Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Les offres d’informatique confidentielle Azure incluent des machines virtuelles et des conteneurs, des services et des offres supplémentaires.
Machines virtuelles et conteneurs
Azure offre la plus grande prise en charge des technologies renforcées telles que AMD SEV-SNP, Intel Trust Domain Extensions (TDX) et Intel Software Guard Extensions (SGX). Toutes les technologies répondent à notre définition de l’informatique confidentielle, ce qui permet aux organisations d’empêcher l’accès ou la modification non autorisés du code et des données lors de leur utilisation.
- Machines virtuelles confidentielles qui utilisent AMD SEV-SNP. DCasv5 et ECasv5 permettent un réhébergement des charges de travail existantes et aident à protéger les données des opérateurs cloud avec une confidentialité au niveau de la machine virtuelle. Les machines virtuelles confidentielles DCasv6 et ECasv6 basées sur des processeurs AMD EPYC de quatrième génération sont actuellement en préversion contrôlée et offrent des performances améliorées.
- Machines virtuelles confidentielles qui utilisent Intel TDX. DCesv5 et ECesv5 permettent le réhébergement des charges de travail existantes et aident à protéger les données des opérateurs cloud avec une confidentialité au niveau de la machine virtuelle.
- Machines virtuelles confidentielles avec des unités de traitement graphique (GPU). Les machines virtuelles confidentielles NCCadsH100v5 sont fournies avec un GPU et aident à garantir la sécurité et la confidentialité des données tout en renforçant les tâches d’IA et d’apprentissage automatique. Ces machines virtuelles confidentielles utilisent des environnements d'exécution approuvés (TEEs) liés du CPU et du GPU pour protéger les données sensibles dans le CPU et utiliser un GPU pour accélérer les calculs. Elles sont idéales pour les organisations qui doivent protéger les données des opérateurs cloud et utiliser le calcul hautes performances.
- Machines virtuelles avec enclaves d’application qui utilisent Intel SGX. DCsv2, DCsv3 et DCdsv3 permettent aux organisations de créer des enclaves matérielles. Ces enclaves sécurisées aident à protéger les machines virtuelles contre les opérateurs cloud et les propres administrateurs de machines virtuelles d’une organisation.
- Nœuds de travail confidentiels de machine virtuelle du service Azure Kubernetes (AKS) qui autorisent le réhébergement de conteneurs vers des clusters AKS. Les nœuds de calcul basés sur le matériel AMD SEV-SNP aident à protéger les données des opérateurs cloud avec une confidentialité au niveau du nœud de calcul et offrent la flexibilité de configuration d'AKS.
- Conteneurs confidentiels sur Azure Container Instances qui autorisent le réhébergement de conteneurs vers les instances de conteneur serverless qui s’exécutent sur le matériel AMD SEV-SNP. Les conteneurs confidentiels prennent en charge l’intégrité et l’attestation au niveau du conteneur via des stratégies d’application de l’informatique confidentielle (CCE). Ces politiques prescrivent les composants autorisés à fonctionner au sein du groupe de conteneurs. L'environnement d'exécution du conteneur applique la politique. Cette stratégie permet de protéger les données de l’opérateur cloud et des acteurs internes des menaces avec confidentialité au niveau du conteneur.
- Conteneurs prenant en charge les enclaves d’application qui s’exécutent sur AKS. Les nœuds d’informatique confidentielle sur AKS utilisent Intel SGX pour créer des environnements d’enclaves isolées dans les nœuds entre chaque application conteneur.
Services confidentiels
Azure offre différentes fonctionnalités PaaS (Platform as a Service), Software as a Service (SaaS) et de machine virtuelle qui prennent en charge ou reposent sur l’informatique confidentielle :
- Inférence confidentielle avec le modèle Azure OpenAI Whisper. L’informatique confidentielle Azure garantit la sécurité et la confidentialité des données via des TEE. Il comprend une protection rapide cryptée, l'anonymat de l'utilisateur et la transparence grâce à l'utilisation d'OHTTP et de VMs GPU confidentielles.
- Azure Databricks vous aide à renforcer la sécurité et à renforcer la confidentialité dans votre databricks lakehouse à l’aide de machines virtuelles confidentielles.
- Azure Virtual Desktop garantit que le bureau virtuel d’un utilisateur est chiffré en mémoire, protégé en cours d’utilisation et soutenu par la racine matérielle de confiance.
- Azure Key Vault Managed HSM est entièrement géré et hautement disponible. Utilisez ce service cloud à locataire unique, compatible avec les normes, pour protéger les clés de chiffrement de vos applications cloud à l'aide des modules de sécurité matériels validés FIPS 140-2 de niveau 3.
- Azure Attestation est un service d’attestation distant permettant de valider la fiabilité de plusieurs TEE et de vérifier l’intégrité des fichiers binaires qui s’exécutent à l’intérieur des TEE.
- Le registre confidentiel Azure est un registre infalsifiable pour stocker des données sensibles à des fins de conservation et d'audit ou pour assurer la transparence des données dans des scénarios multipartites. Il offre des garanties Write-Once-Read-Many, qui rendent les données inaltérables et non modifiables. Le service est basé sur microsoft Research Confidential Consortium Framework.
- Always Encrypted avec enclaves sécurisées dans Azure SQL. La confidentialité des données sensibles est protégée contre les programmes malveillants et les utilisateurs non autorisés à privilège élevé via l’exécution de requêtes SQL directement à l’intérieur d’un environnement TEE.
Ce portefeuille s’étend en fonction de la demande des clients.
Offres supplémentaires
- Le lancement approuvé est disponible sur toutes les machines virtuelles de génération 2. Il apporte des fonctionnalités de sécurité renforcées telles que le démarrage sécurisé, le module de plateforme sécurisée et la surveillance de l’intégrité du démarrage. Ces fonctionnalités de sécurité protègent contre les kits de démarrage, les rootkits et les programmes malveillants au niveau du noyau.
- Azure Integrated HSM est actuellement en cours de développement. Azure Integrated HSM est un HSM dédié qui répond aux normes de sécurité FIPS 140-3 de niveau 3. Il fournit une protection robuste des clés en permettant au chiffrement et aux clés de signature de rester dans le HSM sans entraîner de latence d’accès réseau. Azure Integrated HSM offre une sécurité renforcée avec des services HSM déployés localement. Il permet aux clés de chiffrement de rester isolées des logiciels invités et hôtes. Il prend en charge des volumes élevés de demandes de chiffrement avec une latence minimale. Le HSM intégré Azure sera installé sur chaque nouveau serveur dans les centres de données de Microsoft à compter de l’année prochaine afin d’accroître la protection sur la flotte matérielle d’Azure.
- Trusted Hardware Identity Management est un service qui gère la gestion du cache des certificats pour toutes les TEE qui résident dans Azure. Il fournit des informations de base de calcul approuvées pour appliquer une base de référence minimale pour les solutions d’attestation.
- Azure IoT Edge prend en charge les applications confidentielles exécutées dans des enclaves sécurisées sur un appareil IoT (Internet des objets). Les appareils IoT sont souvent exposés à des falsifications, car ils sont physiquement accessibles aux mauvais acteurs. Les appareils IoT Edge confidentiels ajoutent la confiance et l’intégrité à la périphérie. Ils protègent l’accès aux données capturées et stockées à l’intérieur de l’appareil lui-même avant de les diffuser en continu vers le cloud.
- Le runtime ONNX d’inférence confidentiel est un serveur d’inférence Machine Learning qui empêche la partie d’hébergement machine learning d’accéder à la demande d’inférence et à sa réponse correspondante.