Предложения Azure
Azure обеспечивает самую широкую поддержку защищенных технологий, таких как AMD SEV-SNP, Intel TDX и Intel SGX. Все технологии соответствуют определению конфиденциальных вычислений, помогая организациям предотвратить несанкционированный доступ или изменение кода и данных во время использования.
Конфиденциальные виртуальные машины с помощью AMD SEV-SNP. DCasv5 и ECasv5 обеспечивают перенос существующих рабочих нагрузок и обеспечивают защиту данных от оператора облака с помощью конфиденциальности на уровне виртуальной машины.
Конфиденциальные виртуальные машины с помощью Intel TDX. DCesv5 и ECesv5 обеспечивают перенос существующих рабочих нагрузок и обеспечивают защиту данных от оператора облака с помощью конфиденциальности на уровне виртуальной машины.
Виртуальные машины с анклавами приложений с помощью Intel SGX. DCsv2, DCsv3 и DCdsv3 позволяют организациям создавать аппаратные анклава. Эти безопасные анклавы помогают защитить от облачных операторов и собственных администраторов виртуальных машин.
Azure также предлагает различные возможности PaaS, SaaS и виртуальных машин, поддерживающие или основанные на конфиденциальных вычислениях, в том числе:
Управляемое устройство HSM в Azure Key Vault — это соответствующая стандартам и полностью управляемая высокодоступная облачная служба для одного клиента. С ее помощью можно защищать криптографические ключи для облачных приложений, используя аппаратные модули безопасности (HSM), отвечающие стандартам FIPS 140-2 уровня 3.
Аттестация Microsoft Azure— служба удаленной аттестации для проверки надежности нескольких доверенных сред выполнения (TEE) и проверки целостности двоичных файлов, работающих в TEE.
Управление доверенными аппаратными удостоверениями— служба, которая обрабатывает управление кэшем сертификатов для всех TEEs, находящихся в Azure, и предоставляет сведения о доверенной вычислительной базе (TCB), чтобы обеспечить минимальный базовый план для решений аттестации.
Конфиденциальный реестр Azure. Список управления доступом (ACL) — это защищенный от несанкционированного доступа регистр для хранения конфиденциальных данных, предназначенных для учета и аудита, а также для прозрачности данных в сценариях с несколькими участниками. Он допускает однократную запись и многократное чтение (Write-Once-Read-Many), что делает данные неизменяемыми и нестираемыми. Эта служба основана на инфраструктуре консорциума конфиденциальных вычислений Microsoft Research.
Контейнеры с поддержкой анклавов приложений, работающие на Служба Azure Kubernetes (AKS). Узлы конфиденциальных вычислений на AKS используют Intel SGX для создания изолированных сред анклавов в узлах между каждым приложением-контейнером.
Azure IoT Edge поддерживает конфиденциальные приложения, которые работают в безопасных анклавах на устройствах Интернета вещей (IoT). Устройства Интернета вещей часто подвергаются взлому и подделке, потому что они физически доступны злоумышленникам. Конфиденциальные устройства IoT Edge повышают доверие и целостность на границе, защищая доступ к данным, которые собираются и хранятся внутри самого устройства, перед потоковой передачей их в облако.
Always Encrypted с безопасными анклавами в SQL Azure. Конфиденциальность конфиденциальных данных защищается от вредоносных программ и несанкционированных пользователей с высоким уровнем привилегий путем выполнения SQL-запросов непосредственно в TEE.
Среда выполнения ONNX для конфиденциального вывода, сервер логических выводов машинного обучения (ML), который запрещает субъекту размещения ML доступ как к запросу на логический вывод, так и к его соответствующему ответу.
Доверенный запуск доступен на всех виртуальных машинах 2-го поколения, которые включают в себя защищенные функции безопасности — безопасную загрузку, доверенный платформенный модуль и мониторинг целостности загрузки — которые защищают от загрузочных комплектов, руткитов и вредоносных программ на уровне ядра.