Microsoft Azure tarafından yayımlanan son güncelleme ile Confidential VM (Gizli Sanal Makine) ailesinde yer alan DCesv5, DCedsv5, ECesv5 ve ECedsv5 SKU’larının kademeli olarak kullanımdan kaldırılacağı (retirement) duyurulmuştur. Bu VM serilerinin yerini yeni nesil v6 serisi (DCesv6 / ECesv6) alacaktır.
Resim- 1
- Güncellemenin Konusu ve Kapsamı
Bu değişiklik, Azure’ın confidential computing (gizli hesaplama) alanında donanım ve güvenlik yeteneklerini daha ileri seviyeye taşıma stratejisinin bir parçasıdır. Eski nesil v5 serileri hâlihazırda güçlü güvenlik özellikleri sunsa da, yeni nesil v6 ile birlikte daha gelişmiş izolasyon, performans ve güvenlik özellikleri hedeflenmektedir.
- Confidential VM Nedir ve Ne İşe Yarar?
Confidential VM’ler, klasik sanal makinelerden farklı olarak yalnızca disk üzerinde değil, çalışma anındaki veriyi (in-use data) da korumayı amaçlar.
Standart VM’lerde veri disk üzerinde şifreli olsa bile işlem sırasında bellekte açık halde bulunur. Ancak Confidential VM yaklaşımında:
- Bellek donanım seviyesinde şifrelenir
- Hypervisor veya cloud sağlayıcısı bile bu verilere erişemez
- Secure Boot ve vTPM ile sistem bütünlüğü korunur
- Disk şifreleme, VM’e özel anahtarlarla bağlanır
Bu sayede:
- Finansal veriler
- Sağlık kayıtları
- Regülasyona tabi veriler
- Çok taraflı veri analitiği (multi-party computation)
gibi hassas iş yükleri güvenli şekilde buluta taşınabilir.
- DCesv5 ve ECesv5 Serilerinin Teknik Rolü
Bu SKU’lar özellikle Intel TDX veya AMD SEV-SNP gibi teknolojilerle çalışan confidential VM altyapısının önemli bir parçasıdır.
- DCesv5 serisi: Genel amaçlı, dengeli CPU/memory yapısı
- ECesv5 serisi: Bellek yoğun (memory-optimized) iş yükleri için uygundur
- Büyük veri, cache sistemleri ve veri tabanları için optimize edilmiştir
Ayrıca bu VM’ler:
- Donanım tabanlı izolasyon sağlar
- Hypervisor seviyesinde saldırılara karşı koruma sunar
- Çok kiracılı (multi-tenant) ortamlarda veri gizliliğini garanti eder
- Güncelleme ile Gelen Değişiklik
Yayımlanan Azure Update ile birlikte:
- DCesv5 / DCedsv5 / ECesv5 / ECedsv5 serileri retire edilecek
- Yerine DCesv6 ve ECesv6 serileri gelecek
- Bu yeni seriler daha modern confidential computing altyapısı sunacak
Bu değişiklik bir “feature update” değil, daha çok platform geçişi (platform evolution) olarak değerlendirilebilir.
- Güncellemenin Etkileri
Bu değişiklik aşağıdaki alanları doğrudan etkilemektedir:
5.1 Mevcut Workload’lar
Halihazırda v5 serisi kullanan sistemler:
- Uzun vadede destek dışı kalacak
- Yeni özelliklerden faydalanamayacak
- Güvenlik ve performans iyileştirmelerini kaçıracak
5.2 Yeni Deployment’lar
Yeni kurulumlarda:
- v5 yerine v6 serilerinin tercih edilmesi gerekecek
- Eski SKU’ların availability’si zamanla azalabilir
5.3 Güvenlik Mimarisi
Confidential VM kullanan sistemlerde:
- Key management (özellikle CMK – Customer Managed Keys)
- Disk encryption yapılandırmaları
- Attestation süreçleri
yeniden gözden geçirilmelidir.
- Ne Yapılmalı? (Önerilen Aksiyonlar)
Bu update’e karşı organizasyonların atması gereken adımlar şunlardır:
6.1 SKU Envanteri Çıkarılmalı
- Hangi VM’lerin v5 serisi kullandığı tespit edilmeli
- Kritik iş yükleri önceliklendirilmeli
6.2 Migration Planı Oluşturulmalı
- v5 → v6 geçiş senaryosu belirlenmeli
- Test ortamlarında geçiş doğrulanmalı
6.3 Güvenlik Yapıları Güncellenmeli
Özellikle confidential VM’lerde:
- Customer Managed Key (CMK) kullanımı değerlendirilmeli
- Azure Key Vault + HSM entegrasyonu kurulmalı
- Disk Encryption Set (DES) yapılandırmaları güncellenmeli
6.4 Uygulama Uyumluluğu Kontrol Edilmeli
- Kernel versiyonları (özellikle Linux için)
- Trusted launch ve secure boot ayarları
- vTPM bağımlılıkları
test edilmelidir.
- Kritik Teknik Noktalar
Bu güncelleme bağlamında dikkat edilmesi gereken bazı önemli teknik detaylar:
- Confidential VM’ler her bölgede mevcut değildir
- Accelerated Networking desteklenmez
- VM türleri arasında dönüşüm mümkündür ancak sınırlamalar vardır
- Core quota limitleri deployment’ı etkileyebilir
Ayrıca confidential VM mimarisinde:
- Cloud provider erişimi bilinçli olarak kısıtlıdır
- Bu da bazı destek ve recovery senaryolarını sınırlayabilir
- Sonuç
Azure’un DCesv5 ve ECesv5 serilerini emekliye ayırması, basit bir ürün güncellemesinden ziyade confidential computing alanında nesil değişimi anlamına gelmektedir.
Bu değişim:
- Daha güçlü donanım tabanlı güvenlik
- Daha modern izolasyon teknolojileri
- Gelişmiş performans ve ölçeklenebilirlik
sunmayı hedeflerken, kullanıcı tarafında da proaktif migration ve mimari gözden geçirme gerektirmektedir.
Özellikle yüksek güvenlik gerektiren sektörlerde (finans, sağlık, kamu), bu geçiş yalnızca bir zorunluluk değil, aynı zamanda güvenlik mimarisini yeniden güçlendirme fırsatı olarak değerlendirilmelidir.
Bir sonraki Azure makalesinde görüşmek üzere.
Referanslar:
https://azure.microsoft.com/en-us/updates?id=502039
https://learn.microsoft.com/en-us/azure/confidential-computing/confidential-vm-faq?
TAGs: Azure, azure virtual machine,DCesv5, DCedsv5, ECesv5 ve ECedsv5
