حول الأجهزة الظاهرية السرية ل Azure
توفر أجهزة Azure الظاهرية السرية أمانا وسرية قويين للمستأجرين. وهي تنشئ حدودا مفروضة على الأجهزة بين التطبيق الخاص بك ومكدس الظاهرية. يمكنك استخدامها للترحيلات السحابية دون تعديل التعليمات البرمجية الخاصة بك، ويضمن النظام الأساسي بقاء حالة الجهاز الظاهري محمية.
هام
تختلف مستويات الحماية استنادا إلى التكوين والتفضيلات الخاصة بك. على سبيل المثال، يمكن لشركة Microsoft امتلاك مفاتيح التشفير أو إدارتها لزيادة الراحة دون أي تكلفة إضافية.
ميكانيكا Microsoft
مزايا الأجهزة الظاهرية السرية
- عزل قوي قائم على الأجهزة بين الأجهزة الظاهرية وhypervisor ورمز إدارة المضيف.
- نهج التصديق القابلة للتخصيص لضمان امتثال المضيف قبل النشر.
- تشفير قرص نظام التشغيل السري المستند إلى السحابة قبل التمهيد الأول.
- مفاتيح تشفير الجهاز الظاهري التي يمتلكها النظام الأساسي أو العميل (اختياريا) ويديرها.
- تأمين إصدار المفتاح مع ربط التشفير بين التصديق الناجح للنظام الأساسي ومفاتيح تشفير الجهاز الظاهري.
- مثيل مخصص لوحدة النظام الأساسي الموثوق به (TPM) للمصادقة على المفاتيح والأسرار وحمايتها في الجهاز الظاهري.
- إمكانية التمهيد الآمنة المشابهة للتشغيل الموثوق به لأجهزة Azure الظاهرية
تشفير قرص نظام التشغيل السري
توفر أجهزة Azure الظاهرية السرية نظام تشفير قرص جديد ومحسن. يحمي هذا النظام جميع الأقسام الهامة للقرص. كما أنه يربط مفاتيح تشفير القرص ب TPM الخاص بالجهاز الظاهري ويجعل محتوى القرص المحمي متاحا فقط للجهاز الظاهري. يمكن لمفاتيح التشفير هذه تجاوز مكونات Azure بأمان، بما في ذلك برنامج تشغيل الآلة الافتراضية ونظام التشغيل المضيف. لتقليل احتمالية الهجوم، تقوم خدمة سحابية مخصصة ومنفصلة أيضا بتشفير القرص أثناء الإنشاء الأولي للجهاز الظاهري.
إذا كان النظام الأساسي للحساب يفتقد الإعدادات الهامة لعزل الجهاز الظاهري الخاص بك، فلن يشهد Azure Attestation على صحة النظام الأساسي أثناء التمهيد، وسيمنع الجهاز الظاهري بدلا من ذلك من البدء. يحدث هذا السيناريو إذا لم تقم بتمكين SEV-SNP، على سبيل المثال.
تشفير قرص نظام التشغيل السري اختياري، حيث يمكن لهذه العملية إطالة وقت إنشاء الجهاز الظاهري الأولي. يمكنك الاختيار بين:
- جهاز ظاهري سري مع تشفير قرص نظام التشغيل السري قبل نشر الجهاز الظاهري الذي يستخدم مفاتيح مدارة بواسطة النظام الأساسي (PMK) أو مفتاح مدار من قبل العميل (CMK).
- جهاز ظاهري سري بدون تشفير قرص نظام التشغيل السري قبل نشر الجهاز الظاهري.
لمزيد من التكامل والحماية، توفر الأجهزة الظاهرية السرية التمهيد الآمن بشكل افتراضي عند تحديد تشفير قرص نظام التشغيل السري.
باستخدام التمهيد الآمن، يجب على الناشرين الموثوق بهم توقيع مكونات تمهيد نظام التشغيل (بما في ذلك محمل التمهيد والنواة وبرامج تشغيل النواة). تدعم جميع صور الجهاز الظاهري السرية المتوافقة التمهيد الآمن.
تشفير القرص المؤقت السري
يمكنك أيضا توسيع حماية تشفير القرص السري إلى القرص المؤقت. نقوم بتمكين ذلك من خلال الاستفادة من تقنية تشفير المفتاح المتماثل داخل الجهاز الظاهري، بعد إرفاق القرص ب CVM.
يوفر القرص المؤقت تخزينا سريعا ومحليا وقصير الأجل للتطبيقات والعمليات. ويهدف فقط إلى تخزين البيانات مثل ملفات الصفحة وملفات السجل والبيانات المخزنة مؤقتا وأنواع أخرى من البيانات المؤقتة. تحتوي الأقراص المؤقتة على CVMs على ملف الصفحة، المعروف أيضا باسم ملف التبديل، والذي يمكن أن يحتوي على بيانات حساسة. بدون تشفير، قد يمكن للمضيف الوصول إلى البيانات الموجودة على هذه الأقراص. بعد تمكين هذه الميزة، لم تعد البيانات الموجودة على الأقراص المؤقتة معرضة للمضيف.
يمكن تمكين هذه الميزة من خلال عملية الاشتراك. لمعرفة المزيد، اقرأ الوثائق.
اختلافات تسعير التشفير
تستخدم الأجهزة الظاهرية السرية من Azure كلا من قرص نظام التشغيل وقرص حالة ضيف الجهاز الظاهري المشفر الصغير (VMGS) لعدة ميغابايت. يحتوي قرص VMGS على حالة الأمان لمكونات الجهاز الظاهري. تتضمن بعض المكونات vTPM وUEFI bootloader. قد يتحمل قرص VMGS الصغير تكلفة تخزين شهرية.
اعتبارا من يوليو 2022، ستتحمل أقراص نظام التشغيل المشفرة تكاليف أعلى. لمزيد من المعلومات، راجع دليل التسعير للأقراص المدارة.
التصديق و TPM
تشغيل الأجهزة الظاهرية السرية ل Azure فقط بعد التصديق الناجح على المكونات الهامة للمنصة وإعدادات الأمان. يتضمن تقرير التصديق ما يلي:
- تقرير تصديق موقع
- إعدادات تمهيد النظام الأساسي
- قياسات البرامج الثابتة للنظام الأساسي
- قياسات نظام التشغيل
يمكنك تهيئة طلب تصديق داخل جهاز ظاهري سري للتحقق من أن الأجهزة الظاهرية السرية تقوم بتشغيل مثيل جهاز مع معالجات AMD SEV-SNP أو Intel TDX الممكنة. لمزيد من المعلومات، راجع تصديق ضيف الجهاز الظاهري السري ل Azure.
تتميز أجهزة Azure الظاهرية السرية ب TPM ظاهري (vTPM) لأجهزة Azure الظاهرية. vTPM هو إصدار ظاهري من TPM للأجهزة، ويتوافق مع مواصفات TPM 2.0. يمكنك استخدام vTPM كخزنة مخصصة وآمنة للمفاتيح والقياسات. تحتوي الأجهزة الظاهرية السرية على مثيل vTPM مخصص خاص بها، والذي يعمل في بيئة آمنة خارج نطاق أي جهاز ظاهري.
القيود
توجد القيود التالية للأجهزة الظاهرية السرية. للحصول على الأسئلة المتداولة، راجع الأسئلة المتداولة حول الأجهزة الظاهرية السرية.
دعم الحجم
تدعم الأجهزة الظاهرية السرية أحجام الأجهزة الظاهرية التالية:
- الغرض العام بدون قرص محلي: سلسلة DCasv5، سلسلة DCesv5
- الغرض العام مع القرص المحلي: سلسلة DCadsv5، سلسلة DCedsv5
- الذاكرة المحسنة بدون قرص محلي: سلسلة ECasv5، سلسلة ECesv5
- الذاكرة المحسنة مع القرص المحلي: سلسلة ECadsv5، سلسلة ECedsv5
دعم نظام التشغيل
تدعم الأجهزة الظاهرية السرية خيارات نظام التشغيل التالية:
| Linux | عميل Windows | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | مركز بيانات Windows Server |
| 20.04 LTS (AMD SEV-SNP فقط) | 22H2 Pro | 2019 Server Core |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | 2022 Server Core | |
| RHEL | 22H2 Enterprise | إصدار Azure 2022 |
| 9.3 (AMD SEV-SNP فقط) | 22H2 Enterprise N | 2022 Azure Edition Core |
| 9.3 معاينة (Intel TDX فقط) | 22H2 Enterprise Multi-session | |
| SUSE (معاينة تقنية) | ||
| 15 SP5 (Intel TDX، AMD SEV-SNP) | ||
| 15 SP5 ل SAP (Intel TDX، AMD SEV-SNP) |
المناطق
تعمل الأجهزة الظاهرية السرية على أجهزة متخصصة متوفرة في مناطق أجهزة ظاهرية محددة.
التسعير
يعتمد التسعير على حجم الجهاز الظاهري السري الخاص بك. لمزيد من المعلومات، راجع حاسبة التسعير.
دعم الميزة
لا تدعم الأجهزة الظاهرية السرية:
- Azure Batch
- النسخ الاحتياطي في Azure
- استرداد موقع Azure
- Azure Dedicated Host
- مجموعات مقياس الجهاز الظاهري ل Microsoft Azure مع تمكين تشفير قرص نظام التشغيل السري
- دعم محدود لمعرض الحوسبة في Azure
- الأقراص المشتركة
- الأقراص الفائقة
- تسريع الشبكات
- الترحيل المباشر
- لقطات الشاشة ضمن تشخيصات التمهيد
الخطوات التالية
لمزيد من المعلومات، راجع الأسئلة المتداولة حول الجهاز الظاهري السري.