Computação confidencial do Azure

Proteja os seus dados na cloud enquanto estão a ser utilizados

  • Proteger os dados de ameaças internas e maliciosas enquanto estão a ser utilizados
  • Manter o controlo dos dados em toda a sua duração
  • Proteger e validar a integridade do código na cloud
  • Garantir que os dados e o código são opacos para o fornecedor da plataforma cloud

Elevar a segurança dos dados para o próximo nível com a computação confidencial

A computação confidencial do Azure protege a confidencialidade e integridade dos seus dados e código enquanto estão a ser processados na cloud pública. A segurança da cloud é o pilar da nossa visão de cloud confidencial, que visa remover a Microsoft da base de computação fidedigna (TCB) do Azure.

O que é a computação confidencial?

A segurança é o fator-chave que acelera a adoção da informática na cloud, mas é também uma grande preocupação quando está a mover cenários de dados e IP extremamente confidenciais para a cloud.

Existem formas de proteger os dados inativos e em trânsito, mas é necessário proteger os dados de ameaças à medida que estão a ser processados. Agora, pode fazê-lo. A computação confidencial adiciona novas capacidades de segurança de dados com ambientes de execução fidedignos (TEEs) ou mecanismos de encriptação para proteger os seus dados enquanto estão a ser utilizados. TEEs são implementações de hardware ou software que protegem os dados em processamento de acesso fora do TEE. O hardware fornece um contentor protegido ao proteger uma parte do processador e da memória. Apenas o código autorizado tem permissão para executar e para aceder a dados, pelo que o código e os dados estão protegidos contra visualização e modificação a partir de fora do TEE.

Componentes principais da computação confidencial

A inovação no hardware, software e serviços está a transformar a computação confidencial do Azure numa realidade.

Hardware e computação:

Implementa e faça a gestão de instâncias de computação que estão ativadas com TEEs.

Obtenha acesso a funcionalidades baseadas em hardware e funcionalidade na cloud antes de estar amplamente disponível no local, para criar e executar aplicações com tecnologia SGX. A série DC de máquinas virtuais (VMs) utiliza a última geração de Processadores Intel Xeon com tecnologia Intel SGX na cloud do Azure. Utilize estas novas VMs para criar aplicações que protegem dados e código em utilização.

Desenvolvimento:

Programar contra uma abstração de enclave padrão.

Tirar partido da criação e gestão de enclaves, primitivas de sistema, suporte de runtime e suporte de biblioteca criptográfica. O projeto Open Enclave SDK fornece uma superfície de API consistente em torno de uma abstração de enclave, que suporta a portabilidade em todos os tipos de enclave e flexibilidade na arquitetura. Crie aplicações C/C++ portáteis contra diferentes tipos de enclave.

Atestado:

Verifique a identidade de TEEs e o código executado dentro deles.

Valide a identidade do código para determinar se deve libertar segredos. Com os serviços de atestado, a verificação é simples e de elevada disponibilidade.

Investigação:

Obtenha informações da Microsoft Research para reforçar o seu código de enclave.

Explore a investigação de novas aplicações para computação confidencial, técnicas para reforçar aplicações TEE e sugestões para impedir fugas de informação fora do TEE.

Padrões de aplicação de computação confidencial

Proteger a confidencialidade e integridade dos dados

Proteja os dados em utilização de fontes internas maliciosas com privilégio administrativo ou acesso direto. Proteja-se contra hackers e software maligno que exploram erros no sistema operativo, aplicação ou hipervisor. Proteja-se contra o acesso de terceiros sem consentimento.

Exemplo: Tecnologia Always Encrypted do SQL Server

Com a computação confidencial, a tecnologia Always Encrypted de SQL protege os dados confidenciais em utilização, ao mesmo tempo que preserva as consultas avançadas e fornece encriptação no local.

Crie uma rede fidedigna

Reforce a confiança na infraestrutura e aplicação de uma rede com participantes não fidedignos.

Exemplo: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Combinar várias origens de dados

Combine várias origens de dados para apoiar um melhor resultado algorítmico, sem sacrificar a confidencialidade dos dados.

Exemplo: Proteger a aprendizagem automática com vários intervenientes

Com a computação confidencial, poderá utilizar algoritmos de aprendizagem automática em diferentes organizações para preparar melhor os modelos, sem revelar os dados aos participantes ou à plataforma cloud.

IP confidencial seguro

Em alguns casos, o conteúdo confidencial é o código e não os dados. Proteja a confidencialidade e integridade do seu código enquanto está a ser utilizado.

Exemplo: Licenciamento de conteúdo protegido e proteção DRM

Proteja a integridade do seu IP com a computação confidencial ao colocar as licenças em TEEs para aplicações com DRM ativado.

Explorar produtos e investigação

Proteja os seus dados na cloud de ameaças avançadas de segurança. Saiba mais sobre as opções de computação confidencial do Azure disponíveis:

Comece por criar VMs de computação confidencial do Azure.

Comece a programar com o Open Enclave SDK.