SGX-enclaves

Met Intel SGX-technologie kunnen klanten enclaves maken die gegevens beschermen en gegevens versleuteld houden terwijl de CPU de gegevens verwerkt.

Enclaves zijn beveiligde delen van de processor en het geheugen van de hardware. U kunt geen gegevens of code in de enclave weergeven, zelfs niet met een foutopsporingsprogramma. Als niet-vertrouwde code inhoud in enclavegeheugen probeert te wijzigen, schakelt SGX de omgeving uit en worden de bewerkingen geweigerd. Met deze unieke mogelijkheden kunt u uw geheimen beveiligen zodat ze niet op een duidelijke wijze toegankelijk zijn.

Diagram van het VM-model, met gegevens die zijn beveiligd in de enclaves.

U kunt een enclave zien als een beveiligde lockbox. U plaatst versleutelde code en gegevens in de lockbox. Aan de buitenkant kun je niets zien. U geeft de enclave een sleutel om de gegevens te ontsleutelen. De enclave verwerkt en versleutelt de gegevens opnieuw voordat de gegevens worden teruggestuurd.

Azure Confidential Computing biedt virtuele machines (VM's) uit de DCsv2-serie en DCsv3/DCdsv3-serie . Deze VM's bieden ondersteuning voor IntelĀ® Software Guard Extensions (SGX).

Elke enclave heeft een versleutelde paginacache (EPC) met een ingestelde grootte. De EPC bepaalt de hoeveelheid geheugen die een enclave kan bevatten. DCsv2-serie VM's bevatten maximaal 168 MiB. DCsv3/DCdsv3-serie VM's bevatten maximaal 256 GB voor meer geheugenintensieve workloads.

Ontwikkelen voor enclaves

U kunt verschillende softwarehulpprogramma's gebruiken voor het ontwikkelen van toepassingen die in enclaves worden uitgevoerd. Met deze hulpprogramma's kunt u delen van uw code en gegevens in de enclave afschermen. Zorg ervoor dat niemand buiten uw vertrouwde omgeving uw gegevens kan bekijken of wijzigen met deze hulpprogramma's.

Volgende stappen