Sobre as VMs confidenciais do Azure
A computação confidencial do Azure oferece VMs confidenciais para locatários com requisitos de alta segurança e confidencialidade. Essas VMs fornecem um limite forte e imposto sobre hardware para ajudar a atender às suas necessidades de segurança. Você pode usar VMs confidenciais para migrações sem fazer alterações no código, com a plataforma que protege o estado da VM contra leitura ou modificação.
Importante
Os níveis de proteção diferem conforme sua configuração e suas preferências. Por exemplo, a Microsoft pode ter ou gerenciar chaves de criptografia para maior praticidade sem custo adicional.
Benefícios
Alguns dos benefícios das VMs confidenciais incluem:
- Isolamento robusto baseado em hardware entre máquinas virtuais, hipervisor e código de gerenciamento de host.
- Políticas de atestado personalizáveis para garantir a conformidade do host antes da implantação.
- Criptografia de disco do sistema operacional confidencial baseada em nuvem antes da primeira inicialização.
- Chaves de criptografia de VM que a plataforma ou o cliente (opcionalmente) detém e gerencia.
- Versão de chave segura com associação criptográfica entre o atestado bem-sucedido da plataforma e as chaves de criptografia da VM.
- Instância de TPM (Trusted Platform Module) virtual dedicada para atestado e proteção de chaves e segredos na máquina virtual.
- Funcionalidade de inicialização segura semelhante ao início confiável para VMs do Azure
Criptografia de disco do SO confidencial
As VMs confidenciais do Azure oferecem um esquema novo e avançado de criptografia de disco. Esse esquema protege todas as partições críticas do disco. Ele também associa chaves de criptografia de disco ao TPM da máquina virtual e torna o conteúdo do disco protegido acessível somente para a VM. Essas chaves de criptografia podem ignorar com segurança os componentes do Azure, incluindo o hipervisor e o sistema operacional do host. Para minimizar o potencial de ataque, um serviço de nuvem dedicado e separado também criptografa o disco durante a criação inicial da VM.
Se a plataforma de computação não tiver configurações críticas para o isolamento da VM, o Atestado do Azure não atestará a integridade da plataforma durante a inicialização e, em vez disso, impedirá que a VM seja iniciada. Por exemplo, esse cenário ocorrerá se você não tiver habilitado o SEV-SNP.
A criptografia de disco do SO confidencial é opcional, pois esse processo pode prolongar o tempo de criação inicial da VM. Você pode escolher entre:
- Uma VM confidencial com criptografia de disco do SO confidencial antes da implantação da VM que usa PMK (chaves gerenciadas pela plataforma) ou uma CMK (chave gerenciada pelo cliente).
- Uma VM confidencial sem criptografia de disco do SO confidencial antes da implantação da VM.
Para aumentar a integridade e a proteção, as VMs confidenciais oferecem Inicialização Segura por padrão quando a criptografia de disco do SO confidencial é selecionada.
Com a Inicialização Segura, os editores confiáveis devem assinar componentes de inicialização do SO (incluindo o carregador de inicialização, kernel e drivers de kernel). Todas as imagens de VM confidenciais compatíveis dão suporte para Inicialização Segura.
Criptografia de disco temporário confidencial
Você também pode estender a proteção da criptografia de disco confidencial para o disco temporário. Habilitamos isso aproveitando uma tecnologia de criptografia de chave simétrica na VM depois que o disco é anexado ao CVM.
O disco temporário fornece armazenamento rápido, local e de curto prazo para aplicativos e processos. Ele destina-se a armazenar apenas dados como arquivos de página, arquivos de log, dados armazenados em cache e outros tipos de dados temporários. Discos temporários em CVMs contêm o arquivo de página, também conhecido como arquivo de troca, que pode conter dados confidenciais. Sem criptografia, os dados nesses discos podem estar acessíveis ao host. Depois de habilitar esse recurso, os dados nos discos temporários não são mais expostos ao host.
Esse recurso pode ser habilitado por meio de um processo de aceitação. Para saber mais, leia a documentação.
Diferenças de preços de criptografia
As VMs confidenciais do Azure usam o disco do SO e um pequeno disco VMGS (estado de convidado da máquina virtual) criptografado de vários megabytes. O disco do VMGS contém o estado de segurança dos componentes da VM. Alguns componentes incluem o carregador de inicialização de vTPM e UEFI. O pequeno disco VMGS pode incorrer em um custo de armazenamento mensal.
A partir de julho de 2022, os discos do SO criptografado gerarão custos mais altos. Para obter mais informações, confira o guia de preços para discos gerenciados.
Atestado e TPM
As VMs confidenciais do Azure são inicializadas somente após o atestado bem-sucedido dos componentes críticos e das configurações de segurança da plataforma. O relatório de atestado inclui:
- Um relatório de atestado assinado
- Configurações de inicialização da plataforma
- Medidas de firmware de plataforma
- Medidas do SO
Você pode inicializar uma solicitação de atestado dentro de uma VM confidencial para verificar se elas estão executando uma instância de hardware com processadores AMD SEV-SNP habilitados. Para obter mais informações, consulte o atestado de convidado da VM confidencial do Azure.
As VMs confidenciais do Azure apresentam um TPM virtual (vTPM) para VMs do Azure. O vTPM é uma versão virtualizada de um TPM de hardware e está em conformidade com a especificação do TPM 2.0. Você pode usar um vTPM como um cofre seguro dedicado para chaves e medidas. As VMs confidenciais têm a própria instância de vTPM dedicada, que é executada em um ambiente seguro fora do alcance de qualquer VM.
Limitações
As VMs confidenciais têm as limitações a seguir. Para perguntas frequentes, consulte Perguntas frequentes sobre VMs confidenciais com processadores AMD.
Suporte de tamanho
As VMs confidenciais são compatíveis com os seguintes tamanhos de VM:
- Uso Geral sem disco local: série DCasv5, série DCesv5
- Uso Geral com disco local: série DCadsv5, série DCedsv5
- Memória Otimizada sem disco local: série ECasv5, série ECesv5
- Memória otimizada com disco local: série ECadsv5, série ECedsv5
Suporte a SO
As VMs confidenciais dão suporte às seguintes opções de sistema operacional:
| Linux | Cliente Windows | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (Somente AMD SEV-SNP) | 22H2 Pro | Server Core 2019 |
| 22.04 LTS | 22H2 Pro ZH-CN | |
| 22H2 Pro N | Server Core 2022 | |
| RHEL | 22H2 Enterprise | Azure Edition 2022 |
| 9.3 LTS (somente AMD SEV-SNP) | 22H2 Enterprise N | Azure Edition Core 2022 |
| Versão prévia do 9.3 (somente Intel TDX) | 22H2 Enterprise Multissessão | |
| SUSE (Pré-visualização Técnica) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| 15 SP5 para SAP (Intel TDX, AMD SEV-SNP) |
Regiões
VMs confidenciais são executadas em hardware especializado disponível em regiões de VM específicas.
Preços
O preço depende do tamanho da VM confidencial. Para obter mais informações, confira a Calculadora de Preços.
Suporte a recursos
As VMs confidenciais não dão suporte para:
- Lote do Azure
- Serviço de Backup do Azure
- Azure Site Recovery
- Host Dedicado do Azure
- Conjuntos de Dimensionamento de Máquinas Virtuais do Microsoft Azure com a criptografia de disco do SO confidencial habilitada
- Suporte limitado à Galeria de Computação do Azure
- Discos compartilhados
- Discos Ultra
- Rede Acelerada
- Migração ao vivo
- Capturas de tela em diagnóstico de inicialização
Próximas etapas
Para obter mais informações, confira Perguntas frequentes sobre a VM confidencial.