Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando se usa un entorno de ejecución de confianza (TEE), se protege el código y los datos en un entorno seguro.
¿Qué es un TEE?
Un entorno de ejecución de confianza es un área separada de memoria y CPU que está protegida del resto de la CPU mediante el cifrado. Cualquier código fuera de ese entorno no puede leer ni alterar los datos del TEE. El código autorizado puede manipular los datos dentro del TEE.
El código que se ejecuta dentro del TEE se procesa sin cifrar, pero solo es visible en formato cifrado cuando cualquier elemento externo intenta acceder a él. El procesador de seguridad de la plataforma integrado dentro del núcleo de la CPU administra esta protección.
La computación confidencial de Azure tiene dos ofertas: una para rehospedar cargas de trabajo y otra para cargas de trabajo basadas en enclaves para aplicaciones desarrolladas de forma personalizada.
La oferta de rehospedaje usa AMD SEV-SNP (disponibilidad general) o Extensiones de dominio de confianza de Intel (TDX) (versión preliminar) para cifrar toda la memoria de una máquina virtual. Los clientes pueden migrar sus cargas de trabajo existentes a la computación confidencial de Azure sin cambios de código ni degradación del rendimiento. Esta oferta admite cargas de trabajo de máquinas virtuales (VM) y contenedores.
La oferta basada en enclave proporciona características de CPU que permiten al código del cliente usar extensiones de Protección de software (SGX) de Intel para crear una región de memoria protegida denominada Caché protegida cifrada dentro de una máquina virtual. Los clientes pueden ejecutar cargas de trabajo confidenciales con garantías de privacidad y protección de datos sólidas. La computación confidencial de Azure introdujo la primera oferta basada en enclaves en 2020. Las aplicaciones de cliente deben desarrollarse específicamente para aprovechar este modelo de protección de datos.
Ambas tecnologías subyacentes se usan para ofrecer modelos de informática en la nube de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS) confidenciales en la plataforma Azure, lo que facilita a los clientes adoptar la computación confidencial en sus soluciones.
Los nuevos diseños de unidad de procesamiento de gráficos (GPU) también admiten una funcionalidad TEE. Puede combinar gpu de forma segura con soluciones TEE de CPU como máquinas virtuales confidenciales, como la oferta de NVIDIA que se encuentra actualmente en versión preliminar, para ofrecer inteligencia artificial confiable.
Contenido relacionado
Para obtener información técnica sobre cómo se implementa el TEE en diferentes hardware de Azure, consulte: