Azure 機密運算

在您的雲端資料使用時保護其安全

  • 在資料使用期間,保護資料遠離惡意程式碼與內部威脅
  • 在資料的整個存留期均保有控制權
  • 保護及驗證程式碼在雲端中的完整性
  • 確保雲端平台提供者看不到資料和程式碼

透過機密運算讓資料安全性更上一層樓

Azure 機密運算可在資料和程式碼於公用雲端中處理時,保護其機密性與完整性。雲端安全性是機密雲端願景的基石,目標是讓 Microsoft 脫離 Azure 的信任運算基礎 (TCB)。

什麼是機密運算?

安全性是加速採用雲端運算的重要推力,但在您將極為敏感的 IP 與資料案例移到雲端時,這也是主要考量。

有多種方法可以保護待用與傳輸中的資料,但您需要在資料處理期間,保護其遠離威脅。現在,您可以做到。機密運算增加了使用信任執行環境 (TEE) 或加密機制的新資料安全性功能,在資料使用過程中加以保護。TEE 是硬體或軟體的實作,能保護資料,不讓 TEE 以外的存取加以處理。硬體藉由保護一部分的處理器和記憶體,提供受保護的容器。只有經授權的程式碼可以執行和存取資料,因此程式碼和資料會受到保護,無法從 TEE 以外的地方檢視和修改。

機密運算的核心元件

跨及硬體、軟體與服務的創新讓 Azure 機密運算成真。

硬體與計算:

部署及管理具備 TEE 功能的計算執行個體。

在內部部署廣泛提供之前,先取得以硬體為基礎的功能及雲端中的運作能力,以建置和執行以 SGX 推動的應用程式。DC 系列的虛擬機器 (VM) 讓最新一代搭載 SGX 技術的 Intel Xeon 處理器,得以在 Azure 雲端上執行。使用這些新 VM 來建置可保護使用中資料和程式碼的應用程式。

開發:

對建立保護區的標準抽象層進行開發。

運用保護區的建立與管理、系統基元、執行階段支援及密碼編譯程式庫支援。Open Enclave SDK 專案在建立保護區的抽象層提供一致的 API 介面,從而支援多種保護區類型之間的可攜性,及架構的彈性。針對不同的保護區類型建置可攜式 C/C++ 應用程式。

證明:

驗證 TEE 的身分識別,及其中執行的程式碼。

驗證程式碼身分識別,以判斷是否要釋出祕密。證明服務讓驗證變得相當簡單,而且具備高可用性。

研究:

取得來自 Microsoft Research 的見解,以加強保護區程式碼。

探索關於機密運算新應用的研究、用於加強 TEE 應用的技術,及防止資訊外洩到 TEE 以外的秘訣。

閱讀更多關於 Azure 機密運算的內容。

機密計算的應用模式

保護資料的機密性與完整性

保護使用中的資料,遠離具有系統管理權限或直接存取的惡意內部攻擊。防範在作業系統、應用程式或 Hypervisor 中惡意探索 Bug 的駭客與惡意程式碼。防範未經同意的第三方存取。

範例: SQL Server Always Encrypted 技術

使用機密運算,SQL Always Encrypted 就能保護使用中的敏感性資料,同時保留豐富的查詢及提供就地加密。

建立信任的網路

在與未受信任參與者的網路中,建立基礎結構及應用程式的信任。

範例: Confidential Consortium Framework (CCF)

With the use of confidential computing, the Confidential Consortium Framework (CCF) creates a trusted distributed blockchain network. This simplifies consensus and transaction processing for high throughput and confidentiality.

結合多個資料來源

結合多個資料來源以提供更優異的演算法結果,而不必犧牲資料機密性。

範例: 保護多方機器學習的安全

有了機密運算,您就可以在不同組織中使用機器學習演算法,不必讓參與單位或雲端平台看到資料,就能改善模型的訓練。

保護敏感性 IP

在某些情況下,您的敏感性內容會是程式碼,而非資料。在程式碼使用過程中,保護其機密性與完整性。

範例: 安全的內容授權與 DRM 保護

對於具備 DRM 功能的應用程式,在 TEE 中放置授權,透過機密運算來保護 IP 的完整性。

探索產品與研究

保護您的雲端資料遠離進階安全性威脅。深入了解可用的 Azure 機密運算選項:

開始建立 Azure 機密運算 VM。

使用 Open Enclave SDK 開始開發。