Azure-konfidensiell databehandling

Beskytt og sikre skydataene dine mens de er i bruk

  • Beskytte data fra skadelige og insider-trusler mens de er i bruk
  • Opprettholde kontroll over data i løpet av deres levetid
  • Beskytte og bekrefte integriteten til kode i skyen
  • Påse at data og kode er ugjennomsiktige for skyplattformleverandøren

Ta datasikkerhet til neste nivå med konfidensiell databehandling

Azure-konfidensiell databehandling beskytter konfidensialiteten og integriteten til dataen dine og koden din mens de behandles i den offentlige skyen. Skysikkerhet er hjørnesteinen til vår visjon om en konfidensiell sky, som har som formål å fjerne Microsoft fra den klarerte databehandlingsbasen (TCB) til Azure.

Hva er konfidensiell databehandling?

Sikkerhet er en avgjørende faktor for å få fart på og bruke skydatabehandling, men det er også en stor bekymring når du flytter veldig sensitiv intellektuell eiendom og datascenarioer til skyen.

Det finnes metoder for å sikre data under lagring og overføring, men du må beskytte data mot trusler når de blir behandlet. Nå kan du gjøre det. Konfidensiell databehandling legger til nye datasikkerhetsegenskaper ved hjelp av klarerte kjøremiljøer (TEE-er) eller krypteringsmekanismer for å beskytte dataene dine mens de er i bruk. TEE-er er maskinvare- eller programvareimplementeringer som beskytter data som behandles mot tilgang utenfor TEE-en. Maskinvaren leverer en beskyttet beholder ved å sikre en del av prosessoren og minnet. Bare autorisert kode tillates å kjøre og få tilgang til data, så koden og dataene beskyttes mot visning og endring utenfor TEE.

Kjernekomponenter for konfidensiell databehandling

Innovasjon på tvers av maskinvare, programvare og tjenester gjøre Azure-konfidensiell databehandling til en realitet.

Maskinvare og databehandling:

Distribuer og administrer databehandlingsinstanser som er aktivert med TEE-er.

Få tilgang til maskinvarebaserte funksjoner og funksjonalitet i skyen før den er bredt tilgjengelig lokalt for å kompilere og kjøre SGX-drevne programmer. DC-serien av virtuelle maskiner leverer den siste generasjonen av Intel Xenon-prosessorer med Intel SGX-teknologi til Azure-skyen. Bruk disse nye virtuelle maskinene for å kompilere programmer som beskytter data og koden som er i bruk.

Utvikling:

Utvikle mot en standard enklaveabstraksjon.

Ta fordel av enklaveopprettelse og -behandling, systemprimitiver, kjøretidstøtte og kryptografisk bibliotekstøtte. Open Enclave SDK-prosjektet gir en konsistent API-overflate rundt en enklaveabstraksjon som støtter bærbarhet på tvers av enklavetyper og fleksibilitet i arkitektur. Utvikle bærbare C/C++-programmer mot forskjellige enklavetyper.

Attestering:

Bekreft identiteten til TEE-er og koden som kjører i dem.

Kontroller kodeidentiteten for å avgjøre om hemmeligheter skal frigjøres. Kontrollen er enkel og veldig tilgjengelig med attesteringstjenester.

Forskning:

Få innsikt fra Microsoft Research for å forsterke enklavekoden din.

Se nærmere på forskning på nye programmer for konfidensiell databehandling, teknikker for å forsterke TEE-programmer og tips om hvordan du unngår informasjonslekkasjer utenfor TEE.

Programmønstre for konfidensiell databehandling

Beskytt datakonfidensialitet og -integritet

Beskytt data i bruk fra skadelige insidere med administratorrettigheter eller direkte tilgang. Beskytt mot hackere og skadevare som utnytter feil i operativsystemet, programmet eller hypervisoren. Beskytt mot tredjepartstilgang uten tillatelse.

Eksempel: SQL Server Always Encrypted-teknologi

Med bruken av konfidensiell databehandling, beskytter SQL Always Encrypted sensitive data som er i bruk samtidig som omfattende spørringer og kryptering opprettholdes.

Opprett et klarert nettverk

Opprett tillit i infrastrukturer og programmet i et nettverk med uklarerte deltakere.

Eksempel: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Kombiner flere datakilder

Kombiner flere datakilder for å støtte bedre algoritmeresultater, uten å måtte ofre datakonfidensialiteten.

Eksempel: Sikre maskinlæring med flere deltakere

Med konfidensiell databehandling kan du bruke maskinlæringsalgoritmer på tvers av flere organisasjoner for å bedre kunne lære opp modeller, uten og vise data til deltakere eller skyplattformen.

Sikre sensitiv intellektuell eiendom

I noen tilfeller er det sensitive innholdet ditt koden, og ikke dataene. Beskytt konfidensialiteten og integriteten til koden din mens den er i bruk.

Eksempel: Sikret innholdslisensiering og DRM-beskyttelse

Beskytt integriteten til din intellektuelle eiendom med konfidensiell databehandling ved å plassere lisenser i TEE-er for DRM-aktiverte programmer.

Se nærmere på produkter og forskning

Beskytt skydataene dine mot avansert sikkerhetstrusler. Lær mer om tilgjengelige Azure-konfidensielle databehandlingsalternativer:

Begynn opprettelsen av virtuelle Azure-maskiner for konfidensiell databehandling.

Begynn utviklingen med Open Enclave SDK.