Dela via


Azure-erbjudanden

Virtuella datorer och containrar

Azure har det bredaste stödet för härdade tekniker som AMD SEV-SNP, Intel TDX och Intel SGX. Alla tekniker uppfyller vår definition av konfidentiell databehandling, vilket hjälper organisationer att förhindra obehörig åtkomst eller ändring av kod och data under användning.

  • Konfidentiella virtuella datorer med AMD SEV-SNP. DCasv5 och ECasv5 möjliggör lift-and-shift av befintliga arbetsbelastningar och hjälper till att skydda data från molnoperatören med sekretess på VM-nivå.

  • Konfidentiella virtuella datorer med Intel TDX. DCesv5 och ECesv5 möjliggör lift-and-shift för befintliga arbetsbelastningar och skyddar data från molnoperatören med sekretess på VM-nivå.

  • Virtuella datorer med Application Enclaves med Intel SGX. DCsv2, DCsv3 och DCdsv3 gör det möjligt för organisationer att skapa maskinvaruenklaver. Dessa säkra enklaver hjälper till att skydda mot molnoperatörer och dina egna VM-administratörer.

  • App-enklavermedvetna containrar som körs på Azure Kubernetes Service (AKS). Konfidentiella beräkningsnoder i AKS använder Intel SGX för att skapa isolerade enklavermiljöer i noderna mellan varje containerprogram.

Diagram över de olika konfidentiella databehandlingsaktiverade VM-SKU:er, container- och datatjänster.

Konfidentiella tjänster

Azure erbjuder olika PaaS-, SaaS- och VM-funktioner som stöder eller bygger på konfidentiell databehandling, vilket omfattar:

  • Azure Key Vault Managed HSM, en fullständigt hanterad, högtillgänglig molntjänst med en enda klient, standardkompatibel molntjänst som gör att du kan skydda kryptografiska nycklar för dina molnprogram med FIPS 140-2 Level 3-verifierade maskinvarusäkerhetsmoduler (HSM).

  • Always Encrypted med säkra enklaver i Azure SQL. Konfidentialiteten för känsliga data skyddas från skadlig kod och högprivilegierade obehöriga användare genom att köra SQL-frågor direkt i en TEE.

  • Med Azure Databricks får du mer säkerhet och ökad konfidentialitet i Databricks Lakehouse med hjälp av konfidentiella virtuella datorer.

  • Azure Virtual Desktop säkerställer att en användares virtuella skrivbord krypteras i minnet, skyddas i bruk och backas upp av maskinvaruroten för förtroende.

  • Microsoft Azure Attestation, en fjärrattesteringstjänst för att verifiera tillförlitligheten för flera betrodda körningsmiljöer (TEE) och verifiera integriteten för binärfiler som körs i TEE:erna.

  • Trusted Hardware Identity Management, en tjänst som hanterar cachehantering av certifikat för alla TEE:er som finns i Azure och tillhandahåller information om betrodd databehandlingsbas (TCB) för att framtvinga en minimibaslinje för attesteringslösningar.

  • Azure Confidential Ledger. ACL är ett manipuleringssäkert register för lagring av känsliga data för arkivering och granskning eller för datatransparens i scenarier med flera parter. Den erbjuder garantier för Write-Once-Read-Many, vilket gör data icke-raderbara och icke-ändringsbara. Tjänsten bygger på Microsoft Researchs Confidential Consortium Framework.

Tilläggserbjudanden

  • Azure IoT Edge stöder konfidentiella program som körs i säkra enklaver på en IoT-enhet (Internet of Things). IoT-enheter utsätts ofta för manipulering och förfalskning eftersom de är fysiskt tillgängliga för dåliga aktörer. Konfidentiella IoT Edge-enheter lägger till förtroende och integritet vid gränsen genom att skydda åtkomsten till data som samlas in av och lagras i själva enheten innan de strömmas till molnet.

  • Confidential Inference ONNX Runtime, en Mašinsko učenje (ML) slutsatsdragningsserver som hindrar ML-värdparten från att komma åt både inferensbegäran och motsvarande svar.

  • Betrodd start är tillgängligt på alla virtuella datorer i generation 2 med förstärkta säkerhetsfunktioner – säker start, virtuell betrodd plattformsmodul och övervakning av startintegritet – som skyddar mot startpaket, rootkits och skadlig kod på kernelnivå.

Nyheter inom konfidentiell databehandling i Azure

Nästa steg