Partage via


Enclaves SGX

La technologie Intel SGX permet aux clients de créer des enclaves qui protègent les données et de conserver le chiffrement des données pendant que le processeur traite les données.

Les enclaves sont les parties sécurisées du processeur et de la mémoire d’un matériel. Il n’existe aucun moyen de consulter les données ou le code à l’intérieur de l’enclave, même avec un débogueur. Si du code non fiable tente de modifier le contenu de la mémoire de l’enclave, SGX désactive l’environnement et refuse les opérations. Ces fonctionnalités uniques vous aident à protéger vos secrets contre les accès en clair.

Diagramme du modèle de machine virtuelle, montrant les données sécurisées dans les enclaves.

Imaginez une enclave comme un référentiel sécurisé. Vous placez le code et les données chiffrés dans le référentiel sécurisé. De l’extérieur, vous ne voyez rien. Vous donnez à l’enclave une clé pour déchiffrer les données. L’enclave traite et chiffre à nouveau les données, avant de renvoyer les données.

L’informatique confidentielle Azure offre des machines virtuelles de série DCsv2 et DCsv3/DCdsv3. Ces machines virtuelles prennent en charge Intel® Software Guard Extensions (SGX).

Chaque enclave possède un cache de page chiffré (EPC) avec une taille définie. L’EPC détermine la quantité de mémoire qu’une enclave peut conserver. Série DCsv2 Les machines virtuelles contiennent jusqu’à 168 Mio. Les machines virtuelles série DCsv3/DCdsv3 contiennent jusqu’à 256 Go pour davantage de charges de travail gourmandes en mémoire.

Développement pour les enclaves

Vous pouvez utiliser divers outils logiciels pour développer des applications qui s’exécutent dans les enclaves. Ces outils vous aident à protéger certaines parties de votre code et de vos données à l’intérieur de l’enclave. Assurez-vous que personne en dehors de votre environnement de confiance ne peut afficher ou modifier vos données avec ces outils.

Étapes suivantes