрузчик UEFI и виртуальный доверенный платформенный модуль (vTPM). Небольшой диск VMGS может требовать ежемесячных затрат на хранение.
С июля 2022 года зашифрованные диски ОС будут нести более высокие затраты. Дополнительные сведения см. в руководстве по ценам на управляемые диски.
Аттестация и TPM
Загрузка конфиденциальных виртуальных машин Azure только после успешной аттестации критически важных компонентов и параметров безопасности платформы. Отчет об аттестации включает в себя следующее:
- Подписанный отчет аттестации
- Параметры загрузки платформы
- Измерения параметров встроенного ПО платформы
- Измерения параметров ОС
Вы можете инициализировать запрос аттестации внутри конфиденциальной виртуальной машины, чтобы убедиться, что конфиденциальные виртуальные машины работают с аппаратным экземпляром с процессорами AMD SEV-SNP или Intel TDX. Дополнительные сведения см. в аттестации гостевой виртуальной машины Azure.
Конфиденциальные виртуальные машины Azure имеют виртуальный TPM (vTPM) для виртуальных машин Azure. VTPM — это виртуализированная версия аппаратного доверенного платформенного модуля и соответствует спецификации TPM 2.0. VTPM можно использовать в качестве выделенного, безопасного хранилища для ключей и измерений. Конфиденциальные виртуальные машины имеют собственный выделенный экземпляр vTPM, который работает в безопасной среде за пределами виртуальной машины.
Ограничения
Для конфиденциальных виртуальных машин применяются указанные ниже ограничения. Часто задаваемые вопросы о конфиденциальных виртуальных машинах см. в разделе "Часто задаваемые вопросы".
Поддержка размеров
Конфиденциальные виртуальные машины поддерживают следующие размеры виртуальных машин:
- Общего назначения без локального диска: серия DCasv5, DCesv5-series
- Общее назначение с локальным диском: серия DCadsv5, DCedsv5
- Оптимизированная для памяти без локального диска: серия ECasv5, ECesv5-series
- Память оптимизирована с локальным диском: серия ECadsv5, ECedsv5-series
Поддержка ОС
Конфиденциальные виртуальные машины поддерживают следующие варианты ОС:
| Linux | Клиент Windows | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Центр обработки данных Windows Server |
| 20.04 LTS (только AMD SEV-SNP) | 22H2 Pro | 2019 Server Core |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | 2022 Server Core | |
| RHEL | 22H2 Enterprise | Выпуск Azure 2022 |
| 9.3 (только AMD SEV-SNP) | 22H2 Enterprise N | 2022 Azure Edition Core |
| Предварительная версия 9.3 (только Intel TDX) | 22H2 Enterprise Multi-session | |
| SUSE (Tech Preview) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 для SAP (Intel TDX, AMD SEV-SNP) |
Регионы
Конфиденциальные виртуальные машины работают только на специализированном оборудовании, которое доступно не во всех регионах виртуальных машин.
Цены
Цена зависит от размера конфиденциальной виртуальной машины. Дополнительные сведения см. на странице калькулятора цен.
Поддерживаемые компоненты
Конфиденциальные виртуальные машины не поддерживают следующее:
- Пакетная служба Azure
- Azure Backup
- Azure Site Recovery
- Выделенный узел Azure
- Microsoft Azure Масштабируемые наборы виртуальных машин с включенным шифрованием дисков конфиденциальной ОС
- Поддержка ограниченной коллекции вычислений Azure
- Общие диски
- Диски (цен. категория "Ультра")
- Ускорение работы в сети
- Динамическая миграция
- Снимок экрана: диагностика загрузки
Следующие шаги
Дополнительные сведения см. в разделе "Часто задаваемые вопросы о конфиденциальной виртуальной машине".