你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于 Azure 机密 VM

  • 项目

Azure 机密计算为具有高安全性和机密性要求的租户提供机密 VM。 这些虚拟机提供了强大的硬件强制边界,可帮助满足你的安全需求。 可以在不更改代码的情况下使用机密虚拟机进行迁移,该平台可保护你的虚拟机状态不被读取或修改。

重要

根据你的配置和首选项,保护级别有所不同。 例如,Microsoft 可以拥有或管理加密密钥以提高便利性,无需额外付费。

好处

机密 VM 的一些优点包括:

  • 虚拟机、虚拟机监控程序和主机管理代码之间以强大的硬件进行隔离。
  • 可自定义的证明策略,以确保在部署之前主机的合规性。
  • 首次启动之前基于云的机密 OS 磁盘加密。
  • 平台或客户(可选)拥有和管理的 VM 加密密钥。
  • 通过平台的成功证明和 VM 的加密密钥之间的加密绑定,可以安全地发布密钥。
  • 专用虚拟可信平台模块 (TPM) 实例,用于证明和保护虚拟机中的密钥和机密。
  • 安全启动功能,类似于 Azure VM 的可信启动

机密 OS 磁盘加密

Azure 机密 VM 提供了新的和增强的磁盘加密方案。 此方案可保护磁盘的所有关键分区。 此方案还将磁盘加密密钥绑定到虚拟机的 TPM,并且只允许 VM 访问受保护的磁盘内容。 这些加密密钥可以安全地绕过 Azure 组件,包括虚拟机监控程序和主机操作系统。 为最大程度地降低攻击可能性,专用和单独的云服务还会在虚拟机的初始创建过程中对该磁盘进行加密。

如果计算平台缺少 VM 隔离的关键设置,则 Azure 证明不会在启动期间证明平台的运行状况,而会阻止 VM 启动。 例如,如果你没有启用 SEV-SNP,就会发生这种情况。

机密 OS 磁盘加密是可选的,因为此过程会延长初始 VM 创建时间。 你可以选择:

  • 在使用平台管理的密钥 (PMK) 或客户管理的密钥 (CMK) 的 VM 部署之前具有机密 OS 磁盘加密的机密 VM。
  • VM 部署之前不包含机密 OS 磁盘加密的机密 VM。

为了提供进一步的完整性和保护,在选择了机密 OS 磁盘加密后,机密 VM 默认提供安全启动

使用安全启动,受信任的发布者必须对操作系统启动组件(包括启动加载程序、内核和内核驱动程序)进行签名。 所有兼容的机密 VM 映像都支持安全启动。

机密临时磁盘加密

还可以将机密磁盘加密的保护扩展到临时磁盘。 在磁盘附加到 CVM 后,我们利用 VM 内对称密钥加密技术来实现此操作。

临时磁盘为应用程序和进程提供快速、本地和短期存储。 它只用于存储页文件、日志文件、缓存数据和其他类型的临时数据。 CVM 上的临时磁盘包含页文件(也称为交换文件),其中可能包含敏感数据。 如果没有加密,主机可以访问这些磁盘上的数据。 启用此功能后,临时磁盘上的数据将不再向主机公开。

可以通过选择加入过程启用此功能。 要了解详细信息,请阅读本文档

加密定价差异

Azure 机密 VM 同时使用操作系统磁盘和几兆字节的小型加密虚拟机访客状态 (VMGS) 磁盘。 VMGS 磁盘包含 VM 组件的安全状态。 某些组件包括 vTPM 和 UEFI 引导加载。 小型 VMGS 磁盘可能会产生每月存储费用。

从 2022 年 7月开始,加密 OS 磁盘将产生更高的费用。 有关详细信息,请参阅托管磁盘定价

证明和 TPM

只有在成功证明平台的关键组件和安全设置后,Azure 机密 VM 才会启动。 证明报告包括:

  • 签名的证明报告
  • 平台启动设置
  • 平台固件度量
  • OS 度量

可以在机密 VM 内部初始化证明请求,以验证机密 VM 是否正在使用启用了 AMD SEV-SNP 或 Intel TDX 的处理器运行硬件实例。 有关详细信息,请参阅 Azure 机密 VM 来宾证明

Azure 机密 VM 配备了适用于 Azure VM 的 虚拟 TPM (vTPM)。 vTPM 是硬件 TPM 的虚拟化版本,符合 TPM 2.0 规范。可以将 vTPM 用作专用的安全保管库,用于保管密钥和度量。 机密 VM 拥有自己的专用 vTPM 实例,该实例在一个安全环境中运行(任何 VM 都无法进入这个环境)。

限制

机密 VM 存在以下限制: 有关常见问题,请参阅关于机密 VM 的常见问题解答

大小支持

机密 VM 支持以下 VM 大小:

  • 无本地磁盘的常规用途:DCasv5-series、DCesv5-series
  • 带本地磁盘的常规用途:DCadsv5-series、DCedsv5-series
  • 无本地磁盘的内存优化:ECasv5-series、ECesv5-series
  • 带本地磁盘的内存优化:ECadsv5-series、ECedsv5-series

OS 支持

机密 VM 支持以下 OS 选项:

Linux Windows 客户端 Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS(仅 AMD SEV-SNP) 22H2 Pro 2019 Server Core
22.04 LTS 22H2 Pro ZH-CN
22H2 Pro N 2022 Server Core
RHEL 22H2 Enterprise 2022 Azure Edition
9.3 (仅 AMD SEV-SNP) 22H2 Enterprise N 2022 Azure Edition Core
9.3 预览版(仅 Intel TDX) 22H2 企业多会话
SUSE(技术预览版)
15 SP5(Intel TDX、AMD SEV-SNP)
适用于 SAP 的 15 SP5(Intel TDX、AMD SEV-SNP)

区域

机密 VM 在特定 VM 区域中可用的专用硬件上运行。

定价

定价取决于机密 VM 大小。 有关详细详细,请参阅定价计算器

功能支持

机密 VM 不支持以下功能:

  • Azure Batch
  • Azure 备份
  • Azure Site Recovery
  • Azure 专用主机
  • 已启用机密 OS 磁盘加密的 Microsoft Azure 虚拟机规模集
  • 有限的 Azure 计算库支持
  • 共享磁盘
  • 超级磁盘
  • 加速网络
  • 实时迁移
  • 启动诊断下的屏幕截图

后续步骤

通过 Azure 门户部署机密 VM

有关详细信息,请参阅我们的机密 VM FAQ