Часто задаваемые вопросы о конфиденциальных виртуальных машинах Azure

Конфиденциальные виртуальные машины — это решение IaaS для клиентов с высокими требованиями к безопасности и конфиденциальности. Предложение конфиденциальных виртуальных машин:

• Шифрование для использования данных, включая состояние процессора и память виртуальной машины. Ключи создаются процессором и никогда не покидают его.
• Аттестация узла помогает проверить полную работоспособность и соответствие сервера до начала обработки данных.
• Аппаратный модуль безопасности (HSM) можно подключить для защиты ключей конфиденциальных дисков виртуальных машин, которым владеет клиент исключительно.
• Новая архитектура загрузки UEFI, поддерживающая гостевую ОС для расширенных параметров безопасности и возможностей.
• Выделенный виртуальный доверенный модуль платформы (TPM) гарантирует работоспособность виртуальной машины, обеспечивает защищенное управление ключами и поддерживает такие варианты использования, как BitLocker.

Конфиденциальные виртуальные машины устраняют проблемы клиентов по перемещению конфиденциальных рабочих нагрузок вне локальной среды в облако. Конфиденциальные виртуальные машины обеспечивают повышенную защиту данных клиентов от базовых операторов инфраструктуры и облачных операторов. В отличие от других подходов и решений, вам не нужно адаптировать существующие рабочие нагрузки в соответствии с техническими потребностями платформы.

SEV-SNP — это защищенное вложенное разбиение по страницам с защищенным шифрованием. Это технология доверенной среды выполнения (TEE), предоставляемая AMD и предлагает несколько средств защиты: например, шифрование памяти, уникальные ключи ЦП, шифрование состояния регистра процессора, защита целостности, защита отката встроенного ПО, защита отката встроенного ПО, защита откатов на стороне канала и ограничения на прерывание и исключения. В совокупности технологии AMD SEV ужесточяют защиту гостей, чтобы запретить гипервизор и другой код управления узлами доступ к памяти и состоянию виртуальной машины. Конфиденциальные виртуальные машины используют AMD SEV-SNP с такими технологиями Azure, как шифрование полного диска и управляемый HSM в Azure Key Vault. Вы можете шифровать данные, используемые, передаваемые и неактивные с помощью ключей, которыми вы управляете. С помощью встроенных возможностей Аттестация Azure можно независимо устанавливать доверие к безопасности, работоспособности и базовой инфраструктуре конфиденциальных виртуальных машин.

Intel TDX обозначает расширения домена Intel Trust (Intel TDX) — это технология доверенной среды выполнения (TEE), предоставляемая Intel, и предлагает несколько средств защиты: Intel TDX использует аппаратные расширения для управления памятью и шифрования памяти и защищает как конфиденциальность, так и целостность состояния ЦП. Кроме того, Intel TDX помогает защитить виртуализированную среду путем запрета гипервизора, другого кода управления узлами и доступа администраторов к памяти и состоянию виртуальной машины. Конфиденциальные виртуальные машины объединяют Intel TDX с технологиями Azure, такими как шифрование полного диска и управляемый HSM Azure Key Vault. Вы можете шифровать данные, используемые, передаваемые и неактивные с помощью ключей, которыми вы управляете.

Виртуальные машины Azure уже предлагают индустрию ведущих средств безопасности и защиты от других клиентов и вредоносных злоумышленников. Конфиденциальные виртуальные машины Azure расширяют эти средства защиты с помощью аппаратных TEEs, таких как AMD SEV-SNP и Intel TDX для шифрования и защиты конфиденциальности и целостности данных. Администраторы узлов или службы узлов (включая гипервизор Azure) не могут напрямую просматривать или изменять состояние памяти или ЦП конфиденциальной виртуальной машины. Кроме того, с полной возможностью аттестации, полным шифрованием дисков ОС и аппаратными виртуальными доверенными платформенными модулями, сохраняемое состояние защищено таким образом, что закрытые ключи и содержимое памяти не предоставляются в среде размещения незашифрованных данных.

В настоящее время диски ОС для конфиденциальных виртуальных машин можно шифровать и защищать. Для дополнительной безопасности можно включить шифрование на уровне гостя (например, BitLocker или dm-crypt) для всех дисков данных.

Да, но только если pagefile.sys находится на зашифрованном диске ОС. На конфиденциальных виртуальных машинах с временным диском файл pagefile.sys можно переместить в зашифрованную ОС Советы для перемещения pagefile.sys на диск c:\.

Нет, эта возможность не существует для конфиденциальных виртуальных машин.

Ниже приведены некоторые способы развертывания конфиденциальной виртуальной машины:

• Развертывание из портал Azure
• Развертывание из интерфейс командной строки Azure (Azure CLI)
• Развертывание с помощью шаблона ARM

Конфиденциальные виртуальные машины Azure в AMD SEV-SNP проходят аттестацию в рамках этапа загрузки. Этот процесс непрозрачн для пользователя и выполняется в облачной операционной системе со службами Microsoft Аттестация Azure и Azure Key Vault. Конфиденциальные виртуальные машины также позволяют пользователям выполнять независимую аттестацию для конфиденциальных виртуальных машин. Эта аттестация происходит с помощью новых инструментов, называемых аттестацией гостевой виртуальной машины Azure. Аттестация гостей позволяет клиентам подтвердить, что конфиденциальные виртуальные машины работают на процессорах AMD с включенным SEV-SNP.

Конфиденциальные виртуальные машины Azure с помощью Intel TDX можно прозрачно проверить как часть потока загрузки, чтобы обеспечить соответствие платформы и актуальности платформы. Процесс непрозрачн для пользователя и выполняется с помощью Microsoft Аттестация Azure и Azure Key Vault. Если вы хотите продолжить выполнение проверка после загрузки, аттестация на гостевой платформе доступна. Это позволяет проверить, работает ли виртуальная машина на подлинной платформе Intel TDX. Чтобы получить доступ к этой функции, посетите нашу ветвь предварительной версии. Кроме того, мы поддерживаем Центр доверия Intel® для предприятий, ищущих независимых аттестаций. Поддержка полной аттестации в гостях, аналогичная AMD SEV-SNP, скоро ожидается. Это позволяет организациям более глубоко изучить и проверить дополнительные аспекты даже до уровня гостевого приложения.

Для запуска на конфиденциальной виртуальной машине образы ОС должны соответствовать определенным требованиям к безопасности и совместимости. Это позволяет безопасно подключать конфиденциальные виртуальные машины, тестировать и изолироваться от базовой облачной инфраструктуры. В будущем мы планируем предоставить рекомендации по принятию пользовательской сборки Linux и применению набора исправлений с открытым исходным кодом, чтобы квалифицировать его как конфиденциальный образ виртуальной машины.

Да. Вы можете использовать коллекцию вычислений Azure для изменения образа конфиденциальной виртуальной машины, например путем установки приложений. Затем можно развернуть конфиденциальные виртуальные машины на основе измененного образа.

Необязательная схема полного шифрования диска является наиболее безопасной и соответствует принципам конфиденциальной вычислительной техники Azure. Однако вы также можете использовать другие схемы шифрования дисков вместе с полным шифрованием диска или вместо полного шифрования. При использовании нескольких схем шифрования дисков двойное шифрование может отрицательно повлиять на производительность.

Каждая конфиденциальная виртуальная машина Azure имеет собственный виртуальный TPM, где клиенты могут запечатывать свои секреты и ключи. Клиентам рекомендуется проверить состояние vTPM (через TPM.msc для виртуальных машин Windows). Если состояние не готово для использования, рекомендуется перезагрузить виртуальные машины перед запечатыванием секретов и ключей в vTPM.

№ После создания конфиденциальной виртуальной машины невозможно отключить или повторно активировать шифрование полного диска. Создайте новую конфиденциальную виртуальную машину.

Разработчики, стремящиеся к дальнейшему разделению обязанностей для служб TCB от поставщика облачных служб, должны использовать тип безопасности NonPersistedTPM.

• Этот интерфейс доступен только в рамках общедоступной предварительной версии Intel TDX. Организации, использующие его или предоставляющие им услуги, контролируют TCB и обязанности, которые приходят вместе с ним.
• Этот интерфейс проходит собственные службы Azure, что позволяет использовать собственное шифрование дисков, управление ключами и решение аттестации.
• Каждая виртуальная машина по-прежнему имеет VTPM, которая должна использоваться для получения аппаратных доказательств, однако состояние vTPM не сохраняется с помощью перезагрузки, то есть это решение отлично подходит для временных рабочих нагрузок и организаций, желающих отключиться от поставщика облачных служб.

№ По соображениям безопасности необходимо создать конфиденциальную виртуальную машину с самого начала.

Да, преобразование одной конфиденциальной виртуальной машины в другую конфиденциальную виртуальную машину разрешено как в DCasv5/ECasv5, так и DCesv5/ECesv5 в регионах, которыми они совместно используются. Если вы используете образ Windows, убедитесь, что у вас есть все последние обновления. Если вы используете образ Ubuntu Linux, убедитесь, что вы используете конфиденциальный образ Ubuntu 22.04 LTS с минимальной версией 6.2.0-1011-azureядра.

Убедитесь, что вы выбрали доступный регион для конфиденциальных виртуальных машин. Кроме того, обязательно выделите все фильтры в селекторе размера.

№ Конфиденциальные виртуальные машины не поддерживают ускоренную сеть. Вы не можете включить ускорение сети для любого развертывания конфиденциальной виртуальной машины или любого развертывания кластера Служба Azure Kubernetes, работающего в конфиденциальных вычислениях.

Возможно, операция ошибки не может быть завершена, так как она приводит к превышению утвержденной стандартной квоты DCasv5/ECasv5 Family Cores. Эта ошибка шаблона Azure Resource Manager (шаблон ARM) означает, что развертывание завершилось сбоем из-за отсутствия вычислительных ядер Azure. Бесплатные пробные подписки Azure не имеют достаточно большой основной квоты для конфиденциальных виртуальных машин. Создайте запрос в службу поддержки для увеличения квоты.

Серии ECasv5 и ECesv5 — это оптимизированные для памяти размеры виртуальных машин, которые обеспечивают более высокое соотношение памяти к ЦП. Эти размеры особенно хорошо подходят для реляционных серверов баз данных, средних и больших кэшей и аналитики в памяти.

№ В настоящее время эти виртуальные машины доступны только в выборе регионов. Текущий список доступных регионов см. в разделе "Продукты виртуальных машин по регионам".

В Azure нет операционных процедур для предоставления доступа к конфиденциальной виртуальной машине своим сотрудникам, даже если клиент авторизовать доступ. В результате для конфиденциальных виртуальных машин недоступны различные сценарии восстановления и поддержки.

Нет, конфиденциальные виртуальные машины в настоящее время не поддерживают вложенную виртуализацию, например возможность запуска гипервизора внутри виртуальной машины.

Выставление счетов за конфиденциальные виртуальные машины зависит от использования и хранилища, а также размера и региона виртуальной машины. Конфиденциальные виртуальные машины используют небольшой зашифрованный диск состояния гостевой машины (VMGS) нескольких мегабайт. VMGS инкапсулирует состояние безопасности виртуальной машины компонентов, таких как vTPM и загрузчик UEFI. Этот диск может привести к ежемесячной плате за хранение. Кроме того, если вы решили включить необязательное шифрование полного диска, зашифрованные диски ОС несут более высокие затраты. Дополнительные сведения о сборе за хранение см. в руководстве по ценам на управляемые диски. Наконец, для некоторых параметров безопасности и конфиденциальности можно создать связанные ресурсы, например управляемый пул HSM. Azure выставляет счета за такие ресурсы отдельно от затрат на конфиденциальную виртуальную машину.

Редко некоторые виртуальные машины серии DCesv5/ECesv5 могут иметь небольшую разницу во времени от UTC. Долгосрочное исправление доступно для этого в ближайшее время. В то же время ниже приведены обходные пути для виртуальных машин Windows и Ubuntu Linux:

sc config vmictimesync start=disabled
sc stop vmictimesync

Для образов Ubuntu Linux выполните следующий сценарий:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service