Poufne przetwarzanie na platformie Azure

Ochrona i zabezpieczanie danych w chmurze, gdy są one używane

  • Zabezpieczanie danych przed złośliwymi zagrożeniami i zagrożeniami ze strony pracowników, gdy są one używane
  • Utrzymanie kontroli nad danymi przez cały okres ich istnienia
  • Ochrona i weryfikacja integralności kodu w chmurze
  • Zagwarantowanie, że dane i kod są nieprzezroczyste dla dostawcy platformy w chmurze

Przenoszenie bezpieczeństwa danych na następny poziom za pomocą poufnego przetwarzania

Poufne przetwarzanie na platformie Azure chroni poufność i spójność Twoich danych oraz kodu, gdy są one przetwarzane w chmurze publicznej. Zabezpieczenia w chmurze to podstawa naszej wizji poufnej chmury, która ma na celu usunięcie firmy Microsoft z bazy poufnego przetwarzania (TCB, trusted computing base) platformy Azure.

Co to jest poufne przetwarzanie?

Bezpieczeństwo jest kluczowym czynnikiem przyspieszającym stosowanie przetwarzania w chmurze, ale stanowi poważny problem, gdy przenosisz wyjątkowo wrażliwą własność intelektualną i scenariusze danych do chmury.

Istnieją sposoby zabezpieczenia danych magazynowanych i danych przesyłanych, ale musisz chronić swoje dane przed zagrożeniami w trakcie ich przetwarzania. Teraz możesz to zrobić. Poufne przetwarzanie dodaje nowe możliwości zabezpieczeń danych przy użyciu zaufanych środowisk wykonawczych (TEE, trusted execution environment) lub mechanizmów szyfrowania w celu ochrony Twoich danych, gdy są używane. Środowiska TEE to implementacje sprzętowe lub programowe, które zabezpieczają przetwarzane dane przed dostępem spoza środowiska TEE. Sprzęt zapewnia chroniony kontener, zabezpieczając część procesora i pamięci. Tylko autoryzowany kod może być uruchamiany i uzyskiwać dostęp do danych, więc kod i dane są chronione przed przeglądaniem i modyfikacjami spoza środowiska TEE.

Podstawowe składniki poufnego przetwarzania

Innowacje w dziedzinie sprzętu, oprogramowania i usług powodują, że poufne przetwarzanie na platformie Azure staje się rzeczywistością.

Sprzęt i obliczenia:

Wdrażaj wystąpienia obliczeniowe, które obsługują środowiska TEE, i zarządzaj nimi.

Uzyskaj dostęp do cech i funkcjonalności opartych na sprzęcie w chmurze zanim będą one powszechnie dostępne lokalnie, aby tworzyć i uruchamiać aplikacje oparte na technologii SGX. Seria DC maszyn wirtualnych umożliwia stosowanie najnowszej generacji procesorów Xeon firmy Intel z technologią Intel SGX w chmurze platformy Azure. Za pomocą tych nowych maszyn wirtualnych możesz tworzyć aplikacje, które chronią używane dane i kod.

Tworzenie oprogramowania:

Projektuj zgodnie ze standardową abstrakcją enklawy.

Skorzystaj z tworzenia enklawy i zarządzania nią, typów pierwotnych systemu, obsługi środowiska uruchomieniowego i obsługi biblioteki kryptograficznej. Projekt zestawu SDK Open Enclave udostępnia spójną powierzchnię interfejsu API wokół abstrakcji enklawy, obsługując przenośność między typami enklaw i elastyczność architektury. Twórz przenośne aplikacje w języku C/C++ zgodnie z różnymi typami enklaw.

Zaświadczanie:

Sprawdź tożsamość środowisk TEE i uruchomiony w nich kod.

Zweryfikuj tożsamość kodu, aby ustalić, czy można ujawnić wpisy tajne. Weryfikacja jest prosta i wysoce dostępna za pomocą usług zaświadczania.

Badania:

Uzyskaj szczegółowe informacje z działu Microsoft Research, aby lepiej chronić swój kod enklawy.

Poznaj badania nad nowymi aplikacjami do poufnego przetwarzania, techniki ulepszania ochrony aplikacji TEE i wskazówki służące zapobieganiu wyciekom informacji poza środowisko TEE.

Aby uzyskać więcej informacji na ten temat, zobacz Poufne przetwarzanie na platformie Azure.

Wzorce aplikacji do poufnego przetwarzania

Ochrona poufności i spójności danych

Chroń używane dane przed złośliwymi pracownikami firmy z uprawnieniem administratora lub bezpośrednim dostępem. Zabezpiecz się przed hakerami i złośliwym oprogramowaniem, które wykorzystuje usterki w systemie operacyjnym, aplikacji lub funkcji hypervisor. Chroń się przed dostępem innej osoby bez wcześniejszej zgody.

Przykład: Technologia SQL Server Always Encrypted

Dzięki używaniu poufnego przetwarzania usługa SQL Always Encrypted chroni używane wrażliwe dane, jednocześnie chroniąc zaawansowane zapytania i zapewniając lokalne szyfrowanie.

Tworzenie zaufanej sieci

Twórz zaufanie w infrastrukturze i aplikacji sieci za pomocą niezaufanych uczestników.

Przykład: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Łączenie wielu źródeł danych

Połącz wiele źródeł danych, aby osiągnąć lepszy wynik algorytmiczny bez poświęcania poufności danych.

Przykład: Bezpieczne uczenie maszynowe dla wielu użytkowników

Za pomocą poufnego przetwarzania możesz użyć algorytmów uczenia maszynowego w różnych organizacjach, aby lepiej nauczyć modele, bez ujawniania danych uczestnikom ani platformie w chmurze.

Zabezpieczanie wrażliwej własności intelektualnej

W niektórych przypadkach Twoja wrażliwa zawartość to kod, a nie dane. Chroń poufność i integralność swojego kodu, gdy jest używany.

Przykład: Licencjonowanie zabezpieczonej zawartości i ochrona DRM

Chroń integralność swojej własności intelektualnej za pomocą poufnego przetwarzania, umieszczając licencje w środowiskach TEE dla aplikacji obsługujących zarządzanie prawami cyfrowymi (DRM, digital rights management).

Informacje o produktach i badaniach

Chroń swoje dane w chmurze przed zaawansowanymi zagrożeniami zabezpieczeń. Dowiedz się więcej o dostępnych opcjach poufnego przetwarzania na platformie Azure:

Rozpocznij tworzenie maszyn wirtualnych do poufnego przetwarzania na platformie Azure.

Zacznij programować za pomocą zestawu SDK Open Enclave.