Důvěrné výpočetní operace Azure

Ochrana a zabezpečení dat v cloudu, zatímco se používají

  • Ochrana dat před škodlivými a vnitřními hrozbami, zatímco se používají
  • Zachování kontroly nad daty po celou dobu jejich životního cyklu
  • Ochrana a ověřování integrity kódu v cloudu
  • Zajištění neprůhlednosti dat a kódu pro poskytovatele cloudové platformy

Posun zabezpečení dat na další úroveň díky důvěrným výpočetním operacím

Důvěrné výpočetní operace Azure chrání důvěrnost a integritu vašich dat a kódu, zatímco se zpracovávají ve veřejném cloudu. Zabezpečení cloudu je základním kamenem naší vize důvěrného cloudu, jejímž cílem je vyloučit Microsoft z důvěryhodného základu architektury Azure.

Co jsou důvěrné výpočetní operace?

Zabezpečení je klíčovým faktorem při zrychlování přijetí cloud computingu, ale také hlavním problémem při přesunu mimořádně citlivých scénářů pro IP adresy a data do cloudu.

Existují způsoby, jak zabezpečit neaktivní uložená data a přenášená data, ale musíte zajistit ochranu dat před hrozbami i v době zpracování. Teď tu možnost máte. Důvěrné výpočetní operace přinášejí nové možnosti zabezpečení dat a chrání vaše používaná data s využitím důvěryhodných spouštěcích prostředí nebo šifrovacích mechanismů. Důvěryhodná spouštěcí prostředí jsou hardwarové nebo softwarové implementace, které chrání zpracovávaná data před přístupem mimo důvěryhodné spouštěcí prostředí. Hardware poskytuje chráněný kontejner tím, že zabezpečí část procesoru a paměti. Spustit se a přistupovat k datům může pouze autorizovaný kód, takže jsou kód i data chráněné před zobrazením a úpravami mimo důvěryhodné spouštěcí prostředí.

Základní komponenty důvěrných výpočetních operací

Díky inovacím v oblasti hardwaru, softwaru a služeb se důvěrné výpočetní operace Azure stávají realitou.

Hardware a výpočetní prostředky:

Nasazujte a spravujte výpočetní instance s podporou důvěryhodných spouštěcích prostředí.

Získejte přístup k hardwarovým funkcím a funkcím v cloudu, než budou široce dostupné v místním prostředí, a vytvářejte a spouštějte aplikace využívající technologii SGX. Virtuální počítače řady DC přinášejí do cloudu Azure nejnovější generaci procesorů Intel Xeon s technologií Intel SGX. Pomocí těchto nových virtuálních počítačů můžete vytvářet aplikace, které chrání používaná data a kód.

Vývoj:

Vyvíjejte s využitím standardní abstrakce pomocí enkláv.

Využijte vytváření a správu enkláv, systémové primitivy, podporu modulů runtime a podporu kryptografických knihoven. Projekt Open Enclave SDK poskytuje konzistentní rovinu rozhraní API okolo abstrakce pomocí enkláv a podporuje přenositelnost mezi různými typy enkláv a flexibilitu architektury. Vytvářejte přenositelné aplikace v C/C++ s využitím různých typů enkláv.

Osvědčení:

Ověřujte identitu důvěryhodných spouštěcích prostředí a kódu, který se v nich spouští.

Ověřujte identitu kódu, abyste určili, jestli se mají uvolnit tajné klíče. Díky službám ověření je ověřování jednoduché a vysoce dostupné.

Výzkum:

Získejte informace z laboratoří Microsoft Research, které vám pomůžou posílit ochranu kódu enkláv.

Prozkoumejte výzkum nových aplikací pro důvěrné výpočetní operace, techniky posílení ochrany aplikací důvěryhodného spouštěcího prostředí a tipy k prevenci úniku informací z důvěryhodného spouštěcího prostředí.

Vzory použití důvěrných výpočetních operací

Ochrana důvěrnosti a integrity dat

Zajistěte ochranu používaných dat před interními pracovníky se zlými úmysly a oprávněním správce nebo přímý přístupem. Zajistěte ochranu před hackery a malwarem, který zneužívá chyby v operačním systému, aplikaci nebo hypervisoru. Zajistěte ochranu před přístupem třetích stran bez souhlasu.

Příklad: Technologie SQL Server Always Encrypted

S využitím důvěrných výpočetních operací chrání funkce SQL Always Encrypted používaná citlivá data při současném zachování bohatých dotazů a zajišťování místního šifrování.

Vytvoření důvěryhodné sítě

Vybudujte si důvěru v infrastrukturu a aplikaci v síti s nedůvěryhodnými účastníky.

Příklad: Confidential Consortium Framework (CCF)

Confidential Consortium Framework (CCF) vytváří s využitím důvěrných výpočetních operací důvěryhodnou distribuovanou blockchainovou síť. Ta zjednodušuje dosažení konsensu a zpracování transakcí a zajišťuje vysokou propustnost a důvěrnost.

Kombinace několika zdrojů dat

Kombinací několika zdrojů dat můžete podpořit lepší výsledky algoritmů, aniž byste obětovali důvěrnost dat.

Příklad: Zabezpečené strojové učení za účasti více stran

Díky důvěrným výpočetním operacím můžete k lepšímu trénování modelů používat algoritmy strojového učení napříč různými organizacemi, aniž byste účastníkům nebo cloudové platformě odhalili data.

Zabezpečení citlivé IP adresy

V některých případech je vaším citlivým obsahem kód, a ne data. Zajistěte ochranu důvěrnosti a integrity svého kódu, zatímco se používá.

Příklad: Zabezpečené licencování obsahu a ochrana DRM

Využijte důvěrné výpočetní operace k ochraně integrity vaší IP adresy tím, že do důvěryhodných spouštěcích prostředí umístíte licence pro aplikace s povolenou ochranou DRM.

Prozkoumat produkty a výzkum

Chraňte svá data v cloudu před pokročilými bezpečnostními hrozbami. Další informace o dostupných možnostech důvěrných výpočetních operací Azure:

Začněte vytvářet virtuální počítače pro důvěrné výpočetní operace Azure.

Začněte vyvíjet se sadou Open Enclave SDK.