信頼された実行環境 (TEE) を使用する場合は、セキュリティで保護された環境でコードとデータを保護します。
TEE とは
信頼された実行環境は、暗号化を使用して残りの CPU から保護されるメモリと CPU の分離領域です。 その環境外のコードは、TEE 内のデータを読み取ったり改ざんしたりすることはできません。 承認されたコードは TEE 内のデータを操作できます。
TEE 内で実行されるコードはクリアで処理されますが、外部の何かのアクセスが試みられた場合にのみ、暗号化された形式で表示されます。 この保護は、CPU ダイ内に埋め込まれたプラットフォーム セキュリティ プロセッサによって管理されます。
Azure コンフィデンシャル コンピューティングには、ワークロードをリホストするためのオファリングと、カスタム開発アプリケーション用のエンクレーブベースのワークロード用の 2 つのオファリングがあります。
リホスト オファリングでは 、AMD SEV-SNP (一般提供) または Intel Trust Domain Extensions (TDX) (プレビュー) を使用して、VM のメモリ全体を暗号化します。 お客様は、コードを変更したりパフォーマンスを低下させたりすることなく、既存のワークロードを Azure コンフィデンシャル コンピューティングに移行できます。 このオファリングでは、仮想マシン (VM) とコンテナーのワークロードがサポートされます。
エンクレーブ ベースのオファリングでは、お客様のコードで Intel Software Guard Extensions (SGX) を使用して、VM 内に暗号化保護キャッシュと呼ばれる保護されたメモリ 領域を作成できる CPU 機能が提供されます。 お客様は、強力なデータ保護とプライバシーの保証を使用して機密性の高いワークロードを実行できます。 Azure コンフィデンシャル コンピューティングでは、2020 年に最初のエンクレーブ ベースのオファリングが導入されました。 このデータ保護モデルを利用するには、お客様のアプリケーションを特別に開発する必要があります。
これらの基盤となるテクノロジはどちらも、Azure プラットフォームで サービスとしての機密インフラストラクチャ (IaaS) とサービスとしてのプラットフォーム (PaaS) クラウド コンピューティング モデルを提供するために使用されます。これにより、お客様はソリューションにコンフィデンシャル コンピューティングを簡単に導入できます。
新しいグラフィックス処理装置 (GPU) 設計でも TEE 機能がサポートされます。 GPU と機密 VM などの CPU TEE ソリューション ( 現在プレビュー段階の NVIDIA オファリングなど) を安全に組み合わせて、信頼できる AI を提供できます。
関連コンテンツ
さまざまな Azure ハードウェアに TEE を実装する方法に関する技術情報については、次を参照してください。