共用方式為

Azure 供應項目

Azure 機密運算供應專案包括虛擬機(VM)和容器、服務和補充供應專案。

虛擬機器和容器

Azure 提供最廣泛的強化技術支援,例如 AMD SEV-SNPIntel 信任網域延伸模組 (TDX)Intel Software Guard Extensions (SGX)。 所有技術都符合機密運算的定義,也就是協助組織在使用時防止未經授權存取或修改程式代碼和數據。

  • 使用 AMD SEV-SNP 的機密 VM。 DCasv5ECasv5 可重新裝載現有的工作負載,並協助保護具有 VM 層級機密性的雲端作員數據。 以第四代 AMD EPYC 處理器為基礎的 DCasv6 和 ECasv6 機密 VM 目前處於閘道預覽狀態,並提供增強的效能。
  • 使用 Intel TDX 的機密 VM。 DCesv5ECesv5 可重新裝載現有的工作負載,並協助保護具有 VM 層級機密性的雲端作員數據。
  • 具有圖形處理器 (GPU) 的機密虛擬機 (VM)。 NCCadsH100v5 機密 VM 隨附 GPU,有助於確保數據安全性和隱私權,同時提升 AI 和機器學習工作。 這些機密 VM 會使用連結的 CPU 和 GPU 信任執行環境 (TEE) 來保護 CPU 和 GPU 中的敏感數據,以加速計算。 它們非常適合需要保護雲端作員的數據,並使用高效能運算的組織。
  • 具有使用 Intel SGX 之應用程式記憶體保護區的 VM。 DCsv2DCsv3 和 DCdsv3 可讓組織建立硬體記憶體保護區。 這些安全隔離區有助於保護虛擬機免於雲端操作員和組織自己的虛擬機系統管理員。
  • 允許將容器重新佈署至 機密的 VM Azure Kubernetes Service (AKS) 工作節點,使其可在 AKS 叢集內運行。 以 AMD SEV-SNP 硬體為基礎的工作節點可協助保護數據不受雲端運營商的影響,並提供工作節點層級的機密性和 AKS 的設定彈性。
  • Azure 容器實例上的機密容器 ,允許將容器重新裝載至 AMD SEV-SNP 硬體上執行的無伺服器容器實例。 機密容器可透過 機密運算強制執行 (CCE) 原則來支援容器層級完整性和證明。 這些原則會指定允許在容器群組內執行的元件。 容器執行環境會強制執行政策。 此原則有助於使用容器層級機密性來保護雲端作員和內部威脅執行者的數據。
  • 在 AKS 上執行的應用程式記憶體保護區感知容器。 AKS 上的機密運算節點會使用 Intel SGX 在每個容器應用程式之間的節點中建立隔離的記憶體保護區環境。

此圖顯示已啟用各種機密運算的 VM SKU、容器和數據服務。

機密服務

Azure 提供各種平臺即服務 (PaaS)、軟體即服務 (SaaS) 和 VM 功能,這些功能支援或建置在機密運算上:

  • 使用 Azure OpenAI Whisper 模型的機密推斷。 Azure 機密運算可透過 TEE 確保資料安全性和隱私權。 其中包含加密的提示保護、使用者匿名,以及透過使用 OHTTP 和機密的 GPU 虛擬機器來達成透明性。
  • Azure Databricks 可協助您使用機密 VM,為 Databricks Lakehouse 帶來更多安全性和更高的機密性。
  • Azure 虛擬桌面 可確保使用者的虛擬桌面在記憶體中加密、使用中受到保護,並由硬體信任根目錄支援。
  • Azure Key Vault 托管 HSM 是完全受控且具有高可用性。 使用此單一租用戶標準相容的雲端服務,使用 FIPS 140-2 層級 3 驗證的硬體安全性模組 (HSM) 來保護雲端應用程式的密碼編譯密鑰。
  • Azure 證明 是遠程證明服務,可用來驗證多個 TEE 的可信度,並驗證在 TEE 內執行的二進位檔完整性。
  • Azure 機密總帳 是一種防竄改緩存器,用於儲存敏感數據以進行記錄保留和稽核,或在多方案例中儲存數據透明度。 它提供寫入一次Read-Many 保證,讓數據不可分割和不可修改。 此服務是以 Microsoft Research Confidential Consortium Framework 為基礎所建置。
  • Azure SQL 中使用安全記憶體保護區的 Always Encrypted。 由於是直接在 TEE 內執行 SQL 查詢,因此可以防範惡意程式碼和有高級權限但未經授權的使用者竄改敏感資料,從而保護其機密性。

產品組合依客戶需求擴充。

補充供應項目

  • 信任的啟動 適用於所有第 2 代 VM。 它帶來了強化的安全性功能,例如安全開機、虛擬信任的平台模組,以及開機完整性監視。 這些安全性功能可防範開機套件、rootkit和核心層級惡意代碼。
  • Azure 整合式 HSM 目前正在開發中。 Azure 整合式 HSM 是符合 FIPS 140-3 層級 3 安全性標準的專用 HSM。 它可讓加密和簽署密鑰保留在 HSM 中,而不會造成網路存取延遲,以提供健全的密鑰保護。 Azure 整合式 HSM 透過本機部署的 HSM 服務提供增強的安全性。 它可讓密碼編譯金鑰與客體和主機軟體保持隔離。 其支援大量密碼編譯要求,且延遲最低。 從明年開始,Microsoft數據中心的每個新伺服器都會安裝 Azure 整合式 HSM,以提高 Azure 硬體車隊的保護。
  • 可信任硬體身份識別管理 是一項服務,負責管理位於 Azure 中所有 TEE 的憑證快取。 它提供受信任的計算基底資訊,以強制執行證明解決方案的最低基準。
  • Azure IoT Edge 支援在物聯網 (IoT) 裝置上安全記憶體保護區內執行的機密應用程式。 IoT 裝置通常會面臨竄改和偽造的風險,因為惡意執行者能在物理層面接觸這些裝置。 機密 IoT Edge 裝置會在邊緣新增信任和完整性。 它們可保護裝置本身所擷取及儲存的數據存取權,再將它串流至雲端。
  • 機密推斷 ONNX 執行階段 是機器學習推斷伺服器,可限制機器學習裝載方存取推斷要求及其對應的回應。

Azure 機密運算的新功能

相關內容

  • Last updated on