Teilen über


Azure-Angebote

Virtuelle Computer und Container

Azure bietet die umfassendste Unterstützung für gehärtete Technologien wie AMD SEV-SNP, Intel TDX und Intel SGX. Alle Technologien entsprechen unserer Definition vertraulicher Datenverarbeitung und helfen Organisationen dabei, nicht autorisierten Zugriff und Änderungen von Code und Daten während der Nutzung zu verhindern.

  • Vertrauliche VMs unter AMD SEV-SNP. DCasv5 und ECasv5 ermöglichen die Migration per Lift & Shift vorhandener Workloads und schützen Daten vor dem Cloudoperator mit Vertraulichkeit auf VM-Ebene.

  • Vertrauliche VMs mittels Intel TDX. DCesv5 und ECesv5 ermöglichen die Migration per Lift & Shift vorhandener Workloads und schützen Daten vor dem Cloudoperator mit Vertraulichkeit auf VM-Ebene.

  • VMs mit Anwendungs-Enclaves unter Intel SGX. DCsv2, DCsv3 und DCdsv3 ermöglichen es Organisationen, Hardware-Enclaves zu erstellen. Diese sicheren Enclaves helfen beim Schutz vor Cloudbetreibern und Ihren eigenen VM-Administratoren.

  • App-enklavenfähige Container, die in Azure Kubernetes Service (AKS) ausgeführt werden. Confidential Computing-Knoten in AKS verwenden Intel SGX zum Erstellen isolierter Enclave-Umgebungen in den Knoten zwischen den einzelnen Containeranwendungen.

Diagramm der verschiedenen für vertrauliches Computing aktivieren VM-SKUs, Container und Datendienste.

Vertrauliche Dienste

Azure bietet verschiedene PaaS-, SaaS- und VM-Funktionen, die vertrauliche Computern unterstützen oder auf diesen aufbauen. Dazu gehören:

  • Verwaltetes HSM in Azure Key Vault. Hierbei handelt es sich um einen vollständig verwalteten, hochverfügbaren und standardkonformer Einzelmandanten-Clouddienst. Dieser Dienst ermöglicht es Ihnen, kryptografische Schlüssel für Ihre Cloudanwendungen über Hardwaresicherheitsmodule (HSMs) zu schützen, die mit FIPS 140-2 Level 3 überprüft wurden.

  • Always Encrypted mit Secure Enclaves in Azure SQL. Die Vertraulichkeit sensibler Daten wird vor Schadsoftware und hochprivilegierten unbefugten Benutzern durch die Ausführung von SQL-Abfragen direkt in einem TEE geschützt.

  • Azure Databricks hilft Ihnen, mehr Sicherheit und erhöhte Vertraulichkeit für Ihr Databricks Lakehouse mit vertraulichen VMs zu erreichen.

  • Azure Virtual Desktop stellt sicher, dass der virtuelle Desktop einer benutzenden Person im Speicher verschlüsselt, bei der Verwendung geschützt und durch einen Vertrauensanker in der Hardware abgesichert ist.

  • Microsoft Azure Attestation. Hierbei handelt es sich um einen Remotenachweisdienst zum Überprüfen der Vertrauenswürdigkeit mehrerer TEEs (Trusted Execution Environments) und zum Verifizieren der Integrität der binären Dateien, die in den TEEs ausgeführt werden.

  • Der Trusted Hardware Identity Management-Dienst (THIM) übernimmt die Cacheverwaltung von Zertifikaten für alle Trusted Execution Environments (TEE) in Azure und stellt TCB-Informationen (Trusted Computing Base) bereit, um eine Mindestbaseline für Nachweislösungen zu erzwingen.

  • Azure Confidential Ledger. ACL ist ein manipulationssicheres Register zum Speichern vertraulicher Daten für die Aufzeichnung und Überwachung oder für die Datentransparenz in Szenarien mit mehreren Parteien. Es bietet WORM-Garantien (Write Once, Read Many), die Daten als nicht löschbar und nicht änderbar festlegen. Der Dienst basiert auf dem Confidential Consortium Framework von Microsoft Research.

Zusatzangebote

  • Azure IoT Edge unterstützt vertrauliche Anwendungen, die innerhalb sicherer Enclaves auf einem IoT-Gerät (Internet of Things, Internet der Dinge) ausgeführt werden. IoT-Geräte sind häufig Manipulations- und Fälschungsversuchen ausgesetzt, weil sie physisch für böswillige Akteure zugänglich sind. Vertrauliche IoT Edge-Geräte sorgen im Edgebereich für Vertrauenswürdigkeit und Integrität, indem sie den Zugriff auf Daten schützen, die von dem Gerät selbst erfasst und gespeichert werden, bevor sie in die Cloud gestreamt werden.

  • Confidential Inference ONNX Runtime . Hierbei handelt es sich um einen ML-Rückschlussserver (Machine Learning), der den ML-Host daran hindert, sowohl auf die Rückschlussanforderung als auch auf die entsprechende Antwort zuzugreifen.

  • Der vertrauenswürdige Start ist auf allen VMs der Generation 2 verfügbar und bietet verstärkte Sicherheitsfeatures wie den sicheren Start, ein virtuelles vertrauenswürdiges Plattformmodul und die Überwachung der Startintegrität, um Schutz vor Bootkits, Rootkits und Schadsoftware auf Kernelebene zu gewährleisten.

Neuerungen in Azure Confidential Computing

Nächste Schritte