Fortrolig databehandling i Azure

Beskyt dine clouddata, mens de er i brug

  • Beskytte data mod skadelige trusler og interne trusler, mens de er i brug.
  • Bevare kontrollen over data i hele deres levetid.
  • Beskytte og validere integriteten af kode i clouden.
  • Sørge for at data og kode er uigennemsigtige for cloudplatformudbyderen.

Bringe datasikkerheden op på et nyt niveau med fortrolig databehandling.

Med Azures fortrolige databehandling beskyttes fortroligheden og integriteten af dine data og din kode, mens de behandles i den offentlige cloud. Cloudsikkerhed er hjørnestenen i vores vision om en fortrolig cloud, som har til mål at fjerne Microsoft fra basis af fortrolig databehandling i Azure.

Hvad er fortrolig databehandling?

Sikkerhed er vigtigt for at sætte fart i brugen af cloud computing, men det er også en stor bekymring, når du flytter følsomme ejendomme og datascenarier til clouden.

Der findes metoder til at beskytte inaktive data og under overførsel, men du skal beskytte dine data mod trusler, mens de behandles. Og det kan du nu. Fortrolig databehandling tilføjer nye sikkerhedsfunktioner ved hjælp af TEE'er (trusted execution environments) eller krypteringsmekanismer, som beskytter dine data, mens de er i brug. TEE'er er hardware- eller softwareimplementeringer, der beskytter data mod at blive behandlet uden for TEE'en. Hardwaren giver en beskyttet objektbeholder ved at beskytte en del af processoren og hukommelsen. Det er kun godkendt kode, der kan få adgang til at køre og få adgang til data, så kode og data er beskyttet mod visning og ændring fra andre steder end i TEE'en.

Kernekomponenterne til fortrolig databehandling

Innovation på tværs af hardware, software og tjenester gør fortrolig databehandling i Azure til en realitet.

Hardware og beregning:

Udrul og administrer beregningsinstanser, der er aktiveret med TEE'er.

Få adgang til hardwarebaserede funktioner i clouden, før de bliver gjort tilgængelige i det lokale miljø for at bygge og køre SGX-drevne programmer. DC-serien af virtuelle maskiner (VM'er) giver mulighed for den nyeste generation af Intel Xeon-processorer med Intel SGX-teknologi til Azure-cloudmiljøet. Brug disse nye VM'er til at bygge programmer, der beskytter data og kode i brug.

Udvikling:

Udvikle efter en standardenklaveabstraktion.

Få fordel af oprettelsen af en enklave og administration, systemprimitiver, support på kørselstidspunktet og understøttelse af et kryptografisk bibliotek. Open Enclave SDK-projektet giver en ensartet API-overflade om en enklaveabstraktion, der understøtter portabilitet på tværs af enklavetyper og fleksibilitet i arkitekturen. Byg portable C/C++-programmer mod forskellige enklavetyper.

Attestation:

Bekræft identiteten af TEE'er og den kode, der kører i dem.

Valider kodeidentiteten for at fastslå, om der skal frigives hemmeligheder. Bekræftelsen er simpel og yderst tilgængelig med attestationstjenester.

Forskning:

Få viden fra Microsoft Research for at styrke din enklavekode.

Gå i dybden med forskningen i nye programmer til fortrolig databehandling, teknikker til at styrke TEE-programmer og tip til at forhindre, at oplysninger lækkes uden for TEE.

Programmønstrene i fortrolig databehandling

Beskyt dataenes fortrolighed og integritet

Beskyt data mod skadelige interne aktiviteter med administratorrettigheder eller direkte adgang. Beskyt mod hackere og malware, der udnytter fejl i operativsystem, program eller hypervisor. Beskyt mod tredjeparters adgang uden samtykke.

Eksempel: SQL Server Always Encrypted-teknologi

Med brugen af fortrolig databehandling vil SQL Always Encrypted beskytte følsomme data, mens de er i brug, så du stadig kan bruge avancerede forespørgsler og bruge kryptering på stedet.

Opret et netværk, der er tillid til

Indbyg tillid i infrastrukturen og programmerne for et netværk med deltagere, der ikke er tillid til.

Eksempel: CCF (Confidential Consortium Framework)

Med brugen af fortrolig databehandling vil CCF (Confidential Consortium Framework) oprette et distribueret blokkædenetværk, der er tillid til. Dette forenkler samstemmigheden og transaktionsbehandlingen for højt gennemløb og fortrolighed.

Kombiner flere datakilder

Kombiner flere datakilder for at understøtte bedre algoritmeresultater uden at gå på kompromis med fortroligheden af data.

Eksempel: Beskyt maskinel indlæring med flere deltagere

Med fortrolig databehandling kan du bruge algoritmer til maskinel indlæring på tværs af organisationer for at træne modeller bedre uden at afsløre data til deltagerne eller cloudplatformen.

Beskyt følsom ejendom

I nogle tilfælde er dit fortrolige indhold koden og ikke dataene. Beskyt fortroligheden og integriteten af din kode, mens den er i brug.

Eksempel: Licenser til beskyttet indhold og DRM-beskyttelse

Beskyt integriteten af din ejendom med fortrolig databehandling ved at placere licenser i TEE'er for DRM-understøttede programmer.

Udforsk produkter og forskning.

Beskyt dine clouddata mod avancerede sikkerhedstrusler. Få mere at vide om tilgængelige muligheder med fortrolig databehandling i Azure:

Start med at oprette Azure VM'er til fortrolig databehandling.

Begynd at udvikle med Open Enclave SDK.