Důvěryhodné spouštěcí prostředí (TEE)
Co je TEE?
Důvěryhodné spouštěcí prostředí (TEE) je oddělená oblast paměti a procesoru, která je chráněná od zbytku procesoru pomocí šifrování, žádná data v TEE se nedají číst ani manipulovat žádným kódem mimo toto prostředí. Data je možné manipulovat uvnitř TEE vhodně autorizovaným kódem.
Kód, který se spouští uvnitř TEE, se zpracovává v jasné podobě, ale je viditelný pouze v šifrované podobě, když se k němu někdo mimo pokusí získat přístup. Tuto ochranu spravuje procesor zabezpečení platformy vložený do kostky procesoru procesoru.
Důvěrné výpočetní prostředí Azure nabízí dvě nabídky: jednu pro úlohy založené na enklávě a druhou pro úlohy metodou "lift and shift".
Nabídka založená na enklávě používá rozšíření Intel Software Guard Extensions (SGX) k vytvoření chráněné oblasti paměti s názvem Encrypted Protected Cache (EPC) v rámci virtuálního počítače. To zákazníkům umožňuje spouštět citlivé úlohy se silnou ochranou dat a zárukou ochrany osobních údajů. Důvěrné výpočetní prostředí Azure spustilo první nabídku založenou na enklávě v roce 2020.
Nabídka metodou lift and shift používá k šifrování celé paměti virtuálního počítače AMD SEV-SNP (GA) nebo Intel TDX (Preview ). To zákazníkům umožňuje migrovat své stávající úlohy do důvěrných výpočetních prostředků Azure bez jakýchkoli změn kódu nebo snížení výkonu.
Mnohé z těchto základních technologií se používají k poskytování důvěrných služeb IaaS a PaaS na platformě Azure, což zákazníkům usnadňuje přijímání důvěrných výpočetních operací ve svých řešeních.
Nové návrhy GPU také podporují funkci TEE a dají se bezpečně kombinovat s řešeními procesoru TEE, jako jsou důvěrné virtuální počítače, jako je například nabídka NVIDIA, která je aktuálně ve verzi Preview , aby poskytovala důvěryhodnou AI.
Technické podrobnosti o implementaci TEE napříč různými hardwaremi Azure jsou k dispozici následujícím způsobem:
Důvěrné virtuální počítače AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)
Virtuální počítače s podporou Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)
Intel TDX Virtual Machines (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)
Hardware NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro