Azure-beli bizalmas virtuális gépek – gyakori kérdések

A bizalmas virtuális gépek IaaS-megoldást jelentenek a magas biztonsági és bizalmassági követelményekkel rendelkező bérlők számára. Bizalmas virtuális gépek ajánlata:

• A "használatban lévő adatok" titkosítása, beleértve a processzor állapotát és a virtuális gép memóriáját. A kulcsokat a processzor hozza létre, és soha nem hagyja el.
• A gazdagépigazolás segít ellenőrizni a kiszolgáló teljes állapotát és megfelelőségét az adatfeldolgozás megkezdése előtt.
• A hardveres biztonsági modul (HSM) csatolható a bizalmas virtuálisgép-lemezek kulcsainak védelméhez, amelyek kizárólagos tulajdonosa a bérlő.
• Új UEFI rendszerindítási architektúra, amely támogatja a vendég operációs rendszert a fokozott biztonsági beállítások és képességek érdekében.
• A dedikált virtuális platformmodul (TPM) tanúsítja a virtuális gép állapotát, edzett kulcskezelést biztosít, és támogatja az olyan használati eseteket, mint a BitLocker.

A bizalmas virtuális gépek foglalkoznak az ügyfelek azon aggodalmaival, hogy a bizalmas számítási feladatokat a helyszínen kívül helyezik át a felhőbe. A bizalmas virtuális gépek emelt szintű védelmet biztosítanak az alapul szolgáló infrastruktúra és felhőszolgáltatók ügyféladatai számára. Más megközelítésekkel és megoldásokkal ellentétben nem kell a meglévő számítási feladatokat a platform műszaki igényeihez igazítania.

Az SEV-SNP a Secure Encrypted Virtualization-Secure beágyazott lapozást jelenti. Ez az AMD által biztosított megbízható végrehajtási környezet (TEE) technológia, amely több védelmet is kínál: például memóriatitkosítás, egyedi CPU-kulcsok, a processzorregisztráló állapot titkosítása, az integritásvédelem, a belső vezérlőprogramok visszaállításának megakadályozása, az oldalsó csatornák megkeményedése, valamint a megszakítási és kivételek viselkedésére vonatkozó korlátozások. Az AMD SEV-technológiák együttesen megkeményítik a vendégvédelmet, hogy megtagadják a hipervizor és más gazdagépfelügyeleti kód hozzáférését a virtuális gépek memóriájához és állapotához. A bizalmas virtuális gépek az AMD SEV-SNP-t olyan Azure-technológiákkal használják, mint a teljes lemezes titkosítás és az Azure Key Vault által felügyelt HSM. A használatban lévő, az átvitel alatt lévő és a inaktív adatokat ön által vezérelhető kulcsokkal titkosíthatja. A beépített Azure-igazolási képességekkel önállóan is megbízhat a bizalmas virtuális gépek biztonságában, állapotában és mögöttes infrastruktúrájában.

Az Intel TDX az Intel Trust Domain Extensions (Intel TDX) Az Intel által biztosított megbízható végrehajtási környezet (TEE) technológia, amely több védelmet is kínál: az Intel TDX hardverbővítményeket használ a memória kezelésére és titkosítására, valamint védi a processzorállapot bizalmasságát és integritását. Emellett az Intel TDX segít a virtualizált környezet megerősítésében azáltal, hogy megtagadja a hipervizort, az egyéb gazdagépkezelési kódot és a rendszergazdák hozzáférését a virtuális gép memóriájához és állapotához. A bizalmas virtuális gépek az Intel TDX-et olyan Azure-technológiákkal kombinálják, mint a teljes lemezes titkosítás és az Azure Key Vault által felügyelt HSM. A használatban lévő, az átvitel alatt lévő és a inaktív adatokat ön által vezérelhető kulcsokkal titkosíthatja.

Az Azure-beli virtuális gépek már iparági vezető biztonságot és védelmet nyújtanak más bérlők és rosszindulatú behatolók ellen. Az Azure bizalmas virtuális gépei bővítik ezeket a védelmet olyan hardveralapú TEES-ekkel, mint az AMD SEV-SNP és az Intel TDX, hogy kriptográfiailag elkülönítsék és megvédjék az adatok bizalmasságát és integritását. A gazdagépgazdák és a gazdagépszolgáltatások (beleértve az Azure-hipervizort is) nem láthatják vagy módosíthatják közvetlenül a bizalmas virtuális gép memóriáját vagy CPU-állapotát. Emellett teljes igazolási képességgel, teljes operációsrendszer-lemeztitkosítással és hardver által védett virtuális megbízható platformmodulokkal az állandó állapot védett, így a titkos kulcsok és a memória tartalma nem lesz titkosítva az üzemeltetési környezet számára.

A bizalmas virtuális gépek operációsrendszer-lemezei jelenleg titkosíthatók és védhetők. Az extra biztonság érdekében minden adatmeghajtóhoz engedélyezheti a vendégszintű titkosítást (például BitLocker vagy dm-crypt).

Igen, de csak akkor, ha a pagefile.sys a titkosított operációsrendszer-lemezen található. Ideiglenes lemezzel rendelkező bizalmas virtuális gépeken a pagefile.sys fájl áthelyezhető a titkosított operációsrendszer-tippekbe a pagefile.sys a c:\ meghajtóra való áthelyezéshez.

Nem, ez a képesség nem létezik bizalmas virtuális gépek esetében.

A bizalmas virtuális gépek üzembe helyezésének néhány módja:

• Üzembe helyezés az Azure Portalról
• Üzembe helyezés az Azure parancssori felületéről (Azure CLI)
• Üzembe helyezés ARM-sablonnal
• Üzembe helyezés VMSS és bizalmas lemeztitkosítás használatával

Az AMD SEV-SNP-n futó Azure-beli bizalmas virtuális gépek a rendszerindítási fázis részeként igazoláson esnek át. Ez a folyamat átlátszatlan a felhasználó számára, és a felhőbeli operációs rendszerben, a Microsoft Azure-igazolással és az Azure Key Vault szolgáltatással történik. A bizalmas virtuális gépek lehetővé teszik a felhasználók számára a bizalmas virtuális gépek független igazolását is. Ez az igazolás az Azure-beli bizalmas virtuálisgép-vendégigazolás nevű új eszköz használatával történik. A vendégigazolás lehetővé teszi az ügyfelek számára, hogy igazolják, hogy a bizalmas virtuális gépeik amd processzorokon futnak, és engedélyezve van az SEV-SNP.

Az Intel TDX-et használó Azure-beli bizalmas virtuális gépek a rendszerindítási folyamat részeként transzparens módon tanúsíthatók annak biztosítása érdekében, hogy a platform megfelelő és naprakész legyen. A folyamat átlátszatlan a felhasználó számára, és a Microsoft Azure-igazolás és az Azure Key Vault használatával történik. Ha a rendszerindítás után további ellenőrzéseket szeretne végezni, a vendégplatformon belüli igazolás elérhető. Ez lehetővé teszi annak ellenőrzését, hogy a virtuális gép valódi Intel TDX-en fut-e. A funkció eléréséhez látogasson el az előzetes verziós ágra. Emellett támogatjuk az Intel® Trust Authorityt azoknak a vállalatoknak, amelyek független igazolást keresnek. Hamarosan megjelenik az AMD SEV-SNP-hez hasonló teljes vendégigazolás támogatása. Ez lehetővé teszi a szervezetek számára, hogy mélyebbre menjenek, és további szempontokat érvényesíthessenek, még a vendégalkalmazási rétegig is.

A bizalmas virtuális gépeken való futtatáshoz az operációs rendszer lemezképének meg kell felelnie bizonyos biztonsági és kompatibilitási követelményeknek. Ez lehetővé teszi a bizalmas virtuális gépek biztonságos csatlakoztatását, igazolását és elkülönítését a mögöttes felhőinfrastruktúra alapján. A jövőben azt tervezzük, hogy útmutatást nyújtunk az egyéni Linux-buildek készítéséhez és nyílt forráskódú javítások készletének alkalmazásához, hogy bizalmas virtuálisgép-rendszerképként minősítsük.

Igen. Az Azure Compute Gallery használatával módosíthatja a bizalmas virtuálisgép-rendszerképeket, például alkalmazások telepítésével. Ezután bizalmas virtuális gépeket helyezhet üzembe a módosított rendszerkép alapján.

Az opcionális teljes lemezes titkosítási séma az Azure legbiztonságosabb, és megfelel a bizalmas számítástechnika alapelveinek. A teljes lemezes titkosítás mellett vagy helyett azonban más lemeztitkosítási sémákat is használhat. Ha több lemeztitkosítási sémát használ, a dupla titkosítás negatívan befolyásolhatja a teljesítményt.

Minden Azure-beli bizalmas virtuális gép saját virtuális TPM-sel rendelkezik, ahol az ügyfelek lezárhatják a titkos kulcsaikat/kulcsaikat. Javasoljuk az ügyfeleknek, hogy ellenőrizzék a vTPM állapotát (Windows rendszerű virtuális gépek TPM.msc-n keresztül). Ha az állapot nem áll készen a használatra, javasoljuk, hogy indítsa újra a virtuális gépeket, mielőtt titkos kulcsokat vagy kulcsokat zár be a vTPM-be.

Szám Miután létrehozott egy bizalmas virtuális gépet, nem inaktiválhatja vagy újraaktiválhatja a teljes lemezes titkosítást. Hozzon létre helyette egy új bizalmas virtuális gépet.

Nem, a kulcskezelés (platform által felügyelt vagy ügyfél által felügyelt) kiválasztása csak a virtuális gép létrehozásakor érhető el, és később nem módosítható.

Nem, ha egy bizalmas virtuális gép az operációsrendszer-lemez teljes lemezes titkosítása nélkül jön létre, az ügyfél által felügyelt kulcs nem használható. Ebben az esetben a mindig titkosított VMGS-lemez egy platform által felügyelt kulccsal (PMK) lesz titkosítva.

A TCB-szolgáltatásoknak a felhőszolgáltatótól való további elkülönítését kérő fejlesztőknek a "NonPersistedTPM" biztonsági típust kell használniuk.

• Ez a felület csak az Intel TDX nyilvános előzetes verziójának részeként érhető el. Azok a szervezetek, amelyek ezt használják, vagy szolgáltatásokat nyújtanak vele, a TCB-t és az azzal járó felelősségeket irányítják.
• Ez a felület átadja a natív Azure-szolgáltatásokat, így saját lemeztitkosítási, kulcskezelési és igazolási megoldást hozhat létre.
• Minden virtuális gép rendelkezik még egy vTPM-lel, amelyet a hardveres bizonyítékok lekérésére kell használni, azonban a vTPM állapota nem marad meg újraindítással, ami azt jelenti, hogy ez a megoldás kiválóan alkalmas a felhőszolgáltatótól leválasztani kívánt rövid élettartamú számítási feladatokhoz és szervezetekhez.

Szám Biztonsági okokból a kezdetektől fogva létre kell hoznia egy bizalmas virtuális gépet.

Igen, az egyik bizalmas virtuális gépről egy másik bizalmas virtuális gépre való konvertálás a megosztott régiókban a DCasv5/ECasv5 és a DCesv5/ECesv5 rendszeren is engedélyezett. Ha Windows rendszerképet használ, győződjön meg arról, hogy rendelkezik a legújabb frissítésekkel. Ha Ubuntu Linux rendszerképet használ, győződjön meg arról, hogy az Ubuntu 22.04 LTS bizalmas rendszerképet használja a kernel minimális verziójával 6.2.0-1011-azure.

Győződjön meg arról, hogy kiválasztott egy elérhető régiót a bizalmas virtuális gépek számára. Ügyeljen arra is, hogy törölje az összes szűrő jelölését a méretválasztóban.

Szám A bizalmas virtuális gépek nem támogatják a gyorsított hálózatkezelést. Nem engedélyezheti a gyorsított hálózatkezelést semmilyen bizalmas virtuálisgép-üzembe helyezéshez, illetve a bizalmas számítástechnikán futó Azure Kubernetes Service-fürt üzembe helyezéséhez.

Előfordulhat, hogy a hibaművelet nem hajtható végre, mert az a jóváhagyott standard DCasv5/ECasv5 Family Cores-kvóta túllépését eredményezi. Ez az Azure Resource Manager-sablon (ARM-sablon) hibája azt jelenti, hogy az üzembe helyezés meghiúsult az Azure számítási magok hiánya miatt. Az ingyenes Azure-próbaverziós előfizetések nem rendelkeznek elég nagy magkvóta a bizalmas virtuális gépekhez. Hozzon létre egy támogatási kérést a kvóta növeléséhez.

Az ECasv5-sorozat és az ECesv5 sorozat memóriaoptimalizált virtuálisgép-méretek, amelyek magasabb memória-processzor arányt biztosítanak. Ezek a méretek különösen alkalmasak a relációs adatbázis-kiszolgálók, a közepes és a nagy gyorsítótárak, valamint a memóriabeli elemzések esetében.

Szám Ezek a virtuális gépek jelenleg csak bizonyos régiókban érhetők el. Az elérhető régiók aktuális listáját a virtuálisgép-termékek régiónkénti listájában találja.

Az Azure nem rendelkezik olyan üzemeltetési eljárásokkal, amelyek bizalmas virtuálisgép-hozzáférést biztosítanak az alkalmazottai számára, még akkor sem, ha az ügyfél engedélyezi a hozzáférést. Ennek eredményeképpen a különböző helyreállítási és támogatási forgatókönyvek nem érhetők el bizalmas virtuális gépekhez.

Nem, a bizalmas virtuális gépek jelenleg nem támogatják a beágyazott virtualizálást, például hipervizor futtatását a virtuális gépen belül.

A bizalmas virtuális gépek számlázása a használattól és a tárolástól, valamint a virtuális gép méretétől és régiójától függ. A bizalmas virtuális gépek kis méretű, több megabájtból álló, titkosított virtuálisgép-vendégállapot-lemezt (VMGS) használnak. A VMGS magában foglalja az olyan összetevők virtuálisgép-biztonsági állapotát, mint a vTPM és az UEFI rendszerindító. Ez a lemez havi tárolási díjat eredményezhet. Ha az opcionális teljes lemezes titkosítás engedélyezése mellett dönt, a titkosított operációsrendszer-lemezek magasabb költségekkel járnak. A tárolási díjakról további információt a felügyelt lemezek díjszabási útmutatójában talál. Végül, néhány magas biztonsági és adatvédelmi beállítás esetén dönthet úgy, hogy csatolt erőforrásokat hoz létre, például felügyelt HSM-készletet. Az Azure ezeket az erőforrásokat a bizalmas virtuális gépek költségeitől elkülönítve számlálja.

Ritkán előfordulhat, hogy egyes DCesv5/ECesv5 sorozatú virtuális gépeknél kis időkülönbség tapasztalható az UTC-től. Hamarosan elérhető egy hosszú távú javítás. Addig is íme a Windows és Ubuntu Linux rendszerű virtuális gépek megkerülő megoldásai:

sc config vmictimesync start=disabled
sc stop vmictimesync

Ubuntu Linux-rendszerképek esetén futtassa a következő szkriptet:

#!/bin/bash

# Backup the original chrony.conf file
cp /etc/chrony/chrony.conf /etc/chrony/chrony.conf.bak

# check chronyd.service status
status=$(systemctl is-active chronyd.service)

# check chronyd.service status is "active" or not
if [ "$status" == "active" ]; then
  echo "chronyd.service is active."
else
  echo "chronyd.service is not active. Exiting script."
  exit 1
fi

# Comment out the line with 'refclock PHC /dev/ptp_hyperv'
sed -i '/refclock PHC \/dev\/ptp_hyperv/ s/^/#/' /etc/chrony/chrony.conf

# Uncomment the lines with 'pool ntp.ubuntu.com' and other pool entries
sed -i '/#pool ntp.ubuntu.com/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 0.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 1.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf
sed -i '/#pool 2.ubuntu.pool.ntp.org/ s/^#//' /etc/chrony/chrony.conf

echo "Changes applied to /etc/chrony/chrony.conf. Backup created at /etc/chrony/chrony.conf.bak."

echo "Restart chronyd service"
systemctl restart chronyd.service


echo "Check chronyd status"
systemctl status chronyd.service