Azure gizli sanal makineleri hakkında SSS

Gizli VM'ler, yüksek güvenlik ve gizlilik gereksinimleri olan kiracılar için bir IaaS çözümüdir. Gizli VM'ler teklifi:

• İşlemci durumu ve sanal makinenin belleği dahil olmak üzere "kullanımdaki veriler" için şifreleme. Anahtarlar işlemci tarafından oluşturulur ve hiçbir zaman bırakmaz.
• Konak kanıtlama, veri işleme başlamadan önce sunucunun tam sistem durumunu ve uyumluluğunu doğrulamanıza yardımcı olur.
• Donanım Güvenlik Modülü (HSM), kiracının özel olarak sahip olduğu gizli VM disklerinin anahtarlarını korumak için eklenebilir.
• Gelişmiş güvenlik ayarları ve özellikleri için konuk işletim sistemini destekleyen yeni UEFI önyükleme mimarisi.
• Ayrılmış bir sanal Güvenilen Platform Modülü (TPM), VM'nin durumunu onaylar, sağlamlaştırılmış anahtar yönetimi sağlar ve BitLocker gibi kullanım örneklerini destekler.

Gizli VM'ler, müşterinin hassas iş yüklerini şirket dışına buluta taşıma konusundaki endişelerini giderir. Gizli VM'ler, temel alınan altyapı ve bulut operatörlerinin müşteri verileri için yükseltilmiş korumalar sağlar. Diğer yaklaşımların ve çözümlerin aksine, mevcut iş yüklerinizi platformun teknik gereksinimlerine uyacak şekilde uyarlamanız gerekmez.

SEV-SNP, Güvenli Şifrelenmiş Sanallaştırma-Güvenli İç İçe Disk Belleği anlamına gelir. BU, AMD tarafından sağlanan ve birden çok koruma sağlayan bir Güvenilir Yürütme Ortamı (TEE) teknolojisidir: Örneğin, bellek şifrelemesi, benzersiz CPU anahtarları, işlemci kayıt durumu için şifreleme, bütünlük koruması, üretici yazılımı geri alma önleme, yan kanal sağlamlaştırma ve kesme ve özel durum davranışı kısıtlamaları. AMD SEV teknolojileri, sanal makine belleğine ve durumuna hiper yönetici ve diğer konak yönetimi kodu erişimini reddetmek için konuk korumalarını toplu olarak güçlendirir. Gizli VM'ler, tam disk şifrelemesi ve Azure Key Vault Yönetilen HSM gibi Azure teknolojileriyle AMD SEV-SNP'lerden yararlanıyor. Kullanımdaki, aktarımdaki ve bekleyen verileri denetlediğiniz anahtarlarla şifreleyebilirsiniz. Yerleşik Azure Doğrulama özellikleriyle, gizli VM'lerinizin güvenliğine, durumuna ve temel alınan altyapısına bağımsız olarak güven oluşturabilirsiniz.

Intel TDX, Intel Trust Domain Extensions (Intel TDX) anlamına gelir. Intel tarafından sağlanan ve birden çok koruma sağlayan bir Güvenilen Yürütme Ortamı (TEE) teknolojisidir: Intel TDX, belleği yönetmek ve şifrelemek için donanım uzantılarını kullanır ve CPU durumunun hem gizliliğini hem de bütünlüğünü korur. Ayrıca Intel TDX hiper yöneticiyi, diğer konak yönetim kodunu ve yöneticilerin VM belleğine ve durumuna erişimini reddederek sanallaştırılmış ortamı sağlamlaştırmaya yardımcı olur. Gizli VM'ler, Intel TDX'i tam disk şifrelemesi ve Azure Key Vault Yönetilen HSM gibi Azure teknolojileriyle birleştirir. Kullanımdaki, aktarımdaki ve bekleyen verileri denetlediğiniz anahtarlarla şifreleyebilirsiniz.

Azure VM'leri zaten diğer kiracılara ve kötü amaçlı davetsiz misafirlere karşı sektör lideri güvenlik ve koruma sunar. Azure gizli VM'leri, veri gizliliğinizi ve bütünlüğünüzü şifrelemek ve korumak için AMD SEV-SNP ve Intel TDX gibi donanım tabanlı TEE'leri kullanarak bu korumaları genişletir. Hiçbir konak yöneticisi veya konak hizmeti (Azure hiper yöneticisi dahil) gizli VM'nizin belleğini veya CPU durumunu doğrudan görüntüleyemez veya değiştiremez. Ayrıca, tam kanıtlama özelliği, tam işletim sistemi disk şifrelemesi ve donanım korumalı sanal Güvenilen Platform Modülleri ile kalıcı durum, özel anahtarlarınızın korunması ve belleğinizin içeriğinin barındırma ortamına şifrelenmemiş olarak gösterilmemesi için korunur.

Şu anda gizli VM'ler için işletim sistemi diskleri şifrelenebilir ve güvenliği sağlanabilir. Ek güvenlik için tüm veri sürücüleri için konuk düzeyinde şifrelemeyi (BitLocker veya dm-crypt gibi) etkinleştirebilirsiniz.

Evet, ancak yalnızca pagefile.sys şifrelenmiş işletim sistemi diskinde bulunuyorsa. Geçici diske sahip gizli VM'lerde, pagefile.sys dosyası pagefile.sys c:\ sürücüsüne taşımak için şifrelenmiş işletim sistemi İpuçları taşınabilir.

Hayır, bu özellik gizli VM'ler için mevcut değildir.

Gizli bir VM'yi dağıtmanın bazı yolları şunlardır:

• Azure portalından dağıtma
• Azure Komut Satırı Arabirimi'nden (Azure CLI) dağıtma
• ARM Şablonu kullanarak dağıtma

AMD SEV-SNP üzerindeki Azure gizli VM'leri, önyükleme aşamalarının bir parçası olarak kanıtlamadan geçer. Bu işlem kullanıcıya göre uygun değildir ve Microsoft Azure Doğrulama ve Azure Key Vault hizmetleriyle bulut işletim sisteminde gerçekleşir. Gizli VM'ler, kullanıcıların gizli VM'leri için bağımsız kanıtlama gerçekleştirmesine de olanak sağlar. Bu kanıtlama, Azure gizli VM Konuk Kanıtlama adlı yeni araçlar kullanılarak gerçekleşir. Konuk kanıtlama, müşterilerin gizli VM'lerinin SEV-SNP etkin AMD işlemcilerde çalıştığını kanıtlamasına olanak tanır.

Intel TDX kullanan Azure gizli VM'leri, platformun uyumlu ve güncel olduğundan emin olmak için önyükleme akışının bir parçası olarak saydam olarak doğrulanabilir. İşlem kullanıcıya göre donuk olur ve Microsoft Azure Doğrulama ve Azure Key Vault kullanılarak gerçekleştirilir. Önyükleme sonrasında denetim gerçekleştirmek için daha fazla bilgi edinmek isterseniz konuk içi platform kanıtlaması kullanılabilir. Bu, SANAL makinenizin orijinal Intel TDX üzerinde çalıştığını doğrulamanıza olanak tanır. Özelliğe erişmek için önizleme dalımızı ziyaret edin. Buna ek olarak, operatör bağımsız kanıtlaması arayan kuruluşlar için Intel® Güven Yetkilisi'ne de destek salarız. AMD SEV-SNP'ye benzer tam konuk içi kanıtlama desteği yakında sunulacaktır. Bu, kuruluşların konuk uygulama katmanına kadar daha derine inmesini ve daha fazla ayrıntıyı doğrulamasını sağlar.

Gizli bir VM'de çalıştırmak için işletim sistemi görüntülerinin belirli güvenlik ve uyumluluk gereksinimlerini karşılaması gerekir. Bu, gizli VM'lerin güvenli bir şekilde bağlanmasını, test edilmesini ve temel bulut altyapısından yalıtılmasını sağlar. Gelecekte, özel bir Linux derlemesi alma ve bunu gizli bir VM görüntüsü olarak niteleme amacıyla bir dizi açık kaynak düzeltme eki uygulama konusunda rehberlik sağlamayı planlıyoruz.

Evet. Azure İşlem Galerisi'ni kullanarak, örneğin uygulamaları yükleyerek gizli bir VM görüntüsünü değiştirebilirsiniz. Ardından, değiştirilen görüntünüze göre gizli VM'leri dağıtabilirsiniz.

İsteğe bağlı tam disk şifreleme düzeni, Azure'ın en güvenli düzenidir ve Gizli Bilgi İşlem ilkelerini karşılar. Ancak, tam disk şifrelemesi yerine veya ile birlikte diğer disk şifreleme düzenlerini de kullanabilirsiniz. Birden çok disk şifreleme düzeni kullanıyorsanız, çift şifreleme performansı olumsuz etkileyebilir.

Her Azure gizli VM'sinde, müşterilerin gizli dizilerini/anahtarlarını kapatabilecekleri kendi sanal TPM'leri vardır. Müşterilerin vTPM durumunu doğrulamaları önerilir (Windows VM'leri için TPM.msc aracılığıyla). Durum kullanıma hazır değilse, gizli dizileri/anahtarları vTPM'ye kapatmadan önce VM'lerinizi yeniden başlatmanızı öneririz.

Hayır Gizli bir VM oluşturduktan sonra, tam disk şifrelemesini devre dışı bırakamaz veya yeniden etkinleştiremezsiniz. Bunun yerine yeni bir gizli VM oluşturun.

TCB hizmetleri için bulut hizmeti sağlayıcısından daha fazla "görev ayrımı" isteyen geliştiricilerin "NonPersistedTPM" güvenlik türünü kullanması gerekir.

• Bu deneyim yalnızca Intel TDX genel önizlemesinin bir parçası olarak kullanılabilir. Bunu kullanan veya hizmet sağlayan kuruluşlar, TCB'nin ve onunla birlikte gelen sorumlulukların denetimindedir.
• Bu deneyim yerel Azure hizmetlerini atlayarak kendi disk şifreleme, anahtar yönetimi ve kanıtlama çözümünüzü getirmenizi sağlar.
• Her VM'de hala donanım kanıtı almak için kullanılması gereken bir vTPM vardır, ancak vTPM durumu yeniden başlatmalar aracılığıyla kalıcı hale getirilmediğinden, bu çözüm kısa ömürlü iş yükleri ve bulut hizmeti sağlayıcısından ayrıştırmak isteyen kuruluşlar için mükemmeldir.

Hayır Güvenlik nedenleriyle, başlangıçtan itibaren gibi gizli bir VM oluşturmanız gerekir.

Evet, paylaştıkları bölgelerde hem DCasv5/ECasv5 hem de DCesv5/ECesv5 üzerinde bir gizli VM'den başka bir gizli VM'ye dönüştürmeye izin verilir. Windows görüntüsü kullanıyorsanız en son güncelleştirmelerin tümüne sahip olduğunuzdan emin olun. Ubuntu Linux görüntüsü kullanıyorsanız, en düşük çekirdek sürümüyle 6.2.0-1011-azureUbuntu 22.04 LTS gizli görüntüsünü kullandığınızdan emin olun.

Gizli VM'ler için kullanılabilir bir bölge seçtiğinizden emin olun. Ayrıca, boyut seçicideki tüm filtreleri temizle'yi seçtiğinizden emin olun.

Hayır Gizli VM'ler Hızlandırılmış Ağı desteklemez. Herhangi bir gizli VM dağıtımı veya Gizli Bilgi İşlem üzerinde çalışan Azure Kubernetes Service küme dağıtımı için Hızlandırılmış Ağ'ı etkinleştiremezsiniz.

onaylanan standart DCasv5/ECasv5 Aile Çekirdeği Kotası aşıldığından İşlem tamamlanamadı hatasını alabilirsiniz. Bu Azure Resource Manager şablonu (ARM şablonu) hatası, Azure işlem çekirdeklerinin olmaması nedeniyle dağıtımın başarısız olduğu anlamına gelir. Azure ücretsiz deneme aboneliklerinin gizli VM'ler için yeterli çekirdek kotası yoktur. Kotanızı artırmak için bir destek isteği oluşturun.

ECasv5 serisi ve ECesv5 serisi, daha yüksek bellek-CPU oranı sunan bellek için iyileştirilmiş VM boyutlarıdır. Bu boyutlar özellikle ilişkisel veritabanı sunucuları, orta ve büyük önbellekler ve bellek içi analizler için uygundur.

Hayır Şu anda bu VM'ler yalnızca belirli bölgelerde kullanılabilir. Kullanılabilir bölgelerin geçerli listesi için bkz . Bölgeye göre VM ürünleri.

Azure' ın, bir müşteri erişim yetkisi verse bile çalışanlarına gizli VM erişimi vermek için çalışma yordamları yoktur. Sonuç olarak, gizli VM'ler için çeşitli kurtarma ve destek senaryoları kullanılamaz.

Hayır, gizli VM'ler şu anda vm içinde hiper yönetici çalıştırabilme gibi iç içe sanallaştırmayı desteklememektedir.

Gizli VM'ler için faturalama, kullanımınıza ve depolama alanınıza ve VM'nin boyutuna ve bölgesine bağlıdır. Gizli VM'ler birkaç megabaytlık küçük bir şifrelenmiş sanal makine konuk durumu (VMGS) diski kullanır. VMGS, vTPM ve UEFI önyükleme yükleyicisi gibi bileşenlerin VM güvenlik durumunu kapsüller. Bu disk aylık depolama ücretine neden olabilir. Ayrıca, isteğe bağlı tam disk şifrelemesini etkinleştirmeyi seçerseniz şifrelenmiş işletim sistemi diskleri daha yüksek maliyetlere neden olur. Depolama ücretleri hakkında daha fazla bilgi için yönetilen diskler için fiyatlandırma kılavuzuna bakın. Son olarak, bazı yüksek güvenlik ve gizlilik ayarları için Yönetilen HSM Havuzu gibi bağlı kaynaklar oluşturmayı seçebilirsiniz. Azure bu tür kaynakları gizli VM maliyetlerinden ayrı olarak faturalar.

Bazı DCesv5/ECesv5 serisi VM'ler UTC'den küçük bir zaman farkıyla karşılaşabilir. Bunun için kısa süre içinde uzun vadeli bir düzeltme kullanıma sunulacaktır. Bu arada Windows ve Ubuntu Linux VM'leri için geçici çözümler şunlardır:

sc config vmictimesync start=disabled
sc stop vmictimesync

Ubuntu Linux görüntüleri için aşağıdaki betiği çalıştırın:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service