Freigeben über


Vertraute Ausführungsumgebung (TEE)

Wenn Sie eine Trusted Execution Environment (TEE) verwenden, schützen Sie Ihren Code und Ihre Daten in einer sicheren Umgebung.

Was ist eine TEE?

Eine vertrauenswürdige Ausführungsumgebung ist ein getrennter Bereich des Arbeitsspeichers und der CPU, der durch Verschlüsselung vor dem Rest der CPU geschützt ist. Code außerhalb dieser Umgebung kann die Daten im TEE nicht lesen oder manipulieren. Autorisierter Code kann die Daten innerhalb des TEE bearbeiten.

Code, der innerhalb des TEE ausgeführt wird, wird klar verarbeitet, ist aber nur dann in verschlüsselter Form sichtbar, wenn etwas außerhalb versucht, darauf zuzugreifen. Der in die CPU eingebettete Plattformsicherheitsprozessor verwaltet diesen Schutz.

Diagramm mit dem Konzept der Trusted Compute Base, die Trusted Execution Environments von Intel SGX und AMD SEV-SNP zugeordnet ist

Azure Confidential Computing verfügt über zwei Angebote: eines für das erneute Hosten von Workloads und eines für Enclave-basierte Workloads für speziell entwickelte Anwendungen.

Das Rehosting-Angebot verwendet AMD SEV-SNP (allgemeine Verfügbarkeit) oder Intel Trust Domain Extensions (TDX) (Vorschau), um den gesamten Speicher eines virtuellen Computers zu verschlüsseln. Kunden können ihre vorhandenen Arbeitslasten ohne Codeänderungen oder Leistungsbeeinträchtigungen zu Azure Vertraulich Computing migrieren. Dieses Angebot unterstützt virtuelle Computer (VM) und Containerworkloads.

Das Enklavenbasierte Angebot bietet CPU-Funktionen, mit denen Kundencode Intel Software Guard Extensions (SGX) verwenden kann, um einen geschützten Speicherbereich namens "Verschlüsselter geschützter Cache" innerhalb einer VM zu erstellen. Kunden können vertrauliche Workloads mit starkem Datenschutz und Privatsphäre-Garantien ausführen. Azure Confidential Computing stellte im Jahr 2020 das erste enklavenbasierte Angebot vor. Kundenanwendungen müssen speziell entwickelt werden, um dieses Datenschutzmodell nutzen zu können.

Beide zugrunde liegenden Technologien werden verwendet, um vertrauliche Infrastruktur als Dienst (IaaS) und Plattform als Dienst (PaaS)-Cloud-Computing-Modelle in der Azure-Plattform bereitzustellen, was es für Kunden einfacher macht, vertrauliches Computing in ihren Lösungen zu übernehmen.

Neue Grafikverarbeitungseinheitsdesigns (GPU) unterstützen auch eine TEE-Funktion. Sie können GPUs sicher mit CPU-TEE-Lösungen wie vertraulichen VMs kombinieren, z. B. das NVIDIA-Angebot derzeit in der Vorschau, um vertrauenswürdige KI bereitzustellen.

Technische Informationen dazu, wie der TEE auf unterschiedlicher Azure-Hardware implementiert wird, finden Sie unter: