Partilhar via


Enclaves SGX

A tecnologia Intel SGX permite que os clientes criem enclaves que protegem os dados e mantêm os dados criptografados enquanto a CPU processa os dados.

Os enclaves são partes seguras do processador e da memória do hardware. Não é possível visualizar dados ou códigos dentro do enclave, mesmo com um depurador. Se um código não confiável tentar alterar o conteúdo na memória do enclave, o SGX desativará o ambiente e negará as operações. Estas capacidades únicas ajudam-no a proteger os seus segredos de serem acessíveis de forma clara.

Diagrama do modelo VM, mostrando dados protegidos nos enclaves.

Pense num enclave como um cofre seguro. Você coloca código criptografado e dados dentro do cofre. Do lado de fora, você não pode ver nada. Você dá ao enclave uma chave para descriptografar os dados. O enclave processa e criptografa novamente os dados, antes de enviá-los de volta.

A computação confidencial do Azure oferece máquinas virtuais (VMs) das séries DCsv2 e DCsv3/DCdsv3 . Essas VMs têm suporte para Intel® Software Guard Extensions (SGX).

Cada enclave tem um cache de página criptografada (EPC) com um tamanho definido. O EPC determina a quantidade de memória que um enclave pode conter. As VMs da série DCsv2 suportam até 168 MiB. As VMs da série DCsv3/DCdsv3 armazenam até 256 GB para cargas de trabalho que consomem mais memória.

Desenvolvimento para enclaves

Você pode usar várias ferramentas de software para desenvolver aplicativos que são executados em enclaves. Essas ferramentas ajudam você a proteger partes do seu código e dados dentro do enclave. Certifique-se de que ninguém fora do seu ambiente confiável possa visualizar ou modificar seus dados com essas ferramentas.

Passos Seguintes