Partilhar via

Ambiente de execução confiável (TEE)

  • Artigo

O que é um TEE?

Um Ambiente de Execução Confiável (TEE) é uma área segregada de memória e CPU que é protegida do resto da CPU usando criptografia, quaisquer dados no TEE não podem ser lidos ou adulterados por qualquer código fora desse ambiente. Os dados podem ser manipulados dentro do TEE por código devidamente autorizado.

O código executado dentro do TEE é processado de forma clara, mas só é visível de forma criptografada quando qualquer coisa externa tenta acessá-lo. Essa proteção é gerenciada pelo processador de segurança da plataforma incorporado dentro do chip da CPU.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

A computação confidencial do Azure tem duas ofertas: uma para cargas de trabalho baseadas em enclave e outra para cargas de trabalho de elevação e turno.

A oferta baseada em enclave usa o Intel Software Guard Extensions (SGX) para criar uma região de memória protegida chamada EPC (Encrypted Protected Cache) dentro de uma VM. Isso permite que os clientes executem cargas de trabalho confidenciais com fortes garantias de proteção de dados e privacidade. A computação confidencial do Azure lançou a primeira oferta baseada em enclave em 2020.

A oferta de elevação e mudança usa AMD SEV-SNP (GA) ou Intel TDX (visualização) para criptografar toda a memória de uma VM. Isso permite que os clientes migrem suas cargas de trabalho existentes para a Computação confidencial do Azure sem qualquer alteração de código ou degradação de desempenho.

Muitas dessas tecnologias subjacentes são usadas para fornecer serviços IaaS e PaaS confidenciais na plataforma Azure, tornando simples para os clientes adotarem computação confidencial em suas soluções.

Novos designs de GPU também suportam um recurso TEE e podem ser combinados com segurança com soluções de CPU TEE, como máquinas virtuais confidenciais, como a oferta NVIDIA atualmente em pré-visualização para fornecer IA confiável.

Os detalhes técnicos sobre como o TEE é implementado em diferentes hardwares do Azure estão disponíveis da seguinte maneira:

Máquinas virtuais confidenciais AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)

Máquinas virtuais habilitadas para Intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Máquinas virtuais Intel TDX (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

Hardware NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)