Поделиться через


Анклавы SGX

Технология Intel SGX позволяет клиентам создавать анклавы, которые защищают данные и шифруются при обработке данных ЦП.

Анклавы — это защищенные части процессора и памяти аппаратного обеспечения. Вы не можете просматривать данные или код внутри анклава, даже с отладчиком. Если ненадежный код пытается изменить содержимое в памяти анклава, SGX отключает среду и запрещает операции. Эти уникальные возможности помогают защитить секреты от доступности в ясной среде.

Схема модели виртуальной машины, показывающая данные, защищенные в анклавах.

Подумайте об анклавах как защищенном замке. Зашифрованный код и данные помещают в блокировку. Снаружи ничего не видно. Вы даете анклава ключ для расшифровки данных. Анклав обрабатывает и повторно шифрует данные перед отправкой данных обратно.

Конфиденциальные вычисления Azure предлагают виртуальные машины серии DCsv2 и DCsv3/DCdsv3 (виртуальные машины). Эти виртуальные машины поддерживают расширения Intel® Software Guard (SGX).

Каждый анклав имеет зашифрованный кэш страницы (EPC) с заданным размером. EPC определяет объем памяти, которую может хранить анклава. Виртуальные машины серии DCsv2 содержат до 168 МиБ. Виртуальные машины серии DCsv3/DCdsv3 содержат до 256 ГБ для более интенсивных рабочих нагрузок с большим объемом памяти.

Разработка для анклава

Вы можете использовать различные средства программного обеспечения для разработки приложений, работающих в анклавах. Эти средства помогают защитить части кода и данных внутри анклава. Убедитесь, что никто за пределами доверенной среды не может просматривать или изменять данные с помощью этих средств.

Next Steps