Informace o důvěrných virtuálních počítačích Azure

  • Článek

Důvěrné virtuální počítače Azure nabízejí pro tenanty silné zabezpečení a důvěrnost. Vytvoří hranice vynucené hardwarem mezi vaší aplikací a zásobníkem virtualizace. Můžete je použít pro migrace do cloudu beze změny kódu a platforma zajistí, že stav virtuálního počítače zůstane chráněný.

Důležité

Úrovně ochrany se liší v závislosti na konfiguraci a předvolbách. Microsoft může například vlastnit nebo spravovat šifrovací klíče pro větší pohodlí bez dalších poplatků.

Microsoft Mechanics

Výhody důvěrných virtuálních počítačů

  • Robustní hardwarová izolace mezi virtuálními počítači, hypervisorem a kódem pro správu hostitelů.
  • Přizpůsobitelné zásady ověření identity, které zajistí dodržování předpisů hostitele před nasazením.
  • Cloudové důvěrné šifrování disku s operačním systémem před prvním spuštěním.
  • Šifrovací klíče virtuálních počítačů, které platforma nebo zákazník (volitelně) vlastní a spravuje.
  • Zabezpečené vydání klíče s kryptografickou vazbou mezi úspěšným ověřením identity platformy a šifrovacími klíči virtuálního počítače.
  • Vyhrazená instance čipu TPM (Trusted Platform Module) pro ověření identity a ochranu klíčů a tajných kódů na virtuálním počítači.
  • Funkce zabezpečeného spouštění podobná důvěryhodnému spuštění pro virtuální počítače Azure

Šifrování důvěrných disků s operačním systémem

Důvěrné virtuální počítače Azure nabízejí nové a vylepšené schéma šifrování disků. Toto schéma chrání všechny důležité oddíly disku. Vytvoří také vazbu šifrovacích klíčů disku k čipu TPM virtuálního počítače a zpřístupní chráněný obsah disku jenom virtuálnímu počítači. Tyto šifrovací klíče můžou bezpečně obejít komponenty Azure, včetně hypervisoru a hostitelského operačního systému. Kvůli minimalizaci potenciálního útoku zašifruje disk během počátečního vytvoření virtuálního počítače vyhrazená a samostatná cloudová služba.

Pokud výpočetní platformě chybí důležitá nastavení izolace virtuálního počítače, ověření identity Azure během spouštění neotestuje stav platformy a místo toho zabrání spuštění virtuálního počítače. K tomuto scénáři dochází, pokud jste například nepovolili SEV-SNP.

Důvěrné šifrování disku s operačním systémem je volitelné, protože tento proces může prodloužit počáteční dobu vytvoření virtuálního počítače. Můžete si vybrat mezi možnostmi:

  • Důvěrný virtuální počítač s důvěrným šifrováním disků s operačním systémem před nasazením virtuálního počítače, který používá klíče spravované platformou (PMK) nebo klíč spravovaný zákazníkem (CMK).
  • Důvěrný virtuální počítač bez důvěrného šifrování disku s operačním systémem před nasazením virtuálního počítače.

Pro další integritu a ochranu nabízejí důvěrné virtuální počítače ve výchozím nastavení zabezpečené spouštění při výběru šifrování disku s důvěrným operačním systémem.

Při zabezpečeném spouštění musí důvěryhodní vydavatelé podepisovat spouštěcí komponenty operačního systému (včetně zavaděče spouštění, jádra a ovladačů jádra). Všechny kompatibilní důvěrné image virtuálních počítačů podporují zabezpečené spouštění.

Důvěrné šifrování dočasného disku

Ochranu důvěrného šifrování disku můžete také rozšířit na dočasný disk. Tuto možnost povolíme použitím technologie šifrování symetrického klíče virtuálního počítače po připojení disku k CVM.

Dočasný disk poskytuje rychlé, místní a krátkodobé úložiště pro aplikace a procesy. Účelem je ukládat pouze data, jako jsou stránkovací soubory, soubory protokolů, data uložená v mezipaměti a další typy dočasných dat. Dočasné disky na CVM obsahují stránkovací soubor, označovaný také jako prohozený soubor, který může obsahovat citlivá data. Bez šifrování můžou být data na těchto discích přístupná hostiteli. Po povolení této funkce se data na dočasných discích už nezobrazují hostiteli.

Tuto funkci je možné povolit prostřednictvím procesu přihlášení. Další informace najdete v dokumentaci.

Rozdíly v cenách šifrování

Důvěrné virtuální počítače Azure používají disk s operačním systémem i malý šifrovaný disk hostovaného virtuálního počítače (VMGS) několika megabajtů. Disk VMGS obsahuje stav zabezpečení komponent virtuálního počítače. Mezi komponenty patří spouštěcí zavaděč VTPM a UEFI. U malého disku VMGS můžou vzniknout měsíční náklady na úložiště.

Od července 2022 se zašifrované disky s operačním systémem budou účtovat vyšší náklady. Další informace najdete v průvodci cenami spravovaných disků.

Ověření identity a TPM

Důvěrné virtuální počítače Azure se spouští až po úspěšném ověření důležitých komponent platformy a nastavení zabezpečení. Sestava ověření identity zahrnuje:

  • Podepsaná sestava ověření identity
  • Nastavení spouštění platformy
  • Měření firmwaru platformy
  • Měření operačního systému

Žádost o ověření identity můžete inicializovat uvnitř důvěrného virtuálního počítače, abyste ověřili, že vaše důvěrné virtuální počítače používají hardwarovou instanci s procesory AMD SEV-SNP nebo intel TDX. Další informace najdete v tématu Ověření identity hosta virtuálního počítače Azure s důvěrnými informacemi.

Důvěrné virtuální počítače Azure mají virtuální čip TPM (vTPM) pro virtuální počítače Azure. VTPM je virtualizovaná verze hardwarového čipu TPM a splňuje specifikace TPM 2.0. Virtuální počítač vTPM můžete použít jako vyhrazený zabezpečený trezor pro klíče a měření. Důvěrné virtuální počítače mají svou vlastní vyhrazenou instanci virtuálního počítače vTPM, která běží v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače.

Omezení

Pro důvěrné virtuální počítače existují následující omezení. Nejčastější dotazy najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.

Podpora velikosti

Důvěrné virtuální počítače podporují následující velikosti virtuálních počítačů:

  • Obecné účely bez místního disku: DCasv5-series, DCesv5-series
  • Obecné účely s místním diskem: DCadsv5-series, DCedsv5-series
  • Optimalizováno pro paměť bez místního disku: ECasv5-series, ECesv5-series
  • Paměť optimalizovaná s místním diskem: ECadsv5-series, ECedsv5-series

Podpora operačního systému

Důvěrné virtuální počítače podporují následující možnosti operačního systému:

Linux Klient Windows Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (pouze AMD SEV-SNP) 22H2 Pro Jádro serveru 2019
22.04 LTS 22H2 Pro ZH-CN
22H2 Pro N Jádro serveru 2022
RHEL 22H2 Enterprise 2022 Azure Edition
9.3 (Pouze AMD SEV-SNP) 22H2 Enterprise N 2022 Azure Edition Core
9.3 Preview (jenom Intel TDX) 22H2 Enterprise Multi-session
SUSE (Tech Preview)
15 SP5 (Intel TDX, AMD SEV-SNP)
15 SP5 pro SAP (Intel TDX, AMD SEV-SNP)

Oblasti

Důvěrné virtuální počítače běží na specializovaném hardwaru dostupném v konkrétních oblastech virtuálních počítačů.

Ceny

Ceny závisí na vaší důvěrné velikosti virtuálního počítače. Další informace najdete v cenové kalkulačce.

Podpora funkcí

Důvěrné virtuální počítače nepodporují:

  • Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Azure Dedicated Host
  • Škálovací sady virtuálních počítačů Microsoft Azure s povoleným šifrováním důvěrných disků s operačním systémem
  • Omezená podpora galerie výpočetních prostředků Azure
  • Sdílené disky
  • Disky Ultra
  • Akcelerované síťové služby
  • Migrace za provozu
  • Snímky obrazovky pod diagnostikou spouštění

Další kroky

Nasazení důvěrného virtuálního počítače z webu Azure Portal

Další informace najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.