Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u een TRUSTED Execution Environment (TEE) gebruikt, beveiligt u uw code en gegevens in een beveiligde omgeving.
Wat is een TEE?
Een vertrouwde uitvoeringsomgeving is een gescheiden ruimte van geheugen en CPU die wordt beschermd tegen de rest van de CPU met behulp van versleuteling. Code buiten die omgeving kan de gegevens in de TEE niet lezen of ermee knoeien. Geautoriseerde code kan de gegevens in de TEE bewerken.
Code die binnen de TEE wordt uitgevoerd, wordt in onversleutelde vorm verwerkt, maar is alleen zichtbaar in versleutelde vorm wanneer iets buiten de TEE toegang probeert te krijgen. De platformbeveiligingsprocessor die in de CPU is ingesloten, beheert deze beveiliging.
Azure Confidential Computing heeft twee aanbiedingen: één voor het opnieuw hosten van workloads en één voor enclaveworkloads voor aangepaste toepassingen.
De aanbieding voor opnieuw hosten maakt gebruik van AMD SEV-SNP (algemene beschikbaarheid) of Intel Trust Domain Extensions (TDX) (preview) om het volledige geheugen van een virtuele machine te versleutelen. Klanten kunnen hun bestaande workloads migreren naar Azure Confidential Computing zonder codewijzigingen of prestatievermindering. Deze aanbieding biedt ondersteuning voor virtuele machines (VM) en containerworkloads.
De enclave-aanbieding biedt CPU-functies waarmee klantcode Intel Software Guard Extensions (SGX) kan gebruiken om een beveiligde geheugenregio te maken met de naam Versleutelde beveiligde cache binnen een VIRTUELE machine. Klanten kunnen gevoelige workloads uitvoeren met sterke garanties voor gegevensbescherming en privacy. Azure Confidential Computing heeft in 2020 het eerste op enclave gebaseerde aanbod geïntroduceerd. Klanttoepassingen moeten specifiek worden ontwikkeld om te kunnen profiteren van dit gegevensbeschermingsmodel.
Beide onderliggende technologieën worden gebruikt voor het leveren van vertrouwelijke infrastructuur als een dienst (IaaS) en PaaS-cloudcomputingmodellen (Platform as a Service) in het Azure-platform, waardoor klanten eenvoudig vertrouwelijke computing in hun oplossingen kunnen gebruiken.
Nieuwe GPU-ontwerpen (Graphics Processing Unit) ondersteunen ook een TEE-mogelijkheid. U kunt GPU's veilig combineren met CPU TEE-oplossingen, zoals vertrouwelijke VM's, zoals de NVIDIA-aanbieding die momenteel in preview is, om betrouwbare AI te leveren.
Verwante inhoud
Zie voor technische informatie over hoe het TEE wordt geïmplementeerd in verschillende Azure-hardware: