Конфиденциальные вычисления Azure

Защитите данные в облаке во время использования

  • Защитите данные от вредоносных и инсайдерских угроз во время использования.
  • Контролируйте данные на протяжении всего их жизненного цикла.
  • Защищайте и проверяйте целостность кода в облаке.
  • Убедитесь, что данные и код непрозрачны для поставщика облачной платформы.

Обеспечьте новый уровень безопасности данных с помощью конфиденциальных вычислений.

Конфиденциальные вычисления обеспечивают безопасность и целостность ваших данных и кода во время обработки в общедоступном облаке. Безопасность в облаке является краеугольным камнем нашего видения конфиденциальности, целью которого является исключение корпорации Майкрософт из доверенной вычислительной базы (TCB) Azure.

Что такое конфиденциальные вычисления?

Безопасность — это ключевой фактор, ускоряющий внедрение облачных вычислений, но это также может быть проблемой в случае перемещения чрезвычайно конфиденциальных IP-адресов и сценариев данных в облако.

Существуют способы защиты активных и неактивных данных, но вам необходимо защитить их от угроз по мере их обработки. Теперь это возможно. Конфиденциальные вычисления добавляют новые возможности защиты данных с использованием доверенных сред выполнения (TEE) или механизмов шифрования для защиты ваших данных во время использования. TEE — это аппаратные или программные реализации, которые защищают обрабатываемые данные от доступа вне TEE. Аппаратное обеспечение предоставляет защищенный контейнер, гарантируя безопасность части процессора и памяти. Только разрешенный код может выполняться и получать доступ к данным, поэтому код и данные защищены от просмотра и изменения вне TEE.

Основные компоненты конфиденциальных вычислений

Инновации, связанные с оборудованием, программным обеспечением и службами, позволяют воплотить в жизнь конфиденциальные вычисления Azure.

Аппаратное обеспечение и вычисления:

Развертывание и администрирование вычислительных экземпляров с поддержкой TEE.

Получите доступ к аппаратным компонентам и функциям в облаке, прежде чем они будут широко доступны в локальной среде для создания и запуска приложений на базе SGX. Виртуальные машины серии DC позволяют использовать последнее поколение процессоров Intel Xeon с технологией Intel SGX в облаке Azure. Используйте эти новые виртуальные машины для создания приложений, которые защищают используемые данные и код.

Разработка:

Выполняйте разработку с использованием стандартной абстракции внутренней зоны.

Воспользуйтесь созданием внутренних зон и их управлением, системными примитивами, поддержкой среды выполнения и криптографической библиотеки. Проект пакета SDK Open Enclave обеспечивает согласованную поверхность API вокруг абстракции внутренних зон с поддержкой переносимости по типам внутренних зон и гибкости в архитектуре. Создавайте переносимые приложения C и C++ для разных типов внутренних зон.

Аттестация:

Проверьте подлинность сред TEE и выполняющегося в них кода.

Проверьте подлинность кода, чтобы определить, следует ли передавать секреты. Проверка проста и доступна благодаря службам аттестации.

Исследование:

Получите аналитические сведения от Microsoft Research, чтобы повысить надежность кода внутренней зоны.

Изучите исследования новых приложений для конфиденциальных вычислений, методы усиления защиты приложений TEE и советы по предотвращению утечки данных за пределы TEE.

Шаблоны приложений конфиденциальных вычислений

Защита конфиденциальности и целостности данных

Защитите данные от злоумышленников с правами администратора или прямым доступом внутри организации. Защититесь от хакеров и вредоносных программ, которые используют ошибки в операционной системе, приложении или гипервизоре. Защититесь от несанкционированного стороннего доступа.

Пример: Технология SQL Server Always Encrypted

С помощью конфиденциальных вычислений технология SQL Always Encrypted защищает конфиденциальные данные при использовании, сохраняя полнофункциональные запросы и обеспечивая шифрование.

Создание надежной сети

Создайте отношения доверия для инфраструктуры и приложения в сети с недоверенными участниками.

Пример: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Объединение нескольких источников данных

Объедините несколько источников данных для получения лучших результатов при использовании алгоритмов, не жертвуя конфиденциальностью данных.

Пример: Безопасное многопользовательское машинное обучение

С помощью конфиденциальных вычислений вы можете использовать алгоритмы машинного обучения в разных организациях для оптимального обучения моделей, не передавая данные участникам или облачной платформе.

Защита конфиденциальных IP-адресов

В некоторых случаях конфиденциальное содержимое — это код, а не данные. Защитите конфиденциальность и целостность своего кода во время его выполнения.

Пример: Лицензирование защищенного содержимого и защита DRM

Защитите целостность своего IP-адреса с помощью конфиденциальных вычислений, поместив лицензии в TEE для приложений с поддержкой DRM.

Обзор продуктов и исследований

Защитите данные в облаке от сложных угроз безопасности. Дополнительные сведения о доступных вариантах конфиденциальных вычислений Azure:

Начните создавать виртуальные машины Azure для конфиденциальных вычислений.

Начните разработку с использованием пакета SDK Open Enclave.