다음을 통해 공유

TEE(신뢰 실행 환경)

  • 아티클

TEE란?

TEE(신뢰 실행 환경)는 암호화를 사용하여 나머지 CPU로부터 보호되는 분리된 메모리 및 CPU 영역이며, TEE의 모든 데이터는 해당 환경 외부의 코드에서 읽거나 변조할 수 없습니다. 적절한 권한 있는 코드를 사용하여 TEE 내에서 데이터를 조작할 수 있습니다.

TEE 내에서 실행되는 코드는 암호화되지 않은 상태로 처리되지만 외부에서 액세스하려고 할 때만 암호화된 형식으로 표시됩니다. 이 보호는 CPU 다이 내에 포함된 플랫폼 보안 프로세서에 의해 관리됩니다.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

Azure 기밀 컴퓨팅 제품은 Enclave 기반 워크로드용과 리프트 앤 시프트 워크로드용의 두 가지가 있습니다.

Enclave 기반 제품은 Intel SGX(Software Guard Extensions)를 사용하여 VM 내에서 EPC(암호화된 보호 캐시)라는 보호된 메모리 영역을 만듭니다. 이를 통해 고객은 데이터 및 개인 정보가 강력하게 보호되는 중요한 워크로드를 실행할 수 있습니다. Azure 기밀 컴퓨팅은 2020년에 첫 번째 Enclave 기반 제품을 출시했습니다.

리프트 앤 시프트 제품은 AMD SEV-SNP(GA) 또는 Intel TDX(미리 보기)를 사용하여 VM의 전체 메모리를 암호화합니다. 이를 통해 고객은 코드 변경이나 성능 저하 없이 기존 워크로드를 Azure 기밀 컴퓨팅으로 마이그레이션할 수 있습니다.

이러한 기본 기술의 대부분은 고객이 솔루션에서 기밀 컴퓨팅을 쉽게 채택할 수 있도록 Azure 플랫폼에서 기밀 IaaS 및 PaaS 서비스를 제공하는 데 사용됩니다.

또한 새로운 GPU 디자인은 TEE 기능을 지원하며 현재 미리 보기로 제공되는 NVIDIA 제품과 같은 기밀 가상 머신과 같은 CPU TEE 솔루션과 안전하게 결합되어 신뢰할 수 있는 AI를 제공할 수 있습니다.

다양한 Azure 하드웨어에서 TEE를 구현하는 방법에 대한 기술 세부 정보는 다음과 같이 사용할 수 있습니다.

AMD SEV-SNP 기밀 가상 머신(https://www.amd.com/en/developer/sev.html)

Intel SGX 지원 Virtual Machines(https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Intel TDX Virtual Machines(https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

NVIDIA 하드웨어(https://www.nvidia.com/en-gb/data-center/h100/)