次の方法で共有

Azure オファリング

  • [アーティクル]

仮想マシンとコンテナー

Azure では、AMD SEV-SNPIntel TDXIntel SGX などの強化されたテクノロジに対して、最も広範なサポートが提供されています。 すべてのテクノロジは、コンフィデンシャル コンピューティングの定義を満たし、使用中にコードやデータへの不正アクセスや変更を防止するのに役立ちます。

  • AMD SEV-SNP を使用する機密 VM。 DCasv5ECasv5 は、既存のワークロードのリフトアンドシフトを可能にし、VM レベルの機密性でクラウド オペレーターからデータを保護するのに役立ちます。

  • Intel TDX で使用する機密 VM。 DCesv5ECesv5 は、既存のワークロードのリフトアンドシフトを可能にし、VM レベルの機密性でクラウド オペレーターからデータを保護するのに役立ちます。

  • Intel SGX を使用するアプリケーション エンクレーブを持つ VM。 DCsv2DCsv3、DCdsv3 を使用すると、組織はハードウェア エンクレーブを作成できます。 これらのセキュリティで保護されたエンクレーブは、クラウド オペレーターや独自の VM 管理者から保護するのに役立ちます。

  • Azure Kubernetes Service (AKS) で稼働するアプリ エンクレーブ対応コンテナー。 AKS 上のコンフィデンシャル コンピューティング ノードでは、Intel SGX を使用して、そのノード内の各コンテナー アプリケーション間に、隔離されたエンクレーブ環境を作成できます。

さまざまなコンフィデンシャルコンピューティング対応 VM SKU、コンテナ、およびデータサービスの図。

機密サービス

Azure には、コンフィデンシャル コンピューティングをサポートする、またはそれに基づいて構築される、さまざまな PaaS、SaaS、VM の機能が用意されています。これには次のものが含まれます:

  • Azure Key Vault Managed HSM は、フル マネージド、高可用性、シングル テナント、標準準拠を特徴とするクラウド サービスであり、FIPS 140-2 レベル 3 適合のハードウェア セキュリティ モジュール (HSM) を使用してクラウド アプリケーションの暗号化キーを保護することができます。

  • Azure SQL でセキュア エンクレーブを使用する Always Encrypted。 注意が必要なデータの機密性は、TEE 内で SQL クエリを直接実行することで、マルウェアや高い特権を持つ承認されていないユーザーから保護されます。

  • Azure Databricks は、機密 VM を使用して Databricks Lakehouse のセキュリティを強化し、機密性を高めるのに役立ちます。

  • Azure Virtual Desktop により、ユーザーの仮想デスクトップがメモリ内で暗号化され、使用中に保護され、ハードウェアの信頼ルートによってサポートされます。

  • Microsoft Azure Attestation は、複数の高信頼実行環境 (TEE) の信頼性を検証し、TEE 内で実行されているバイナリの整合性を検証するためのリモート構成証明サービスです。

  • Trusted Hardware Identity Management は、Azure に存在するすべての TEE の証明書のキャッシュ管理を処理し、構成証明ソリューションの最小ベースラインを適用するためのトラステッド コンピューティング ベース (TCB) 情報を提供するサービスです。

  • Azure Confidential Ledger。 ACL は、レコードの保持と監査のため、またはマルチパーティー シナリオでのデータの透明性のために機密データを格納するための改ざん防止レジスタです。 Write-Once-Read-Many の保証が提供され、データを消去不可および変更不可にできます。 このサービスは、Microsoft Research の Confidential Consortium Framework を基に構築されています。

補足的なオファリング

  • Azure IoT Edge では、モノのインターネット (IoT) デバイス上のセキュア エンクレーブ内で実行される機密性の高いアプリケーションがサポートされています。 IoT デバイスは、悪意のあるアクターによって物理的にアクセス可能なので、しばしば、改ざんや偽造にさらされます。 コンフィデンシャル IoT Edge デバイスは、クラウドにストリーミングする前に、デバイス自体によってキャプチャおよび格納されたデータへのアクセスを保護することで、エッジでの信頼と整合性を増し加えます。

  • 機密推論 ONNX Runtime は、ML ホスティング パーティーが推論要求とそれに対応する応答の両方にアクセスすることを制限する機械学習 (ML) 推論サーバーです。

  • トラステッド起動は第 2 世代のすべての VM で利用でき、強化されたセキュリティ機能として、セキュア ブート、仮想トラステッド プラットフォーム モジュール、ブート整合性の監視を提供します。これにより、ブート キット、ルートキット、カーネルレベルのマルウェアから保護されます。

Azure コンフィデンシャル コンピューティングの新機能

次のステップ