الأسئلة المتداولة حول الأجهزة الظاهرية السرية ل Azure

الأجهزة الظاهرية السرية هي حل IaaS للمستأجرين ذوي متطلبات الأمان والسرية العالية. عرض الأجهزة الظاهرية السرية:

• تشفير "البيانات قيد الاستخدام"، بما في ذلك حالة المعالج وذاكرة الجهاز الظاهري. يتم إنشاء المفاتيح بواسطة المعالج ولا تتركها أبدا.
• يساعدك إثبات المضيف على التحقق من صحة الخادم الكامل وتوافقه قبل بدء معالجة البيانات.
• يمكن إرفاق وحدة أمان الأجهزة (HSM) لحراسة مفاتيح أقراص الجهاز الظاهري السرية، والتي يمتلكها المستأجر حصريا.
• بنية تمهيد UEFI الجديدة التي تدعم نظام التشغيل الضيف لإعدادات وقدرات الأمان المحسنة.
• تعتمد الوحدة النمطية للنظام الأساسي الموثوق به (TPM) الظاهرية المخصصة صحة الجهاز الظاهري، وتوفر إدارة مفاتيح متصلبة، وتدعم حالات الاستخدام مثل BitLocker.

تعالج الأجهزة الظاهرية السرية مخاوف العملاء بشأن نقل أحمال العمل الحساسة خارج الموقع إلى السحابة. توفر الأجهزة الظاهرية السرية حماية عالية لبيانات العملاء من البنية الأساسية ومشغلي السحابة. على عكس الأساليب والحلول الأخرى، لا يتعين عليك تكييف أحمال العمل الحالية لتناسب الاحتياجات التقنية للنظام الأساسي.

يرمز SEV-SNP إلى ترحيل متداخل آمن للظاهرية المشفرة الآمنة. إنها تقنية بيئة التنفيذ الموثوق بها (TEE) التي يوفرها AMD وتوفر حماية متعددة: على سبيل المثال، تشفير الذاكرة ومفاتيح وحدة المعالجة المركزية الفريدة والتشفير لحالة تسجيل المعالج وحماية التكامل ومنع التراجع عن البرامج الثابتة وتصلب القناة الجانبية والقيود المفروضة على سلوك المقاطعة والاستثناءات. بشكل جماعي، تعمل تقنيات AMD SEV على تقوية حماية الضيف لرفض برنامج hypervisor والوصول إلى التعليمات البرمجية لإدارة المضيف الأخرى إلى ذاكرة الجهاز الظاهري وحالته. تستفيد الأجهزة الظاهرية السرية من AMD SEV-SNP مع تقنيات Azure مثل تشفير القرص الكامل وHSM المدار من Azure Key Vault. يمكنك تشفير البيانات المستخدمة، أثناء النقل، والثبات باستخدام المفاتيح التي تتحكم فيها. باستخدام قدرات Azure Attestation المضمنة، يمكنك تأسيس الثقة بشكل مستقل في الأمان والصحة والبنية الأساسية للأجهزة الظاهرية السرية الخاصة بك.

تشير Intel TDX إلى Intel Trust Domain Extensions (Intel TDX) وهي تقنية بيئة التنفيذ الموثوق بها (TEE) التي توفرها Intel وتوفر حماية متعددة: تستخدم Intel TDX ملحقات الأجهزة لإدارة الذاكرة وتشفيرها وتحمي كل من سرية حالة وحدة المعالجة المركزية وتكاملها. بالإضافة إلى ذلك، يساعد Intel TDX على تقوية البيئة الظاهرية عن طريق رفض برنامج hypervisor ورمز إدارة المضيف الآخر والمسؤولين الوصول إلى ذاكرة الجهاز الظاهري وحالته. تجمع الأجهزة الظاهرية السرية بين Intel TDX وتقنيات Azure مثل تشفير القرص الكامل وAzure Key Vault Managed HSM. يمكنك تشفير البيانات المستخدمة، أثناء النقل، والثبات باستخدام المفاتيح التي تتحكم فيها.

توفر أجهزة Azure الظاهرية بالفعل أمان وحماية رائدين في الصناعة ضد المستأجرين الآخرين والمتسللين الضارين. تزيد الأجهزة الظاهرية السرية من Azure من هذه الحماية باستخدام TEEs المستندة إلى الأجهزة مثل AMD SEV-SNP وIntel TDX لعزل سرية البيانات وسلامتها وحمايتها بشكل مشفر. لا يمكن لمسؤولي المضيفين أو خدمات المضيف (بما في ذلك برنامج مراقبة الأجهزة الافتراضية في Azure) عرض الذاكرة أو حالة وحدة المعالجة المركزية الخاصة بالجهاز الظاهري السري أو تعديلها مباشرة. علاوة على ذلك، مع إمكانية التصديق الكامل، وتشفير قرص نظام التشغيل الكامل، ووحدات النظام الأساسي الموثوق به الظاهرية المحمية بالأجهزة، تتم حماية الحالة الدائمة بحيث لا تتعرض المفاتيح الخاصة بك، ومحتويات الذاكرة الخاصة بك لبيئة الاستضافة غير مشفرة.

يمكن حاليا تشفير أقراص نظام التشغيل للأجهزة الظاهرية السرية وتأمينها. لمزيد من الأمان، يمكنك تمكين تشفير مستوى الضيف (مثل BitLocker أو dm-crypt) لجميع محركات أقراص البيانات.

نعم، ولكن فقط إذا كان pagefile.sys موجودا على قرص نظام التشغيل المشفر. على الأجهزة الظاهرية السرية مع قرص مؤقت، يمكن نقل ملف pagefile.sys إلى تلميحات نظام التشغيل المشفر لنقل pagefile.sys إلى محرك الأقراص c:\.

لا، هذه الإمكانية غير موجودة للأجهزة الظاهرية السرية.

فيما يلي بعض الطرق التي يمكنك من خلالها نشر جهاز ظاهري سري:

• النشر من مدخل Microsoft Azure
• النشر من واجهة سطر الأوامر Azure (Azure CLI)
• النشر باستخدام قالب ARM

تخضع أجهزة Azure الظاهرية السرية على AMD SEV-SNP للمصادقة كجزء من مرحلة التمهيد الخاصة بها. هذه العملية مبهمة للمستخدم وتجرى في نظام التشغيل السحابي مع خدمات Microsoft Azure Attestation وAzure Key Vault. تسمح الأجهزة الظاهرية السرية أيضا للمستخدمين بإجراء تصديق مستقل على أجهزتهم الظاهرية السرية. يحدث هذا التصديق باستخدام أدوات جديدة تسمى Azure Confidential VM Guest Attestation. يسمح تصديق الضيف للعملاء بالشهادة على أن الأجهزة الظاهرية السرية الخاصة بهم تعمل على معالجات AMD مع تمكين SEV-SNP.

يمكن التصديق على أجهزة Azure الظاهرية السرية باستخدام Intel TDX بشفافية كجزء من تدفق التمهيد لضمان توافق النظام الأساسي وتحديثه. العملية مبهمة للمستخدم وتجرى باستخدام Microsoft Azure Attestation وAzure Key Vault. إذا كنت ترغب في الانتقال إلى أبعد من ذلك لإجراء عمليات التحقق بعد التمهيد، فإن إثبات النظام الأساسي داخل الضيف متاح. يسمح لك هذا بالتحقق من أن الجهاز الظاهري الخاص بك يعمل على Intel TDX الأصلي. للوصول إلى الميزة، تفضل بزيارة فرع المعاينة. بالإضافة إلى ذلك، ندعم Intel® Trust Authority للمؤسسات التي تسعى للحصول على شهادة مستقلة عن المشغل. سيتوفر قريبا دعم التصديق الكامل داخل الضيف، على غرار AMD SEV-SNP. يسمح هذا للمؤسسات بالتعمق، والتحقق من صحة المزيد من الجوانب، حتى وصولا إلى طبقة تطبيق الضيف.

للتشغيل على جهاز ظاهري سري، يجب أن تفي صور نظام التشغيل بمتطلبات أمان وتوافق معينة. يسمح هذا بتركيب الأجهزة الظاهرية السرية بشكل آمن، والمصادقة عليها، وعزلها عن البنية الأساسية السحابية الأساسية. في المستقبل، نخطط لتقديم إرشادات حول كيفية اتخاذ بناء Linux مخصص وتطبيق مجموعة من التصحيحات مفتوحة المصدر لتأهيلها كصورة جهاز ظاهري سرية.

نعم. يمكنك استخدام Azure Compute Gallery لتعديل صورة جهاز ظاهري سرية، مثل عن طريق تثبيت التطبيقات. بعد ذلك، يمكنك نشر أجهزة ظاهرية سرية استنادا إلى صورتك المعدلة.

نظام التشفير الاختياري للقرص الكامل هو الأكثر أمانا في Azure ويلبي مبادئ الحوسبة السرية. ومع ذلك، يمكنك أيضا استخدام أنظمة تشفير القرص الأخرى مع أو بدلا من تشفير القرص الكامل. إذا كنت تستخدم أنظمة تشفير قرص متعددة، فقد يؤثر التشفير المزدوج سلبا على الأداء.

يحتوي كل جهاز ظاهري سري من Azure على وحدة TPM ظاهرية خاصة به، حيث يمكن للعملاء ختم أسرارهم/مفاتيحهم. يوصى للعملاء بالتحقق من حالة vTPM (عبر TPM.msc لأجهزة Windows الظاهرية). إذا لم تكن الحالة جاهزة للاستخدام، نوصي بإعادة تشغيل الأجهزة الظاهرية قبل ختم الأسرار/المفاتيح على vTPM.

‏‏لا. بعد إنشاء جهاز ظاهري سري، لا يمكنك إلغاء تنشيط تشفير القرص الكامل أو إعادة تنشيطه. إنشاء جهاز ظاهري سري جديد بدلا من ذلك.

يجب على المطورين الذين يسعون إلى مزيد من "فصل الواجبات" لخدمات TCB عن موفر خدمة السحابة استخدام نوع الأمان "NonPersistedTPM".

• تتوفر هذه التجربة فقط كجزء من المعاينة العامة ل Intel TDX. المنظمات التي تستخدمه، أو تقدم الخدمات معه هي التي تتحكم في TCB والمسؤوليات التي تأتي معه.
• تتجاوز هذه التجربة خدمات Azure الأصلية، ما يسمح لك بإحضار تشفير القرص الخاص بك وإدارة المفاتيح وحل التصديق.
• لا يزال كل جهاز ظاهري يحتوي على vTPM، والذي يجب استخدامه لاسترداد أدلة الأجهزة، ومع ذلك لا تستمر حالة vTPM من خلال عمليات إعادة التشغيل، ما يعني أن هذا الحل ممتاز لأحمال العمل المؤقتة والمؤسسات التي تريد فصلها عن موفر خدمة السحابة.

‏‏لا. لأسباب أمنية، يجب إنشاء جهاز ظاهري سري على هذا النحو من البداية.

نعم، يسمح بالتحويل من جهاز ظاهري سري إلى جهاز ظاهري سري آخر على كل من DCasv5/ECasv5 وDCesv5/ECesv5 في المناطق التي يشاركونها. إذا كنت تستخدم صورة Windows، فتأكد من أن لديك جميع التحديثات الأخيرة. إذا كنت تستخدم صورة Ubuntu Linux، فتأكد من استخدام صورة Ubuntu 22.04 LTS السرية مع الحد الأدنى من إصدار 6.2.0-1011-azurekernel .

تأكد من تحديد منطقة متوفرة للأجهزة الظاهرية السرية. تأكد أيضا من تحديد مسح كافة عوامل التصفية في محدد الحجم.

‏‏لا. لا تدعم الأجهزة الظاهرية السرية الشبكات المتسارعة. لا يمكنك تمكين الشبكات المسرعة لأي نشر سري للجهاز الظاهري، أو أي نشر نظام مجموعة خدمة Azure Kubernetes الذي يعمل على الحوسبة السرية.

قد تتلقى تعذر إكمال عملية الخطأ لأنها تؤدي إلى تجاوز حصة DCasv5/ECasv5 Family Cores القياسية المعتمدة. يعني خطأ قالب Azure Resource Manager (قالب ARM) هذا فشل التوزيع بسبب عدم وجود مراكز حوسبة Azure. لا تحتوي اشتراكات Azure التجريبية المجانية على حصة أساسية كبيرة بما يكفي للأجهزة الظاهرية السرية. إنشاء طلب دعم لزيادة الحصة النسبية.

سلسلة ECasv5 وسلسلة ECesv5 هي أحجام أجهزة ظاهرية محسنة للذاكرة، والتي توفر نسبة ذاكرة إلى وحدة المعالجة المركزية أعلى. هذه الأحجام مناسبة بشكل خاص لخوادم قاعدة البيانات الارتباطية، وذاكرة التخزين المؤقت المتوسطة إلى الكبيرة، والتحليلات في الذاكرة.

‏‏لا. في هذا الوقت، تتوفر هذه الأجهزة الظاهرية فقط في مناطق محددة. للحصول على قائمة حالية بالمناطق المتوفرة، راجع منتجات الجهاز الظاهري حسب المنطقة.

ليس لدى Azure إجراءات تشغيل لمنح وصول الجهاز الظاهري السري إلى موظفيه، حتى إذا كان العميل يخول الوصول. ونتيجة لذلك، لا تتوفر سيناريوهات استرداد ودعم مختلفة للأجهزة الظاهرية السرية.

لا، لا تدعم الأجهزة الظاهرية السرية حاليا الظاهرية المتداخلة، مثل القدرة على تشغيل برنامج تشغيل الآلة الافتراضية داخل جهاز ظاهري.

تعتمد الفوترة للأجهزة الظاهرية السرية على الاستخدام والتخزين وحجم الجهاز الظاهري والمنطقة. تستخدم الأجهزة الظاهرية السرية قرص حالة ضيف جهاز ظاهري مشفر صغير (VMGS) من عدة ميغابايت. تغلف VMGS حالة أمان الجهاز الظاهري للمكونات مثل vTPM وUEFI bootloader. قد ينتج عن هذا القرص رسوم تخزين شهرية. أيضا، إذا اخترت تمكين تشفير القرص الكامل الاختياري، فإن أقراص نظام التشغيل المشفرة تتحمل تكاليف أعلى. لمزيد من المعلومات حول رسوم التخزين، راجع دليل التسعير للأقراص المدارة. وأخيرا، بالنسبة لبعض إعدادات الأمان والخصوصية العالية، قد تختار إنشاء موارد مرتبطة، مثل تجمع HSM المدار. يقوم Azure بفواتير مثل هذه الموارد بشكل منفصل عن تكاليف الجهاز الظاهري السرية.

نادرا ما تواجه بعض الأجهزة الظاهرية من سلسلة DCesv5/ECesv5 اختلافا زمنيا صغيرا عن التوقيت العالمي المتفق عليه. يتوفر إصلاح طويل الأجل لهذا قريبا. في هذه الأثناء، إليك الحلول البديلة لأجهزة Windows وUbuntu Linux الظاهرية:

sc config vmictimesync start=disabled
sc stop vmictimesync

بالنسبة لصور Ubuntu Linux، قم بتشغيل البرنامج النصي التالي:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service