Poufne przetwarzanie na platformie Azure
Platforma Azure oferuje wiele narzędzi do szyfrowania danych magazynowanych za pomocą modeli, takich jak szyfrowanie po stronie klienta i szyfrowanie po stronie serwera. Ponadto platforma Azure oferuje mechanizmy szyfrowania danych przesyłanych za pośrednictwem bezpiecznych protokołów, takich jak TLS i HTTPS. Poufne przetwarzanie rozwiązuje problem z ochroną używanych danych, co ułatwia rozszerzenie ochrony szyfrowania.
Korzystając z technologii przetwarzania poufnego, można wzmacniać zabezpieczenia środowiska zwirtualizowanego z hosta, funkcji hypervisor, administratora hosta, a nawet własnego administratora maszyny wirtualnej. Ułatwia to organizacjom:
Zapobieganie nieautoryzowanemu dostępowi: uruchamianie poufnych danych w chmurze. Ufaj, że platforma Azure zapewnia najlepszą możliwą ochronę danych, z niewielkimi zmianami w porównaniu z tym, co robi się dzisiaj.
Zgodność z przepisami: migrowanie do chmury i zapewnienie pełnej kontroli nad danymi w celu spełnienia przepisów rządowych dotyczących ochrony danych osobowych i bezpiecznego adresu IP organizacji.
Zapewnij bezpieczną i niezaufaną współpracę: Rozwiązywanie problemów w skali roboczej w całej branży dzięki przeczesywaniu danych między organizacjami, a nawet konkurentami, aby odblokować szeroką analizę danych i bardziej szczegółowe informacje.
Izolowanie przetwarzania: oferuje nową falę produktów, które usuwają odpowiedzialność za dane prywatne z przetwarzaniem ślepym. Dane użytkownika nie mogą być nawet pobierane przez dostawcę usług.
Co nowego w przetwarzaniu poufnym na platformie Azure
Oferty platformy Azure
Obsługa poufnego przetwarzania nadal rozszerza się od podstawowych maszyn wirtualnych do ofert opartych na procesorze GPU oraz stosu za pośrednictwem kontenerów i usług zarządzanych.
Sprawdzanie, czy aplikacje działają poufne, stanowią podstawę poufnego przetwarzania. Ta weryfikacja jest wieloczęściowa i opiera się na następującym pakiecie ofert platformy Azure:
Zaświadczanie platformy Microsoft Azure , zdalna usługa zaświadczania służąca do weryfikowania wiarygodności wielu zaufanych środowisk wykonywania (TEE) i weryfikowania integralności plików binarnych uruchomionych wewnątrz środowisk TEE.
Zarządzany moduł HSM usługi Azure Key Vault, w pełni zarządzana, wysoce dostępna, zgodna ze standardami usługa w chmurze, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych sprzętowych modułów zabezpieczeń (HSM) fiPS 140-2 poziom 3.
Zaufane zarządzanie tożsamościami sprzętowymi — usługa, która obsługuje zarządzanie pamięcią podręczną certyfikatów dla wszystkich środowisk TEE znajdujących się na platformie Azure i udostępnia informacje o zaufanej bazie obliczeniowej (TCB) w celu wymuszenia minimalnej linii bazowej dla rozwiązań zaświadczania.
Zaufane uruchamianie jest dostępne na wszystkich maszynach wirtualnych generacji 2, które zapewniają wzmocnione funkcje zabezpieczeń — bezpieczny rozruch, wirtualny moduł zaufanej platformy i monitorowanie integralności rozruchu — które chronią przed zestawami rozruchowymi, zestawami rootkit i złośliwym oprogramowaniem na poziomie jądra.
Rejestr poufny platformy Azure. Lista ACL to rejestr sprawdzający naruszenia służący do przechowywania poufnych danych na potrzeby rejestrowania i inspekcji lub przejrzystości danych w scenariuszach obejmujących wiele firm. Oferuje ona gwarancje zapisu raz do odczytu i wielu, co sprawia, że dane nie mogą być wymazywalne i niezmodyfikowalne. Usługa jest oparta na platformie Microsoft Research Confidential Consortium Framework.
Usługa Azure IoT Edge obsługuje poufne aplikacje działające w bezpiecznych enklawach na urządzeniu Internetu rzeczy (IoT). Urządzenia IoT są często narażone na manipulowanie i fałszerzowanie, ponieważ są fizycznie dostępne dla złych aktorów. Poufne urządzenia usługi IoT Edge dodają zaufanie i integralność na brzegu, chroniąc dostęp do danych przechwyconych i przechowywanych wewnątrz samego urządzenia przed przesyłaniem strumieniowym do chmury.
Funkcja Always Encrypted z bezpiecznymi enklawami w usłudze Azure SQL. Poufność poufnych danych jest chroniona przed złośliwym oprogramowaniem i wysoce uprzywilejowanymi nieautoryzowanymi użytkownikami, uruchamiając zapytania SQL bezpośrednio wewnątrz środowiska TEE.
Technologie takie jak AMD SEV-SNP, Intel SGX i Intel TDX zapewniają implementacje sprzętu na poziomie krzemu poufnego przetwarzania. Obecnie udostępniamy następujące technologie:
Maszyny wirtualne z enklawami aplikacji Intel SGX. Platforma Azure oferuje serię DCsv2, DCsv3 i DCdsv3 opartą na technologii Intel SGX na potrzeby tworzenia enklaw opartych na sprzęcie. Możesz tworzyć bezpieczne aplikacje oparte na enklawie do uruchamiania w serii maszyn wirtualnych w celu ochrony danych i kodu aplikacji w użyciu.
Kontenery obsługujące enklawę aplikacji działające w usłudze Azure Kubernetes Service (AKS). Węzły poufnego przetwarzania w usłudze AKS używają środowiska Intel SGX do tworzenia izolowanych środowisk enklawy w węzłach między poszczególnymi aplikacjami kontenerów.
Poufne maszyny wirtualne oparte na technologii AMD SEV-SNP umożliwiają lift-and-shift istniejących obciążeń i chronią dane od operatora chmury przy użyciu poufności na poziomie maszyny wirtualnej.
Poufne maszyny wirtualne oparte na technologii Intel TDX umożliwiają lift-and-shift istniejących obciążeń i chronią dane od operatora chmury przy użyciu poufności na poziomie maszyny wirtualnej.
Poufne wnioskowanie środowiska uruchomieniowego ONNX, serwera wnioskowania maszyny Edukacja (ML), który ogranicza dostawcy hostingu uczenia maszynowego dostęp zarówno do żądania wnioskowania, jak i odpowiedniej odpowiedzi.