Azure gizli VM'leri hakkında
Azure gizli VM'leri, kiracılar için güçlü güvenlik ve gizlilik sunar. Uygulamanızla sanallaştırma yığını arasında donanım tarafından zorlanan bir sınır oluşturur. Kodunuzu değiştirmeden bunları bulut geçişleri için kullanabilirsiniz ve platform VM'nizin durumunun korumalı kalmasını sağlar.
Önemli
Koruma düzeyleri yapılandırmanıza ve tercihlerinize göre farklılık gösterir. Örneğin Microsoft, ek ücret ödemeden daha fazla kolaylık sağlamak için şifreleme anahtarlarının sahibi olabilir veya bu anahtarları yönetebilir.
Microsoft Mechanics
Gizli VM'lerin Avantajları
- Sanal makineler, hiper yönetici ve konak yönetim kodu arasında sağlam donanım tabanlı yalıtım.
- Dağıtımdan önce konağın uyumluluğunu sağlamak için özelleştirilebilir kanıtlama ilkeleri.
- İlk önyüklemeden önce bulut tabanlı Gizli işletim sistemi disk şifrelemesi.
- Platformun veya müşterinin (isteğe bağlı olarak) sahip olduğu ve yönettiği VM şifreleme anahtarları.
- Platformun başarılı kanıtlaması ile VM'nin şifreleme anahtarları arasında şifreleme bağlaması ile güvenli anahtar sürümü.
- Sanal makinedeki anahtarların ve gizli dizilerin kanıtlaması ve korunması için ayrılmış sanal Güvenilen Platform Modülü (TPM) örneği.
- Azure VM'leri için Güvenilen başlatmaya benzer güvenli önyükleme özelliği
Gizli işletim sistemi disk şifrelemesi
Azure gizli VM'leri yeni ve gelişmiş bir disk şifreleme düzeni sunar. Bu düzen, diskin tüm kritik bölümlerini korur. Ayrıca disk şifreleme anahtarlarını sanal makinenin TPM'sine bağlar ve korumalı disk içeriğini yalnızca VM için erişilebilir hale getirir. Bu şifreleme anahtarları, hiper yönetici ve konak işletim sistemi de dahil olmak üzere Azure bileşenlerini güvenli bir şekilde atlayabilir. Saldırı potansiyelini en aza indirmek için ayrılmış ve ayrı bir bulut hizmeti, VM'nin ilk oluşturulması sırasında diski de şifreler.
İşlem platformunda VM'nizin yalıtımı için kritik ayarlar eksikse, Azure Doğrulama önyükleme sırasında platformun durumunu kanıtlamaz ve bunun yerine VM'nin başlatılmasını engeller. Bu senaryo, örneğin SEV-SNP'yi etkinleştirmediyseniz gerçekleşir.
Gizli işletim sistemi disk şifrelemesi isteğe bağlıdır, bu işlem ilk VM oluşturma süresini uzatabilir. Şunlar arasında seçim yapabilirsiniz:
- Platform tarafından yönetilen anahtarlar (PMK) veya müşteri tarafından yönetilen anahtar (CMK) kullanan VM dağıtımı öncesinde Gizli işletim sistemi disk şifrelemesi olan gizli bir VM.
- VM dağıtımı öncesinde Gizli işletim sistemi disk şifrelemesi olmayan gizli bir VM.
Daha fazla bütünlük ve koruma için gizli VM'ler, gizli işletim sistemi disk şifrelemesi seçildiğinde varsayılan olarak Güvenli Önyükleme sunar.
Güvenli Önyükleme ile, güvenilen yayımcıların işletim sistemi önyükleme bileşenlerini (önyükleme yükleyicisi, çekirdek ve çekirdek sürücüleri dahil) imzalaması gerekir. Tüm uyumlu gizli VM görüntüleri Güvenli Önyüklemeyi destekler.
Gizli geçici disk şifrelemesi
Gizli disk şifreleme korumasını geçici diske de genişletebilirsiniz. Disk CVM'ye eklendikten sonra VM içi simetrik anahtar şifreleme teknolojisinden yararlanarak bunu etkinleştiririz.
Geçici disk, uygulamalar ve işlemler için hızlı, yerel ve kısa vadeli depolama sağlar. Yalnızca sayfa dosyaları, günlük dosyaları, önbelleğe alınan veriler ve diğer geçici veri türleri gibi verileri depolamaya yöneliktir. CVM'lerdeki geçici diskler, hassas veriler içerebilen, takas dosyası olarak da bilinen sayfa dosyasını içerir. Şifreleme olmadan, bu disklerdeki verilere konak tarafından erişilebilir. Bu özellik etkinleştirildikten sonra geçici disklerdeki veriler artık konakta gösterilmez.
Bu özellik bir kabul etme işlemiyle etkinleştirilebilir. Daha fazla bilgi edinmek için belgeleri okuyun.
Şifreleme fiyatlandırması farklılıkları
Azure gizli VM'leri hem işletim sistemi diskini hem de birkaç megabaytlık küçük şifrelenmiş sanal makine konuk durumu (VMGS) diskini kullanır. VMGS diski, VM bileşenlerinin güvenlik durumunu içerir. Bazı bileşenler vTPM ve UEFI önyükleme yükleyicisini içerir. Küçük VMGS diski aylık depolama maliyetine neden olabilir.
Temmuz 2022'den itibaren şifrelenmiş işletim sistemi diskleri daha yüksek maliyetler doğuracaktır. Daha fazla bilgi için yönetilen diskler için fiyatlandırma kılavuzuna bakın.
Kanıtlama ve TPM
Azure gizli VM'leri yalnızca platformun kritik bileşenlerinin ve güvenlik ayarlarının başarılı bir şekilde kanıtlamasının ardından önyükleme gerçekleştirir. Kanıtlama raporu şunları içerir:
- İmzalı kanıtlama raporu
- Platform önyükleme ayarları
- Platform üretici yazılımı ölçümleri
- İşletim sistemi ölçümleri
Gizli VM'lerinizin AMD SEV-SNP veya Intel TDX özellikli işlemcilerle bir donanım örneği çalıştırdığını doğrulamak için gizli bir VM'nin içinde kanıtlama isteği başlatabilirsiniz. Daha fazla bilgi için bkz . Azure gizli VM konuk kanıtlama.
Azure gizli VM'lerinde Azure VM'leri için sanal TPM (vTPM) bulunur. vTPM, donanım TPM'sinin sanallaştırılmış bir sürümüdür ve TPM 2.0 belirtimiyle uyumludur. VTPM'yi anahtarlar ve ölçümler için ayrılmış, güvenli bir kasa olarak kullanabilirsiniz. Gizli VM'lerin, herhangi bir VM'nin erişimi dışında güvenli bir ortamda çalışan kendi ayrılmış vTPM örneği vardır.
Sınırlamalar
Gizli VM'ler için aşağıdaki sınırlamalar vardır. Sık sorulan sorular için bkz . Gizli VM'ler hakkında SSS.
Boyut desteği
Gizli VM'ler aşağıdaki VM boyutlarını destekler:
- Yerel disk olmadan Genel Amaçlı: DCasv5 serisi, DCesv5 serisi
- Yerel disk ile Genel Amaçlı: DCadsv5 serisi, DCedsv5 serisi
- Yerel disk olmadan iyileştirilmiş Bellek: ECasv5 serisi, ECesv5 serisi
- Yerel disk ile iyileştirilmiş Bellek: ECadsv5 serisi, ECedsv5 serisi
- NVIDIA H100 Tensor Core GPU destekli NCCadsH100v5 serisi
İşletim sistemi desteği
Gizli VM'ler için işletim sistemi görüntülerinin belirli güvenlik gereksinimlerini karşılaması gerekir. Bu nitelikli görüntüler isteğe bağlı gizli işletim sistemi disk şifrelemesini destekleyecek ve temel alınan bulut altyapısından yalıtım sağlayacak şekilde tasarlanmıştır. Bu gereksinimlerin karşılanması hassas verilerin korunmasına ve sistem bütünlüğünün korunmasına yardımcı olur.
Gizli VM'ler aşağıdaki işletim sistemi seçeneklerini destekler:
| Linux | Windows İstemcisi | Windows Server |
|---|---|---|
| Ubuntu | Windows 11 | Windows Server Datacenter |
| 20.04 LTS (Yalnızca AMD SEV-SNP) | 21H2, 21H2 Pro, 21H2 Enterprise, 21H2 Enterprise N, 21H2 Enterprise Multi-session | 2019 Sunucu Çekirdeği |
| 22,04 LTS | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2019 Datacenter |
| 24,04 LTS | 23H2, 23H2 Pro, 23H2 Enterprise, 23H2 Enterprise N, 23H2 Enterprise Multi-session | 2022 Sunucu Çekirdeği |
| RHEL | Windows 10 | 2022 Azure Edition |
| 9.4 (Yalnızca AMD SEV-SNP) | 22H2, 22H2 Pro, 22H2 Enterprise, 22H2 Enterprise N, 22H2 Enterprise Multi-session | 2022 Azure Edition Core |
| 2022 Datacenter | ||
| SUSE (Teknik Önizleme) | ||
| 15 SP5 (Intel TDX, AMD SEV-SNP) | ||
| SAP için 15 SP5 (Intel TDX, AMD SEV-SNP) |
Bölgeler
Gizli VM'ler belirli VM bölgelerinde bulunan özel donanımlarda çalışır.
Fiyatlandırma
Fiyatlandırma, gizli VM boyutunuza bağlıdır. Daha fazla bilgi için bkz . Fiyatlandırma Hesaplayıcısı.
Özellik desteği
Gizli VM'ler şu desteği desteklemez:
- Azure Backup
- Azure Site Recovery
- Sınırlı Azure İşlem Galerisi desteği
- Paylaşılan diskler
- Hızlandırılmış Ağ
- Canlı geçiş
- Önyükleme tanılaması altındaki ekran görüntüleri
Sonraki adımlar
Daha fazla bilgi için bkz . Gizli VM SSS.