Konfidentiell databehandling i Azure

Skydda dina molndata när de används

  • Skydda data mot skadliga hot och hot från insiders när de används
  • Bibehåll kontrollen över data under dess livstid
  • Skydda och validera kodens integritet i molnet
  • Se till att data och kod är täckande för molnplattformsleverantören

Ta datasäkerhet till nästa nivå med konfidentiell databehandling

Konfidentiell databehandling i Azure skyddar dina data och din kods konfidentialitet och integritet medan den bearbetas i det offentliga molnet. Molnsäkerhet är hörnstenen i vår vision om konfidentiella moln, som siktar på att ta bort Microsoft från Azures TCB (Trusted Computing Base).

Vad är konfidentiell databehandling?

Säkerhet är en avgörande faktor för att påskynda införandet av molndatorhanteringen, men det är ett stort problem när du flyttar extremt känsliga IP- och datascenarier till molnet.

Det finns sätt att skydda vilande data och data som överförs, men du måste skydda dina data mot hot medan de behandlas. Nu kan du det. Konfidentiell databehandling innebär nya möjligheter för datasäkerhet med TEE-miljöer (trusted execution environments) eller krypteringsmekanismer för att skydda dina data medan de används. TEE:s är implementeringar av maskinvaru- och programvara som skyddar data mot behandling via åtkomst utanför TEE:n. Maskinvaran tillhandahåller en skyddad container genom att skydda en del av processorn och minnet. Endast auktoriserad kod får köras och ges åtkomst till data, så kod och data skyddas mot visning och ändring utanför TEE-miljön.

Nyckelkomponenter för konfidentiell databehandling

Med innovation för maskinvara, programvara och tjänster gör Azure konfidentiell databehandling till verklighet.

Maskinvara och databehandling:

Distribuera och hantera datorinstanser som är aktiverade med TEE.

Få åtkomst till maskinvarubaserade funktioner i molnet innan de är allmänt tillgängliga lokalt för att skapa och köra SGX-drivna program. I DC-serien med virtuella datorer (VM) kan den senaste generationens Intel Xeon-processorer med Intels SGX-teknik användas i Azure-molnet. Använd de nya virtuella datorerna för att skapa program som skyddar data och kod när de används.

Utveckling:

Utveckla mot en standardenklavsabstraktion.

Dra nytta av skapande och hantering av enklaver, systemprimitiver, körningsstöd och kryptografisk biblioteksstöd. Projektet Open Enclave SDK tillhandahåller en konsekvent API-yta runt en enklavsabstraktion och stöder portabilitet över enklavstyper och flexibel arkitektur. Skapa portabla C/C++-program mot olika enklavstyper.

Attestering:

Verifiera TEE-identiteter och koden som körs i dem.

Validera kodidentitet för att fastställa om några hemligheter bör avslöjas. Verifieringen är enkel med hög tillgänglighet med attesteringstjänster.

Forskning:

Få kunskaper från Microsoft Research för att förstärka din enklavskod.

Titta närmare på forskning om nya program för konfidentiell databehandling, tekniker för att förstärka TEE-program och tips på att förebygga informationsläckor utanför TEE:n.

Programmönster för konfidentiell databehandling

Skydda datakonfidentialitet och -integritet

Skydda data som används mot insiders med administrativ behörighet eller direkt åtkomst. Skydda dig mot hackare och skadlig programvara som utnyttjar buggar i ditt operativsystem, program eller hypervisor. Skydda dig mot tredjepartsåtkomst utan samtycke.

Exempel: Tekniken SQL Server Always Encrypted

Med hjälp av konfidentiell databehandling skyddar SQL Always Encrypted känsliga data som används samtidigt som avancerade sökfrågor bevaras och kryptering på plats erbjuds.

Skapa ett betrott nätverk

Bygg upp en tillit i infrastrukturen och programmet i ett nätverk med ej betrodda deltagare.

Exempel: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

Kombinera flera datakällor

Kombinera flera datakällor för att stödja ett bättre algoritmiskt resultat, utan att offra datakonfidentialiteten.

Exempel: Säker maskininlärning med flera parter

Med konfidentiell databehandling kan du använda maskininlärningsalgoritmer i olika organisationer för att bättre träna modeller, utan att avslöja data för deltagare eller molnplattformen.

Skydda känsliga IP-adresser

I vissa fall är det koden som är känslig, och inte dina data. Skydda kodens konfidentialitet och integritet när den används.

Exempel: Skyddad innehållslicensiering och DRM-skydd

Skydda IP-integriteten med konfidentiell databehandling genom att placera licenser i TEE:s för DRM-aktiverade program.

Utforska produkter och forskning

Skydda dina molndata mot avancerade säkerhetshot. Läs mer om tillgängliga alternativ för konfidentiell databehandling i Azure:

Börja skapa virtuella Azure-datorer för konfidentiell databehandling.

Börja utveckla med Open Enclave SDK.