Azure Virtual Desktop: Vertrauliche VMs, Support für Private Link

    , 17.07.2023, zuletzt aktualisiert am 18.07.2023
    Tags: , ,

    Azure Virtual DesktopAzure Virtual Desktop (AVD) schützt Confi­dential Virtual Machines (CVMs) durch die Ver­­schlüs­selung des virtu­ellen Lauf­werks, einen abge­sicherten Boot-Vorgang (Trusted Launch) und Hardware-basierte Ver­schlüs­selung des Arbeits­­speichers. Zudem können Benutzer nun mittels Private Link über Micro­­softs Backbone-Netzwerk auf virtuelle Desktops zugreifen.

    Vertrauliche virtuelle Maschinen basieren auf der Secure Encrypted Virtualization (SEV) und dem Secure Nested Paging (SNP) der AMD Epyc-Prozessoren. Mit dieser Technik ist es möglich, den Arbeitsspeicher virtueller Maschinen mittels Hardware zu verschlüsseln und die VM so zusätzlich vom Hypervisor zu isolieren.

    Sollte der Hypervisor kompromittiert werden, dann können sich Angreifer keinen Zugriff auf die Daten im RAM der VM verschaffen. Einzelheiten dazu gibt es in einer Dokumentation von Microsoft.

    BitLocker und abgesicherter Start

    Zusätzlich verschlüsselt Microsoft die virtuellen Laufwerke von CVMs mit Azure Disk Encryption. Es handelt sich dabei um BitLocker, das den virtuellen TPM der VM nutzt. Der Schlüssel zur Freigabe des Volume Master Key ist somit an das vTPM gebunden und der Festplatteninhalt daher nur innerhalb der virtuellen Maschine zugänglich.

    Trusted Launch überträgt die von physischen Geräten bekannte System­vali­dierung  (inklusive Secure Boot) auf die sichere Bereitstellung von VMs. Es prüft dazu Boot-Loader, Betriebssystem-Kern und Treiber. Zu guter Letzt unterstützen CVMs nun neben dem aktuellen Windows 11 22H2 den Vorgänger Windows 11 22H1.

    Bereitstellung

    Um CVMs über das AVD Host Pool Provisioning bereitzustellen, wählt man im Dropdown-Menü Security Type den Eintrag Confidential Virtual Machines aus. Anschließend lässt sich über ein Kontrollkästchen das Integrity Monitoring aktivieren.

    Auswahl einer CVM beim Bereitstellen eines Desktops

    Danach wählt man über Image das gewünschte Windows-11-Abbild aus, scrollt nach unten und setzt ein Häkchen hinter Confidential compute encryption.

    Private Link

    Microsoft kündigte mit Private Link ein weiteres Security-Feature für Azure Virtual Desktop an. Benutzer können damit sicher auf ihre Session Hosts und Workspaces zugreifen, indem sie dafür einen privaten Endpoint in ihrem virtuellen Netzwerk nutzen.

    Der Private Link verbindet das virtuelle Netzwerk mit AVD.

    Der Traffic zwischen diesem virtuellen Netzwerk und AVD läuft dann über Microsoft Backbone und vermeidet somit das öffentliche Internet.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Freist

    Roland Freist arbeitete mehrere Jahre als Redakteur bei IT-Fachverlagen. Seit 1999 ist er selbstständig und schreibt Artikel zu Windows, Anwendungen, Netzwerken, Security, Internet, Storage und Cloud.

    // Kontakt: E-Mail, Xing //

    Verwandte Beiträge

    Weitere Links