當您使用信任的執行環境 (TEE) 時,您會在安全的環境中保護您的程式代碼和資料。
什麼是 TEE?
信任的執行環境是記憶體和CPU的隔離區域,會使用加密來保護CPU的其餘部分。 該環境以外的任何程式代碼都無法讀取或竄改 TEE 中的數據。 授權的程式代碼可以操作 TEE 內的數據。
在 TEE 內執行的程式代碼會以明文進行處理,但只有在外界試圖存取時才會以加密形式顯示。 內嵌在 CPU die 中的平臺安全性處理器會管理此保護。
Azure 機密運算有兩個方案:一個用於重設工作負載,另一個用於自訂開發應用程式的安全區域型工作負載。
重新託管服務會使用 AMD SEV-SNP(正式運作) 或 Intel 信任網域延伸技術(TDX)(預覽版) 來對 VM 的整個記憶體進行加密。 客戶可以將現有的工作負載遷移至 Azure 機密運算,而不會有任何程式代碼變更或效能降低。 此供應專案支援虛擬機(VM)和容器工作負載。
基於封閉區技術的供應方案提供 CPU 功能,允許客戶程式代碼使用 Intel Software Guard Extensions(SGX) 在 VM 中創建一個名為加密受保護快取的記憶體保護區域。 客戶可以使用強大的數據保護和隱私權保證來執行敏感性工作負載。 Azure 機密運算於 2020 年推出了第一個 enclave 型產品。 客戶應用程式需要特別開發,才能利用此數據保護模型。
這兩種基礎技術都用來在 Azure 平臺中提供 機密基礎結構即服務(IaaS)和平臺即服務(PaaS) 雲端運算模型,這可讓客戶在解決方案中輕鬆採用機密運算。
新的圖形處理單元 (GPU) 設計也支援 TEE 功能。 您可以安全地結合 GPU 與 CPU TEE 解決方案,例如目前 處於預覽狀態的 NVIDIA 供應專案等機密 VM,以提供值得信任的 AI。
相關內容
如需如何跨不同 Azure 硬體實作 TEE 的技術資訊,請參閱: