Poufne przetwarzanie na platformie Azure

  • Artykuł

Platforma Azure oferuje wiele narzędzi do szyfrowania danych magazynowanych za pomocą modeli, takich jak szyfrowanie po stronie klienta i szyfrowanie po stronie serwera. Ponadto platforma Azure oferuje mechanizmy szyfrowania danych przesyłanych za pośrednictwem bezpiecznych protokołów, takich jak TLS i HTTPS. Poufne przetwarzanie rozwiązuje problem z ochroną używanych danych, co ułatwia rozszerzenie ochrony szyfrowania.

Korzystając z technologii przetwarzania poufnego, można wzmacniać zabezpieczenia środowiska zwirtualizowanego z hosta, funkcji hypervisor, administratora hosta, a nawet własnego administratora maszyny wirtualnej. Ułatwia to organizacjom:

  • Zapobieganie nieautoryzowanemu dostępowi: uruchamianie poufnych danych w chmurze. Ufaj, że platforma Azure zapewnia najlepszą możliwą ochronę danych, z niewielkimi zmianami w porównaniu z tym, co robi się dzisiaj.

  • Zgodność z przepisami: migrowanie do chmury i zapewnienie pełnej kontroli nad danymi w celu spełnienia przepisów rządowych dotyczących ochrony danych osobowych i bezpiecznego adresu IP organizacji.

  • Zapewnij bezpieczną i niezaufaną współpracę: Rozwiązywanie problemów w skali roboczej w całej branży dzięki przeczesywaniu danych między organizacjami, a nawet konkurentami, aby odblokować szeroką analizę danych i bardziej szczegółowe informacje.

  • Izolowanie przetwarzania: oferuje nową falę produktów, które usuwają odpowiedzialność za dane prywatne z przetwarzaniem ślepym. Dane użytkownika nie mogą być nawet pobierane przez dostawcę usług.

Co nowego w przetwarzaniu poufnym na platformie Azure

Oferty platformy Azure

Obsługa poufnego przetwarzania nadal rozszerza się od podstawowych maszyn wirtualnych do ofert opartych na procesorze GPU oraz stosu za pośrednictwem kontenerów i usług zarządzanych.

Diagram różnych jednostek SKU maszyn wirtualnych z obsługą poufnego przetwarzania, kontenerów i usług danych.

Sprawdzanie, czy aplikacje działają poufne, stanowią podstawę poufnego przetwarzania. Ta weryfikacja jest wieloczęściowa i opiera się na następującym pakiecie ofert platformy Azure:

  • Zaświadczanie platformy Microsoft Azure , zdalna usługa zaświadczania służąca do weryfikowania wiarygodności wielu zaufanych środowisk wykonywania (TEE) i weryfikowania integralności plików binarnych uruchomionych wewnątrz środowisk TEE.

  • Zarządzany moduł HSM usługi Azure Key Vault, w pełni zarządzana, wysoce dostępna, zgodna ze standardami usługa w chmurze, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych sprzętowych modułów zabezpieczeń (HSM) fiPS 140-2 poziom 3.

  • Zaufane zarządzanie tożsamościami sprzętowymi — usługa, która obsługuje zarządzanie pamięcią podręczną certyfikatów dla wszystkich środowisk TEE znajdujących się na platformie Azure i udostępnia informacje o zaufanej bazie obliczeniowej (TCB) w celu wymuszenia minimalnej linii bazowej dla rozwiązań zaświadczania.

  • Zaufane uruchamianie jest dostępne na wszystkich maszynach wirtualnych generacji 2, które zapewniają wzmocnione funkcje zabezpieczeń — bezpieczny rozruch, wirtualny moduł zaufanej platformy i monitorowanie integralności rozruchu — które chronią przed zestawami rozruchowymi, zestawami rootkit i złośliwym oprogramowaniem na poziomie jądra.

  • Rejestr poufny platformy Azure. Lista ACL to rejestr sprawdzający naruszenia służący do przechowywania poufnych danych na potrzeby rejestrowania i inspekcji lub przejrzystości danych w scenariuszach obejmujących wiele firm. Oferuje ona gwarancje zapisu raz do odczytu i wielu, co sprawia, że dane nie mogą być wymazywalne i niezmodyfikowalne. Usługa jest oparta na platformie Microsoft Research Confidential Consortium Framework.

  • Usługa Azure IoT Edge obsługuje poufne aplikacje działające w bezpiecznych enklawach na urządzeniu Internetu rzeczy (IoT). Urządzenia IoT są często narażone na manipulowanie i fałszerzowanie, ponieważ są fizycznie dostępne dla złych aktorów. Poufne urządzenia usługi IoT Edge dodają zaufanie i integralność na brzegu, chroniąc dostęp do danych przechwyconych i przechowywanych wewnątrz samego urządzenia przed przesyłaniem strumieniowym do chmury.

  • Funkcja Always Encrypted z bezpiecznymi enklawami w usłudze Azure SQL. Poufność poufnych danych jest chroniona przed złośliwym oprogramowaniem i wysoce uprzywilejowanymi nieautoryzowanymi użytkownikami, uruchamiając zapytania SQL bezpośrednio wewnątrz środowiska TEE.

Technologie takie jak AMD SEV-SNP, Intel SGX i Intel TDX zapewniają implementacje sprzętu na poziomie krzemu poufnego przetwarzania. Obecnie udostępniamy następujące technologie:

  • Maszyny wirtualne z enklawami aplikacji Intel SGX. Platforma Azure oferuje serię DCsv2, DCsv3 i DCdsv3 opartą na technologii Intel SGX na potrzeby tworzenia enklaw opartych na sprzęcie. Możesz tworzyć bezpieczne aplikacje oparte na enklawie do uruchamiania w serii maszyn wirtualnych w celu ochrony danych i kodu aplikacji w użyciu.

  • Kontenery obsługujące enklawę aplikacji działające w usłudze Azure Kubernetes Service (AKS). Węzły poufnego przetwarzania w usłudze AKS używają środowiska Intel SGX do tworzenia izolowanych środowisk enklawy w węzłach między poszczególnymi aplikacjami kontenerów.

  • Poufne maszyny wirtualne oparte na technologii AMD SEV-SNP umożliwiają lift-and-shift istniejących obciążeń i chronią dane od operatora chmury przy użyciu poufności na poziomie maszyny wirtualnej.

  • Poufne maszyny wirtualne oparte na technologii Intel TDX umożliwiają lift-and-shift istniejących obciążeń i chronią dane od operatora chmury przy użyciu poufności na poziomie maszyny wirtualnej.

  • Poufne wnioskowanie środowiska uruchomieniowego ONNX, serwera wnioskowania maszyny Edukacja (ML), który ogranicza dostawcy hostingu uczenia maszynowego dostęp zarówno do żądania wnioskowania, jak i odpowiedniej odpowiedzi.

Następne kroki