Azure confidential computing

Uw cloudgegevens beschermen en beveiligen op het moment dat ze worden gebruikt

  • Gegevens beveiligen tegen schadelijke en interne dreigingen op het moment dat ze worden gebruikt
  • De controle over de gegevens behouden gedurende de levensduur
  • De integriteit van code in de cloud beschermen en valideren
  • Ervoor zorgen dat de gegevens en code ondoorzichtig zijn voor de provider van het cloudplatform

Uw gegevensbeveiliging naar een hoger plan tillen met confidential computing

Azure confidential computing beschermt de vertrouwelijkheid en integriteit van uw gegevens en code op het moment dat ze worden verwerkt in de openbare cloud. Cloudbeveiliging is de hoeksteen van onze visie op een vertrouwelijke cloud, met als doel om Microsoft uit de TCB (Trusted Computing Base) van Azure te verwijderen.

Wat is confidential computing?

De beveiliging speelt een belangrijke rol bij een versnelde invoering van cloudcomputing, maar is ook een grote zorg wanneer u extreem gevoelige IP- en gegevensscenario's naar de cloud verplaatst.

Er zijn manieren om data-at-rest en data-in-transit te beveiligen, maar u moet uw gegevens beveiligen tegen bedreigingen op het moment dat ze worden verwerkt. Dat behoort nu tot de mogelijkheden. Met confidential computing beschikt u over nieuwe mogelijkheden om uw gegevens te beveiligen, waarbij gebruik wordt gemaakt TEE's (Trusted Execution Environments; vertrouwde uitvoeringsomgevingen) of versleutelingsmechanismen om uw gegevens te beveiligen wanneer deze worden gebruikt. TEE's zijn hardware- of software-implementaties die ervoor zorgen dat de gegevens die worden verwerkt, niet toegankelijk zijn van buiten de TEE. De hardware biedt een beveiligde container door een gedeelte van de processor en het geheugen te beveiligen. De gegevens kunnen alleen worden uitgevoerd door en zijn alleen toegankelijk voor geautoriseerde code, zodat de code en gegevens niet van buiten de TEE kunnen worden weergegeven of gewijzigd.

Kernonderdelen van confidential computing

Azure confidential computing is tot stand gekomen door verschillende innovaties op het gebied van hardware, software en services.

Hardware en berekenen:

Implementeer en beheer rekeninstanties die zijn voorzien van TEE's.

Krijg toegang tot hardwarefuncties en functionaliteit in de cloud voordat ze algemeen beschikbaar worden on-premises om SGX-toepassingen te bouwen en uit te voeren. De virtuele machines uit de DC-serie (VM's) brengen de nieuwste generatie Intel Xeon-processoren met Intel SGX-technologie naar de Azure-cloud. Gebruik deze nieuwe VM's om toepassingen te bouwen die de gegevens en code beveiligen op het moment dat ze worden gebruikt.

Ontwikkeling:

Ontwikkel voor een standaard enclavingabstractie.

Profiteer van de mogelijkheid om enclaven te maken en te beheren, systeemprimitieven, runtime-ondersteuning en ondersteuning van een cryptografische bibliotheek. Het Open Enclave SDK-project biedt een consistente API-surface rond een enclavingabstractie en biedt ondersteuning voor overdraagbaarheid tussen verschillende typen enclaven en flexibiliteit in de architectuur. Bouw portable C/C++-toepassingen voor verschillende typen enclaven.

Attestation:

Verifieer de identiteit van de TEE's en de code die binnen de TEE's wordt uitgevoerd.

Valideer de code-id om te bepalen of er geheimen worden vrijgegeven. De verificatie is eenvoudig en maximaal beschikbaar dankzij de attestation-services.

Research:

Verwerf inzichten met Microsoft Research voor de hardening van uw enclavecode.

Verken het onderzoek naar nieuwe toepassingen voor confidential computing, technieken voor de hardening van TEE-toepassingen en tips om informatielekken buiten de TEE te voorkomen.

Toepassingspatronen van confidential computing

De vertrouwelijkheid en integriteit van gegevens beschermen

Beveilig gegevens die worden gebruikt tegen kwaadwillende insiders met administratorbevoegdheden of directe toegang. Beveiliging tegen hackers en malware die misbruik maken van fouten in het besturingssysteem, de toepassing of de hypervisor. Bescherming tegen ongeoorloofde toegang van derden.

Voorbeeld: SQL Server Always Encrypted-technologie

Met behulp van confidential computing beschermt SQL Always Encrypted gevoelige gegevens die worden gebruikt, terwijl de uitgebreide query's gehandhaafd blijven en in-place versleuteling wordt geboden.

Een vertrouwd netwerk maken

Kweek vertrouwen in de infrastructuur en toepassing van een netwerk met niet-vertrouwde deelnemers.

Voorbeeld: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Meerdere gegevensbronnen combineren

Combineer meerdere gegevensbronnen om de algoritmische resultaten te verbeteren zonder dat dit ten koste gaat van de vertrouwelijkheid van de gegevens.

Voorbeeld: Machine Learning met meerder partijen beveiligen

Met confidential computing kunt u Machine Learning-algoritmen voor verschillende organisaties gebruiken om modellen beter te trainen, zonder dat u gegevens aan deelnemers of het cloudplatform prijsgeeft.

Gevoelige IP beveiligen

In sommige gevallen bestaat de gevoelige inhoud uit uw code en niet de gegevens. Bescherm de vertrouwelijkheid en integriteit van uw code wanneer deze wordt gebruikt.

Voorbeeld: Licentieverlening voor beveiligde inhoud en DRM-beveiliging

Bescherm de integriteit van uw IP met confidential computing door licenties in TEE's te plaatsen voor toepassingen die geschikt zijn voor DRM.

Producten verkennen en onderzoek doen

Bescherm uw cloudgegevens tegen geavanceerde beveiligingsrisico's. Meer informatie over opties voor Azure confidential computing:

Begin met het maken van Azure VM's met confidential computing.

Begin te ontwikkelen met Open Enclave SDK.