Azure Confidential Computing

使用中のクラウド データを安全に保護

  • 悪意のある脅威や内部関係者の脅威から使用中のデータを守る
  • 有効期間を通してデータを制御し続ける
  • クラウドでコードの整合性を保護して検証する
  • クラウド プラットフォーム プロバイダーに対するデータとコードの非透過性を確保する

Confidential Computing を使用してデータ セキュリティを一段上のレベルに

Azure Confidential Computing では、パブリック クラウドで処理中のデータおよびコードの機密性と整合性を保護できます。クラウド セキュリティは Microsoft の "機密性に優れたクラウド" ビジョンの基盤です。このビジョンでは、Azure の信頼できるコンピューティング ベース (TCB) に対する Microsoft の干渉をなくすことを狙いとしています。

Confidential Computing とは

セキュリティは、クラウド コンピューティングの導入を後押しする主たる要因ですが、非常に機密性の高い IP とデータをクラウドに移行する際には、大きな懸念事項にもなります。

保存データと転送中のデータをセキュリティで保護する方法はあるものの、処理中のデータを脅威から保護する必要があります。今ならそれが可能です。Confidential Computing には、信頼できる実行環境 (TEE) または暗号化メカニズムを使用して使用中のデータを保護できる、新しいデータ セキュリティ機能が備わっています。TEE は、処理中のデータに対する TEE 外部からのアクセスを防ぐハードウェア実装またはソフトウェア実装です。ハードウェアによって一部のプロセッサとメモリがセキュリティで保護されることで、コンテナーの保護が実現します。実行とデータへのアクセスが許されるのは承認されたコードだけなので、コードとデータは TEE の外部から表示したり変更したりすることができません。

Confidential Computing のコア コンポーネント

Azure Confidential Computing を実現しているのは、ハードウェア、ソフトウェア、サービスの全体にわたるイノベーションです。

ハードウェアとコンピューティング:

TEE で有効なコンピューティング インスタンスをデプロイして管理できます。

オンプレミスで幅広く利用できるようになる前にクラウドでハードウェアベースの機能にアクセスして、SGX が利用されるアプリケーションの作成と実行を行えます。DC シリーズの仮想マシン (VM) を導入すれば、Intel SGX テクノロジを搭載した最新世代の Intel Xeon プロセッサを Azure クラウドで利用できるようになります。これらの新しい VM を使用して、使用中のデータとコードが保護されるアプリケーションを作成できます。

開発:

標準のエンクレーブ抽象化に対応した開発を行えます。

エンクレーブの作成および管理、システム プリミティブ、ランタイム サポート、暗号化ライブラリ サポートをご利用いただけます。Open Enclave SDK プロジェクトでは、エンクレーブ抽象化に関して一貫した API サーフェスが提供され、種類の異なるエンクレーブにおける移植性とアーキテクチャにおける柔軟性がサポートされます。種類の異なるエンクレーブで移植可能な C/C++ アプリケーションを作成できます。

構成証明:

TEE の ID と TEE 内で実行されるコードを確認できます。

シークレットを開示するかどうかを判断するために、コード ID を検証することができます。構成証明サービスによる確認はシンプルで広く利用可能です。

研究:

Microsoft Research から分析情報を得てエンクレーブ コードを強化しましょう。

Confidential Computing の新しいアプリケーションに関する研究、TEE アプリケーションを強化する技術、TEE 外部への情報漏洩を防ぐためのヒントをお探しいただけます。

Azure Confidential Computing の詳細をお読みください。

Confidential Computing のアプリケーション パターン

データの機密性と整合性を保護

管理特権または直接アクセス権を持つ悪意のある内部関係者から、使用中のデータを守ります。オペレーティング システム、アプリケーション、またはハイパーバイザーのバグにつけ込むハッカーとマルウェアから保護できます。承認されていない第三者によるアクセスを防ぐことができます。

例: SQL Server Always Encrypted テクノロジ

Confidential Computing を使用すれば、SQL Always Encrypted によって豊富なクエリを保持してインプレース暗号化を実行しながら、使用中の機密データを保護できます。

信頼性の高いネットワークを作成

信頼されていない参加者が存在するネットワークのインフラストラクチャとアプリケーションで信頼を構築できます。

例: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

複数のデータ ソースを併用

複数のデータ ソースを併用して、データの機密性を損なうことなく、アルゴリズムの結果を改善させることができます。

例: マルチパーティ機械学習をセキュリティで保護

Confidential Computing では、異なる組織にまたがって機械学習アルゴリズムを使用して、モデルをより効果的にトレーニングできます。その際、参加者またはクラウド プラットフォームにデータが公開されることはありません。

機密性の高い IP をセキュリティで保護

場合によっては、機密性の高いコンテンツはデータではなくコードです。使用中のコードの機密性と整合性を保護できます。

例: コンテンツ ライセンスのセキュリティ保護と DRM 保護

Confidential Computing では、DRM 対応アプリケーションのライセンスを TEE 内に配置することで、お客様の IP の整合性を保護できます。

製品と研究を確認

高度なセキュリティの脅威からお客様のクラウド データを保護できます。Azure Confidential Computing で利用できるオプションについて詳しくご覧ください。

Azure Confidential Computing VM の作成を開始できます。

Open Enclave SDK を使用して開発を開始できます。