VM rahasia seri DCasv5 dan ECasv5 (pratinjau)

  • Artikel
  • 3 menit untuk membaca

Penting

Mesin virtual rahasia seri Azure DCasv5/ECasv5 saat ini dalam Pratinjau. Penggunaan tunduk pada langganan Azure Anda dan ketentuan yang berlaku untuk "Pratinjau" sebagaimana dirinci di bagian Ketentuan Lisensi Universal untuk Layanan Online dari Ketentuan Produk Microsoft dan Adendum Perlindungan Data Produk dan Layanan Microsoft ("DPA").

Komputasi rahasia Azure menawarkan VM rahasia berdasarkan prosesor AMD dengan teknologi SEV-SNP. VM rahasia adalah untuk penyewa dengan persyaratan keamanan dan kerahasiaan tinggi. VM ini memberikan batas yang kuat dan diberlakukan perangkat keras untuk membantu memenuhi kebutuhan keamanan Anda. Anda dapat menggunakan VM rahasia untuk migrasi tanpa membuat perubahan pada kode Anda, dengan platform yang melindungi status VM Anda agar tidak dibaca atau dimodifikasi.

Penting

Tingkat perlindungan berbeda berdasarkan konfigurasi dan preferensi Anda. Misalnya, Microsoft dapat memiliki atau mengelola kunci enkripsi untuk meningkatkan kenyamanan tanpa biaya tambahan.

Keuntungan

Beberapa manfaat VM rahasia meliputi:

  • Isolasi berbasis perangkat keras yang kuat antara komputer virtual, hypervisor, dan kode manajemen host.
  • Kebijakan pengesahan yang dapat disesuaikan untuk memastikan kepatuhan host sebelum penyebaran.
  • Enkripsi disk penuh berbasis cloud sebelum boot pertama.
  • Kunci enkripsi VM yang dimiliki dan dikelola oleh platform atau pelanggan (opsional).
  • Rilis kunci yang aman dengan pengikatan kriptografi antara pengesahan platform yang berhasil dan kunci enkripsi VM.
  • Instans Modul Platform Tepercaya (TPM) virtual khusus untuk pengesahan dan perlindungan kunci dan rahasia di komputer virtual.
  • Kemampuan boot aman yang mirip dengan Peluncuran tepercaya untuk Azure VM

Enkripsi disk penuh

VM rahasia menawarkan skema enkripsi disk baru dan ditingkatkan. Skema ini melindungi semua partisi penting disk. Ini juga mengikat kunci enkripsi disk ke TPM komputer virtual dan membuat konten disk yang dilindungi hanya dapat diakses oleh VM. Kunci enkripsi ini dapat dengan aman melewati komponen Azure, termasuk hypervisor dan sistem operasi host. Untuk meminimalkan potensi serangan, layanan cloud khusus dan terpisah juga mengenkripsi disk selama pembuatan awal VM.

Jika platform komputasi kehilangan pengaturan penting untuk isolasi VM Anda, selama Azure Attestation boot tidak akan membuktikan kesehatan platform. Ini akan mencegah VM dimulai. Misalnya, skenario ini terjadi jika Anda belum mengaktifkan SEV-SNP.

Enkripsi disk penuh bersifat opsional, karena proses ini dapat memperpanjang waktu pembuatan VM awal. Anda dapat memilih antara:

  • VM rahasia dengan enkripsi disk OS penuh sebelum penyebaran VM yang menggunakan kunci yang dikelola platform (PMK) atau kunci yang dikelola pelanggan (CMK).
  • VM rahasia tanpa enkripsi disk OS sebelum penyebaran VM.

Untuk integritas dan perlindungan lebih lanjut, VM rahasia menawarkan Boot Aman secara default. Dengan Boot Aman, penerbit tepercaya harus menandatangani komponen boot OS (termasuk boot loader, kernel, dan driver kernel). Semua gambar VM rahasia yang kompatibel mendukung Boot Aman.

Perbedaan harga enkripsi

VM rahasia menggunakan disk OS dan disk status tamu komputer virtual (VMGS) terenkripsi kecil dari beberapa megabyte. Disk VMGS berisi status keamanan komponen VM. Beberapa komponen termasuk vTPM dan bootloader UEFI. Disk VMGS kecil mungkin dikenakan biaya penyimpanan bulanan.

Mulai Juli 2022, disk OS terenkripsi akan dikenakan biaya yang lebih tinggi. Perubahan ini karena disk OS terenkripsi menggunakan lebih banyak ruang, dan pemadatan tidak dimungkinkan. Untuk informasi selengkapnya, lihat panduan harga untuk disk terkelola.

Pengesahan dan TPM

VM rahasia boot hanya setelah pengesahan yang berhasil dari komponen penting platform dan pengaturan keamanan. Laporan pengesahan meliputi:

  • Laporan pengesahan yang ditandatangani yang dikeluarkan oleh AMD SEV-SNP
  • Pengaturan boot platform
  • Pengukuran firmware platform
  • Pengukuran OS

VM rahasia memiliki TPM virtual (vTPM) untuk Azure VM. vTPM adalah versi virtual dari TPM perangkat keras, dan sesuai dengan spesifikasi TPM2.0. Anda dapat menggunakan vTPM sebagai vault khusus dan aman untuk kunci dan pengukuran. VM rahasia memiliki instans vTPM khusus mereka sendiri, yang berjalan di lingkungan yang aman di luar jangkauan VM apa pun.

Batasan

Batasan berikut ada untuk VM rahasia. Untuk tanya jawab umum, lihat FAQ tentang VM rahasia dengan prosesor AMD.

Dukungan ukuran

VM rahasia mendukung ukuran VM berikut:

  • Seri DCasv5
  • Seri DCadsv5
  • ECasv5-series
  • ECadsv5-series

Untuk informasi selengkapnya, lihat opsi penyebaran AMD.

Dukungan OS

VM rahasia mendukung opsi OS berikut:

  • Ubuntu 20.04 LTS
  • Windows Server 2019
  • Windows Server 2022

Wilayah

VM rahasia berjalan pada perangkat keras khusus yang tersedia di wilayah VM tertentu.

Harga

Harga tergantung pada ukuran VM rahasia Anda. Untuk informasi selengkapnya, lihat Kalkulator Harga.

Dukungan fitur

VM rahasia tidak mendukung:

  • Azure Batch
  • Pencadangan Azure
  • Azure Site Recovery
  • Azure Dedicated HSM
  • Microsoft Azure Virtual Machine Scale Sets untuk disk OS terenkripsi
  • Menangkap gambar VM
  • Azure Compute Gallery
  • Disk OS sementara
  • Disk Bersama
  • Disk ultra
  • Penjaringan Dipercepat
  • Laporan platform yang dapat diujar pengguna
  • Migrasi langsung

Langkah berikutnya

Menyebarkan VM rahasia di AMD dari portal Azure