Azure Confidential Computing

Clouddaten während der Nutzung schützen

  • Schutz von Daten vor bösartigen Bedrohungen und Bedrohungen von innen während deren Verwendung
  • Kontrolle über Daten während ihrer gesamten Lebensdauer
  • Schutz und Überprüfung der Integrität von Code in der Cloud
  • Sicherstellen, dass Daten und Code für den Cloudplattformanbieter opak sind

Höhere Datensicherheit durch Confidential Computing

Azure Confidential Computing schützt die Vertraulichkeit und Integrität Ihrer Daten und Codes, wenn diese in der Public Cloud verarbeitet werden. Cloudsicherheit stellt einen Eckpfeiler unserer Vision von einer vertraulichen Cloud dar, die darauf abzielt, Microsoft aus der Trusted Computing Base (TCB) von Azure zu entfernen.

Was ist Confidential Computing?

Sicherheit ist ein wichtiger Faktor, der die Verbreitung von Cloud Computing beschleunigt. Es stellt auch ein großes Risiko dar, wenn Sie äußerst sensible IP-Adressen und Daten in die Cloud migrieren.

Für ruhende Daten und in Übertragung begriffene Daten bestehen verschiedene Möglichkeiten zum Schutz, Ihre Daten müssen jedoch auch während der Verarbeitung vor Bedrohungen geschützt werden. Dies ist ab sofort kein Problem mehr. Confidential Computing bietet zusätzliche Funktionen für die Datensicherheit, die auf vertrauenswürdigen Ausführungsumgebungen (Trusted Execution Environments, TEEs) oder Verschlüsselungsmechanismen zum Schutz Ihrer Daten während der Nutzung basieren. Bei TEEs handelt es sich um Hardware- oder Softwareimplementierungen, die die zu verarbeitenden Daten vor Zugriffen außerhalb der TEE schützen. Die Hardware stellt einen geschützten Container bereit und schützt so einen Teil des Prozessors und des Speichers. Für die Ausführung und den Zugriff auf Daten bedarf es dann eines autorisierten Codes. Auf diese Weise werden Codes und Daten vor Einsicht und Manipulation von außerhalb der TEE geschützt.

Kernkomponenten von Confidential Computing

Innovationen für Hardware, Software und Dienste lassen Azure Confidential Computing zur Wirklichkeit werden.

Hardware und Computing:

Stellen Sie Computeinstanzen bereit, auf denen TEEs ausgeführt werden können, und verwalten Sie diese.

Erhalten Sie Zugriff auf hardwarebasierte Features und Funktionen in der Cloud, bevor sie lokal zur Erstellung und Ausführung von SGX-basierten Anwendungen allgemein verfügbar sind. Die DC-Serie virtueller Computer (VMs) unterstützt die neueste Generation von Intel Xeon-Prozessoren mit Intel SGX-Technologie in der Azure-Cloud. Verwenden Sie diese neuen VMs, um Anwendungen zu erstellen, die die verwendeten Daten und Codes schützen.

Entwicklung:

Führen Sie Entwicklungsarbeiten anhand einer standardmäßigen Enclave-Abstraktion durch.

Nutzen Sie die Vorteile der Erstellung und Verwaltung mit Enclave, Systemprimitiven, Laufzeitunterstützung und der Unterstützung für kryptographische Bibliotheken. Das Open Enclave SDK-Projekt bietet eine konsistente API-Oberfläche um eine Enclave-Abstraktion herum und unterstützt die Portabilität über Enclave-Typen hinweg sowie die Flexibilität in der Architektur. Erstellen Sie portable C/C++-Anwendungen für verschiedene Enclave-Typen.

Nachweis:

Überprüfen Sie die Identität von TEEs und den darin ausgeführten Code.

Überprüfen Sie die Codeidentität, um festzustellen, ob Geheimnisse freigegeben werden sollen. Die Überprüfung ist durch Nachweisdienste einfach und hochverfügbar.

Research:

Gewinnen Sie Einblicke in die Erkenntnisse von Microsoft Research, um Ihren Enclave-Code festzuschreiben.

Erhalten Sie Einblick in die Erkenntnisse zu neuen Anwendungen für Confidential Computing, Methoden zum Festschreiben von TEE-Anwendungen und Tipps zur Vermeidung von Informationslecks außerhalb der TEE.

Erfahren Sie mehr über Azure Confidential Computing.

Anwendungsmuster von Confidential Computing

Vertraulichkeit und Integrität von Daten schützen

Schützen Sie in Gebrauch befindliche Daten vor böswilligen Insiderangriffen mit Administratorrechten oder direktem Zugriff. Schützen Sie sich vor Hackern und Schadsoftware, die Sicherheitslücken im Betriebssystem, in der Anwendung oder im Hypervisor ausnutzen. Schützen Sie sich vor unbefugtem Zugriff durch Dritte.

Beispiel: SQL Server Always Encrypted-Technologie

Unter Verwendung von Confidential Computing schützt SQL Server Always Encrypted sensible in Gebrauch befindliche Daten, während weiterhin umfassende Abfragen möglich sind und lokale Verschlüsselung bereitgestellt wird.

Vertrauenswürdiges Netzwerk erstellen

Schaffen Sie Vertrauen in die Infrastruktur und die Anwendung eines Netzwerks mit Teilnehmern, die nicht vertrauenswürdig sind.

Beispiel: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Mehrere Datenquellen kombinieren

Kombinieren Sie mehrere Datenquellen, um ein besseres algorithmisches Ergebnis zu erzielen, ohne die Vertraulichkeit der Daten zu beeinträchtigen.

Beispiel: Machine Learning zwischen mehreren Parteien schützen

Bei Confidential Computing können Sie Machine Learning-Algorithmen in verschiedenen Organisationen verwenden, um Modelle besser zu trainieren, ohne Daten gegenüber Teilnehmern oder der Cloudplattform offenzulegen.

Schutz von IP-Adressen mit sensiblen Daten

In einigen Fällen stellt Ihr Code den sensiblen Inhalt dar und nicht die Daten. Schützen Sie die Vertraulichkeit und Integrität Ihres Codes während der Nutzung.

Beispiel: Geschützte Inhaltslizenzierung und DRM-Schutz

Schützen Sie die Integrität Ihrer IP-Adresse durch Confidential Computing, indem Sie Lizenzen in TEEs für DRM-fähige Anwendungen einfügen.

Produkte und Erkenntnisse erkunden

Schützen Sie Ihre Clouddaten vor komplexen Sicherheitsbedrohungen. Erfahren Sie mehr über die verfügbaren Azure Confidential Computing-Optionen:

Beginnen Sie mit der Erstellung von VMs für Azure Confidential Computing.

Beginnen Sie mit der Entwicklung mit dem Open Enclave SDK.