Poufne przetwarzanie na platformie Azure

Ochrona i zabezpieczanie danych w chmurze, gdy są one używane

  • Zabezpieczanie danych przed złośliwymi zagrożeniami i zagrożeniami ze strony pracowników, gdy są one używane
  • Utrzymanie kontroli nad danymi przez cały okres ich istnienia
  • Ochrona i weryfikacja integralności kodu w chmurze
  • Zagwarantowanie, że dane i kod są nieprzezroczyste dla dostawcy platformy w chmurze

Przenoszenie bezpieczeństwa danych na następny poziom za pomocą poufnego przetwarzania

Poufne przetwarzanie na platformie Azure chroni poufność i spójność Twoich danych oraz kodu, gdy są one przetwarzane w chmurze publicznej. Zabezpieczenia w chmurze to podstawa naszej wizji poufnej chmury, która ma na celu usunięcie firmy Microsoft z bazy poufnego przetwarzania (TCB, trusted computing base) platformy Azure.

Co to jest poufne przetwarzanie?

Bezpieczeństwo jest kluczowym czynnikiem przyspieszającym stosowanie przetwarzania w chmurze, ale stanowi poważny problem, gdy przenosisz wyjątkowo wrażliwą własność intelektualną i scenariusze danych do chmury.

Istnieją sposoby zabezpieczenia danych magazynowanych i danych przesyłanych, ale musisz chronić swoje dane przed zagrożeniami w trakcie ich przetwarzania. Teraz możesz to zrobić. Poufne przetwarzanie dodaje nowe możliwości zabezpieczeń danych przy użyciu zaufanych środowisk wykonawczych (TEE, trusted execution environment) lub mechanizmów szyfrowania w celu ochrony Twoich danych, gdy są używane. Środowiska TEE to implementacje sprzętowe lub programowe, które zabezpieczają przetwarzane dane przed dostępem spoza środowiska TEE. Sprzęt zapewnia chroniony kontener, zabezpieczając część procesora i pamięci. Tylko autoryzowany kod może być uruchamiany i uzyskiwać dostęp do danych, więc kod i dane są chronione przed przeglądaniem i modyfikacjami spoza środowiska TEE.

Podstawowe składniki poufnego przetwarzania

Innowacje w dziedzinie sprzętu, oprogramowania i usług powodują, że poufne przetwarzanie na platformie Azure staje się rzeczywistością.

Sprzęt i obliczenia:

Wdrażaj wystąpienia obliczeniowe, które obsługują środowiska TEE, i zarządzaj nimi.

Uzyskaj dostęp do cech i funkcjonalności opartych na sprzęcie w chmurze zanim będą one powszechnie dostępne lokalnie, aby tworzyć i uruchamiać aplikacje oparte na technologii SGX. Seria DC maszyn wirtualnych umożliwia stosowanie najnowszej generacji procesorów Xeon firmy Intel z technologią Intel SGX w chmurze platformy Azure. Za pomocą tych nowych maszyn wirtualnych możesz tworzyć aplikacje, które chronią używane dane i kod.

Tworzenie oprogramowania:

Projektuj zgodnie ze standardową abstrakcją enklawy.

Skorzystaj z tworzenia enklawy i zarządzania nią, typów pierwotnych systemu, obsługi środowiska uruchomieniowego i obsługi biblioteki kryptograficznej. Projekt zestawu SDK Open Enclave udostępnia spójną powierzchnię interfejsu API wokół abstrakcji enklawy, obsługując przenośność między typami enklaw i elastyczność architektury. Twórz przenośne aplikacje w języku C/C++ zgodnie z różnymi typami enklaw.

Zaświadczanie:

Sprawdź tożsamość środowisk TEE i uruchomiony w nich kod.

Zweryfikuj tożsamość kodu, aby ustalić, czy można ujawnić wpisy tajne. Weryfikacja jest prosta i wysoce dostępna za pomocą usług zaświadczania.

Badania:

Uzyskaj szczegółowe informacje z działu Microsoft Research, aby lepiej chronić swój kod enklawy.

Poznaj badania nad nowymi aplikacjami do poufnego przetwarzania, techniki ulepszania ochrony aplikacji TEE i wskazówki służące zapobieganiu wyciekom informacji poza środowisko TEE.

Aby uzyskać więcej informacji na ten temat, zobacz Poufne przetwarzanie na platformie Azure.

Wzorce aplikacji do poufnego przetwarzania

Ochrona poufności i spójności danych

Chroń używane dane przed złośliwymi pracownikami firmy z uprawnieniem administratora lub bezpośrednim dostępem. Zabezpiecz się przed hakerami i złośliwym oprogramowaniem, które wykorzystuje usterki w systemie operacyjnym, aplikacji lub funkcji hypervisor. Chroń się przed dostępem innej osoby bez wcześniejszej zgody.

Przykład: Technologia SQL Server Always Encrypted

Dzięki używaniu poufnego przetwarzania usługa SQL Always Encrypted chroni używane wrażliwe dane, jednocześnie chroniąc zaawansowane zapytania i zapewniając lokalne szyfrowanie.

Tworzenie zaufanej sieci

Twórz zaufanie w infrastrukturze i aplikacji sieci za pomocą niezaufanych uczestników.

Przykład: Confidential Consortium Framework (CCF)

Dzięki użyciu poufnego przetwarzania platforma Confidential Consortium Framework (CCF) tworzy zaufaną rozproszoną sieć łańcucha bloków. Upraszcza to uzyskiwanie konsensusu i przetwarzanie transakcyjne w celu zapewnienia wysokiej przepływności i poufności.

Łączenie wielu źródeł danych

Połącz wiele źródeł danych, aby osiągnąć lepszy wynik algorytmiczny bez poświęcania poufności danych.

Przykład: Bezpieczne uczenie maszynowe dla wielu użytkowników

Za pomocą poufnego przetwarzania możesz użyć algorytmów uczenia maszynowego w różnych organizacjach, aby lepiej nauczyć modele, bez ujawniania danych uczestnikom ani platformie w chmurze.

Zabezpieczanie wrażliwej własności intelektualnej

W niektórych przypadkach Twoja wrażliwa zawartość to kod, a nie dane. Chroń poufność i integralność swojego kodu, gdy jest używany.

Przykład: Licencjonowanie zabezpieczonej zawartości i ochrona DRM

Chroń integralność swojej własności intelektualnej za pomocą poufnego przetwarzania, umieszczając licencje w środowiskach TEE dla aplikacji obsługujących zarządzanie prawami cyfrowymi (DRM, digital rights management).

Informacje o produktach i badaniach

Chroń swoje dane w chmurze przed zaawansowanymi zagrożeniami zabezpieczeń. Dowiedz się więcej o dostępnych opcjach poufnego przetwarzania na platformie Azure:

Rozpocznij tworzenie maszyn wirtualnych do poufnego przetwarzania na platformie Azure.

Zacznij programować za pomocą zestawu SDK Open Enclave.