你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 产品/服务

虚拟机和容器

Azure 为 AMD SEV-SNP、Intel TDX 和 Intel SGX 等强化技术提供了最广泛的支持。 所有技术都符合机密计算的定义，可帮助组织防止在使用代码和数据时发生未经授权访问或修改代码和数据的情况。

• 使用 AMD SEV-SNP 的机密 VM。 DCasv5 和 ECasv5 支持现有工作负载的直接迁移，并有助于通过 VM 级机密性保护云操作员的数据。

• 使用 Intel TDX 的机密 VM。 DCesv5 和 ECesv5 支持现有工作负载的直接迁移，并有助于通过 VM 级机密性保护云操作员的数据。

• 使用 Intel SGX 应用程序安全区的 VM。 DCsv2、DCsv3 和 DCdsv3 使组织能够创建硬件安全区。 这些安全区有助于保护云操作员和你自己的 VM 管理员的数据。

• 在 Azure Kubernetes 服务 (AKS) 上运行的 App-enclave 感知容器。 AKS 上的机密计算节点使用 Intel SGX 在每个容器应用程序之间的节点中创建隔离的安全区环境。

机密服务

Azure 提供了各种支持机密计算或基于机密计算生成的 PaaS、SaaS 和 VM 功能，其中包括：

• Azure 密钥保管库托管 HSM，这是一个完全托管、高度可用且符合标准的单租户云服务，让你可以使用通过了 FIPS 140-2 级别 3 验证的硬件安全模块 (HSM) 来保护云应用程序的加密密钥。

• Azure SQL 中使用安全区的 Always Encrypted。 直接在 TEE 内运行 SQL 查询，可以保护敏感数据的机密性，防止恶意软件和高权限未经授权的用户访问数据。

• Azure Databricks 有助于使用机密 VM 提高 Databricks 湖屋的安全性和机密性。

• Azure 虚拟桌面确保用户的虚拟桌面在内存中加密、在使用时受到保护且受硬件信任根的支持。

• Microsoft Azure 证明，这是一个远程证明服务，用于验证多个受信任执行环境 (TEE) 的可信度，以及验证 TEE 中运行的二进制文件的完整性。

• 受信任的硬件标识管理，该服务用于处理驻留在 Azure 中的所有 TEE 的证书缓存管理，并提供可信计算基 (TCB) 信息，以强制实施证明解决方案的最低基线。

• Azure 机密账本。 ACL 是一个防篡改寄存器，用于存储敏感数据以满足记录保管和审计要求，或者在多方方案中实现数据透明度。 它提供“一次写入，多次读取”保证，使数据不可擦除且不可修改。 该服务构建在 Microsoft Research 的机密联盟框架的基础之上。

补充产品/服务

• Azure IoT Edge 支持在物联网 (IoT) 设备上的安全区内运行的机密应用程序。 IoT 设备很容易遭到篡改和伪造，因为恶意行为者能够以物理方式对其进行访问。 机密 IoT Edge 设备在边缘添加了信任和完整性，可以保护对设备本身捕获的、在流式传输到云之前存储在设备内部中的数据的访问。

• 机密推理 ONNX 运行时，这是一个机器学习 (ML) 推理服务器，可以限制 ML 托管方访问推理请求及其相应的响应。

• 受信任启动适用于所有第 2 代 VM，其中引入了强化安全功能 - 安全启动、虚拟受信任平台模块和启动完整性监视 - 可以防范 bootkit、rootkit 和内核级恶意软件。

Azure 机密计算新增功能

后续步骤

• 了解常见的机密计算方案