Dela via

Betrodd körningsmiljö (TEE)

  • Artikel

Vad är en TEE?

En betrodd körningsmiljö (TEE) är ett avgränsat område med minne och PROCESSOR som skyddas från resten av processorn med hjälp av kryptering. Data i TEE kan inte läsas eller manipuleras av någon kod utanför den miljön. Data kan manipuleras i TEE genom lämplig auktoriserad kod.

Kodkörning i TEE bearbetas i klartext men visas bara i krypterad form när något utanför försöker komma åt den. Det här skyddet hanteras av plattformssäkerhetsprocessorn som är inbäddad i CPU-matrisen.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

Konfidentiell databehandling i Azure har två erbjudanden: en för enklaverbaserade arbetsbelastningar och en för lift- och shift-arbetsbelastningar.

Det enklaverbaserade erbjudandet använder Intel Software Guard Extensions (SGX) för att skapa en skyddad minnesregion med namnet Krypterad skyddad cache (EPC) inom en virtuell dator. På så sätt kan kunder köra känsliga arbetsbelastningar med starka dataskydds- och sekretessgarantier. Azure Confidential Computing lanserade det första enklaverbaserade erbjudandet 2020.

Lift and Shift-erbjudandet använder AMD SEV-SNP (GA) eller Intel TDX (förhandsversion) för att kryptera hela minnet för en virtuell dator. Detta gör det möjligt för kunder att migrera sina befintliga arbetsbelastningar till Konfidentiell Beräkning i Azure utan några kodändringar eller prestandaförsämring.

Många av dessa underliggande tekniker används för att leverera konfidentiella IaaS- och PaaS-tjänster på Azure-plattformen, vilket gör det enkelt för kunder att använda konfidentiell databehandling i sina lösningar.

Nya GPU-design stöder också en TEE-funktion och kan kombineras på ett säkert sätt med CPU TEE-lösningar som konfidentiella virtuella datorer, till exempel NVIDIA-erbjudandet som för närvarande är en förhandsversion för att leverera tillförlitlig AI.

Teknisk information om hur TEE implementeras på olika Azure-maskinvara är tillgänglig på följande sätt:

AMD SEV-SNP Konfidentiella virtuella datorer (https://www.amd.com/en/developer/sev.html)

Intel SGX-aktiverade virtuella datorer (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Intel TDX Virtual Machines (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

NVIDIA-maskinvara (https://www.nvidia.com/en-gb/data-center/h100/)