بيئة التنفيذ الموثوق بها (TEE)

ما المقصود ب TEE؟

بيئة التنفيذ الموثوق بها (TEE) هي منطقة منفصلة من الذاكرة وCPU محمية من بقية وحدة المعالجة المركزية باستخدام التشفير، ولا يمكن قراءة أي بيانات في TEE أو العبث بها بواسطة أي تعليمة برمجية خارج تلك البيئة. يمكن التعامل مع البيانات داخل TEE من خلال التعليمات البرمجية المصرح بها بشكل مناسب.

تتم معالجة التعليمات البرمجية المنفذة داخل TEE بشكل واضح ولكنها مرئية فقط في شكل مشفر عندما يحاول أي شيء خارجي الوصول إليه. تتم إدارة هذه الحماية بواسطة معالج أمان النظام الأساسي المضمن داخل وحدة المعالجة المركزية die.

تحتوي الحوسبة السرية في Azure على عرضين: واحد لأحمال العمل المستندة إلى الجيب والآخر لرفع أحمال العمل وتحويلها.

يستخدم العرض المستند إلى الجيب ملحقات Intel Software Guard (SGX) لإنشاء منطقة ذاكرة محمية تسمى ذاكرة التخزين المؤقت المحمية المشفرة (EPC) داخل جهاز ظاهري. يسمح هذا للعملاء بتشغيل أحمال العمل الحساسة مع حماية قوية للبيانات وضمانات الخصوصية. أطلقت حوسبة Azure السرية أول عرض قائم على الجيب في عام 2020.

يستخدم عرض الرفع والإزاحة AMD SEV-SNP (GA) أو Intel TDX (معاينة) لتشفير الذاكرة بأكملها للجهاز الظاهري. يسمح هذا للعملاء بترحيل أحمال العمل الحالية الخاصة بهم إلى حساب Azure السري دون أي تغييرات في التعليمات البرمجية أو تدهور الأداء.

يتم استخدام العديد من هذه التقنيات الأساسية لتقديم خدمات IaaS وPaaS السرية في منصة Azure، مما يسهل على العملاء اعتماد الحوسبة السرية في حلولهم.

تدعم تصميمات GPU الجديدة أيضا قدرة TEE ويمكن دمجها بأمان مع حلول CPU TEE مثل الأجهزة الظاهرية السرية، مثل عرض NVIDIA قيد المعاينة حاليا لتقديم الذكاء الاصطناعي جدير بالثقة.

تتوفر التفاصيل التقنية حول كيفية تنفيذ TEE عبر أجهزة Azure المختلفة كما يلي:

AMD SEV-SNP الأجهزة الظاهرية السرية (https://www.amd.com/en/developer/sev.html)

الأجهزة الظاهرية الممكنة من Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

أجهزة Intel TDX الظاهرية (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

NVIDIA Hardware (https://www.nvidia.com/en-gb/data-center/h100/)