Computação confidencial do Azure

Proteja seus dados na nuvem enquanto estiverem em uso

  • Proteger dados contra ameaças internas e mal-intencionadas enquanto eles estiverem em uso
  • Manter o controle dos dados durante todo seu tempo de vida
  • Proteger e validar a integridade do código na nuvem
  • Garantir que os dados e o código sejam opacos para o provedor da plataforma de nuvem

Elevar a segurança de dados a um novo patamar com computação confidencial

A computação confidencial do Azure protege a confiabilidade e a integridade dos seus dados e código enquanto eles são processados na nuvem pública. A segurança da nuvem é a base da nossa visão de nuvem confidencial, que tem como objetivo remover a Microsoft da TCB (base de computação confiável) do Azure.

O que é computação confidencial?

A segurança é um importante fator para acelerar a adoção da computação em nuvem, mas também é uma grande preocupação quando você está movendo cenários de dados e IP extremamente confidenciais para a nuvem.

Há maneiras de proteger dados em repouso e em trânsito, mas você precisa proteger seus dados contra ameaças conforme eles estão sendo processados. Agora você pode. A computação confidencial adiciona novas funcionalidades de segurança de dados usando TEEs (ambientes de execução confiável) ou mecanismos de criptografia para proteger seus dados durante o uso. TEEs são implementações de hardware ou software que protegem os dados que estão sendo processados contra acesso fora do TEE. O hardware fornece um contêiner protegido ao proteger uma parte do processador e da memória. Somente código autorizado pode ser executado e acessar dados, assim, dados e código ficam protegidos contra visualização e modificação de fora do TEE.

Principais componentes da computação confidencial

A inovação em hardware, software e serviços está tornando realidade a computação confidencial do Azure.

Hardware e computação:

Implante e gerencie instâncias de computação habilitadas com TEEs.

Obtenha acesso a recursos baseados em hardware e funcionalidade na nuvem antes que estejam disponíveis de um modo amplo localmente para criar e executar aplicativos ativados por SGX. A série DC das VMs (máquinas virtuais) habilita a geração mais recente de processadores Intel Xeon com a tecnologia Intel SGX para a nuvem do Azure. Use essas novas VMs para criar aplicativos que protegem dados e código em uso.

Desenvolvimento:

Desenvolver com relação a uma abstração de enclave padrão.

Usufruir da criação e do gerenciamento de enclave, primitivos do sistema, suporte no tempo de execução e suporte à biblioteca criptográfica. O projeto de SDK do Open Enclave oferece uma superfície de API consistente em torno de uma abstração de enclave, dando suporte à portabilidade entre tipos de enclave e flexibilidade na arquitetura. Crie aplicativos C/C++ portáteis com relação a diferentes tipos de enclave.

Atestado:

Verifique a identidade de TEEs e o código em execução dentro deles.

Valide a identidade do código para determinar se os segredos serão liberados. A verificação é simples e altamente disponível com serviços de atestado.

Pesquisa:

Obtenha insights da Pesquisa da Microsoft para reforçar seu código de enclave.

Explore a pesquisa em novos aplicativos para computação confidencial, técnicas para reforçar aplicativos TEE e dicas para prevenir vazamentos de informações fora do TEE.

Padrões de aplicativo e computação confidencial

Proteja a confidencialidade e a integridade dos dados

Proteja dados em uso contra indivíduos mal-intencionados dentro da empresa usando acesso direto ou privilégio administrativo. Proteja-se contra hackers e malware que exploram bugs no sistema operacional, no aplicativo ou no hipervisor. Proteja-se contra acesso de terceiros sem consentimento.

Exemplo: Tecnologia SQL Server Always Encrypted

Usando computação confidencial, o SQL Always Encrypted protege dados confidenciais em uso enquanto preserva consultas avançadas e fornece criptografia no local.

Crie uma rede confiável

Integre confiança à infraestrutura e ao aplicativo de uma rede com participantes não confiáveis.

Exemplo: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Combine várias fontes de dados

Combine várias fontes de dados para dar suporte a um melhor resultado algorítmico, sem sacrificar a confidencialidade dos dados.

Exemplo: Proteja o aprendizado de máquina de várias partes

Com computação confidencial, você pode usar os algoritmos de aprendizado de máquina em diferentes organizações para treinar melhor os modelos sem revelar dados a participantes nem à plataforma de nuvem.

Proteger IP confidencial

Em alguns casos, seu conteúdo confidencial é o código, não os dados. Proteja a confidencialidade e a integridade do seu código enquanto ele está em uso.

Exemplo: Licenciamento de conteúdo protegido e proteção de DRM

Proteja a integridade do seu IP com computação confidencial colocando licenças em TEEs para aplicativos habilitados para DRM.

Explore produtos e pesquisa

Proteja seus dados da nuvem contra ameaças avançadas à segurança. Saiba mais sobre as opções de computação confidencial do Azure disponíveis:

Comece a criar VMs de computação confidencial do Azure.

Comece a desenvolver com o SDK do Open Enclave.