Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při použití důvěryhodného spouštěcího prostředí (TEE) chráníte kód a data v zabezpečeném prostředí.
Co je TEE?
Důvěryhodné spouštěcí prostředí je oddělená oblast paměti a procesoru, která je chráněná od zbytku procesoru pomocí šifrování. Jakýkoli kód mimo toto prostředí nemůže číst ani manipulovat s daty v prostředí TEE. Autorizovaný kód může manipulovat s daty uvnitř TEE.
Kód, který se spouští uvnitř TEE, se zpracovává v jasné podobě, ale je viditelný v šifrované podobě jenom v případě, že se k němu něco mimo pokusí získat přístup. Tuto ochranu spravuje procesor zabezpečení platformy vložený do procesoru.
Důvěrné výpočetní prostředí Azure nabízí dvě nabídky: jednu pro přehostování úloh a jednu pro úlohy založené na enklávě pro vlastní vyvinuté aplikace.
Nabídka rehostingu používá AMD SEV-SNP (obecná dostupnost) nebo Intel Trust Domain Extensions (TDX) (předběžná verze) pro šifrování celé paměti virtuálního počítače. Zákazníci můžou migrovat své stávající úlohy do důvěrného computingu Azure bez jakýchkoli změn kódu nebo snížení výkonu. Tato nabídka podporuje úlohy virtuálních počítačů a kontejnerů.
Nabídka založená na enklávě poskytuje funkce procesoru, které umožňují zákaznickému kódu používat rozšíření Intel Software Guard Extensions (SGX) k vytvoření chráněné oblasti paměti s názvem Šifrovaná chráněná mezipaměť v rámci virtuálního počítače. Zákazníci můžou spouštět citlivé úlohy se silnou ochranou dat a zárukou ochrany osobních údajů. Důvěrné výpočetní prostředí Azure zavedlo první nabídku založenou na enklávě v roce 2020. Zákaznické aplikace musí být speciálně vyvinuty, aby využívaly tento model ochrany dat.
Obě tyto základní technologie se používají k poskytování důvěrných infrastruktur jako služeb (IaaS) a modelů cloud computingu paaaS (platforma jako služba) na platformě Azure, což zákazníkům usnadňuje přijímání důvěrných výpočtů ve svých řešeních.
Nové návrhy grafických procesorů (GPU) také podporují funkci TEE. Grafické procesory můžete bezpečně kombinovat s řešeními procesoru TEE, jako jsou důvěrné virtuální počítače, jako je například nabídka NVIDIA aktuálně ve verzi Preview, a zajistit tak důvěryhodnou AI.
Související obsah
Technické informace o tom, jak se TEE implementuje napříč různými hardwaremi Azure, najdete tady: