Azure 机密计算

保护使用中的云数据

  • 保护数据在使用过程中免受恶意威胁和内部威胁
  • 在数据的整个生存期内保持对数据的控制
  • 保护和验证云端代码的完整性
  • 确保数据和代码对云平台提供商不可见

借助机密计算将数据安全性提升到更高水平

准备增强云安全性。了解我们的机密云愿景 - 旨在从 Azure 的可信计算基础中去除 Microsoft 的影响。

什么是机密计算?

安全是推动云计算采用的关键驱动因素,但这也是将极其敏感的 IP 和数据方案移动到云时的一个主要问题。

机密计算是通过将计算隔离到基于硬件的受信任执行环境 (TEE) 来保护使用中的数据。尽管在传统上数据是在传输过程中静态加密的,但机密计算在处理数据时会保护数据。TEE 通过保护部分硬件处理器和内存提供受保护容器。可以在受保护的环境中运行软件,以防止来自 TEE 外的针对代码和数据部分的查看或修改。

Intel

"Customers are demanding the capability to reduce the attack surface and help protect sensitive data in the cloud by encrypting data in use. Our collaboration with Microsoft brings enterprise-ready confidential computing solutions to market, and enables customers to take greater advantage of the benefits of cloud and multi-party compute paradigms using Intel® SGX technology."

Intel 数据中心安全和系统架构副总裁 Anil Rao

机密计算的核心组件

Azure 通过跨硬件、软件和服务的创新实现了机密计算。

硬件和计算

部署和管理使用 TEE 启用的计算实例

使用 Azure 上的新 DCsv2 系列虚拟机,在完全虚拟化的云环境中使用 [Intel] SGX 技术,基于最新一代的 Intel Xeon 处理器进行构建。借助这些 VM,可以运行和生成用于保护使用中的代码和数据的应用程序。

开发

针对标准的 enclave 抽象进行开发

利用 enclave 创建和管理、系统基元、运行时支持和加密库支持。Open Enclave SDK (OE SDK) 项目围绕 enclaving 抽象提供了一致的 API 面,支持跨 enclave 类型进行移植和灵活使用体系结构。针对不同的 enclave 类型构建可移植的 C/C++ 应用程序。详细了解如何在 Azure 机密计算 VM 上使用 OE SDK 进行开发。

证明

验证 TEE 以及在其中运行的代码的标识

验证代码标识以确定是否发布机密。使用证明服务,可轻松完成验证并实现其高可用性。

研究

从 Microsoft Research 获得见解,强化 enclave 代码

探索有关支持机密计算的新应用程序、强化 TEE 应用程序的技术以及防止来自 TEE 外的未经授权的访问的技巧。

了解有关 Azure 机密计算的详细信息。

探索 Azure 市场中提供的机密计算解决方案