Azure 機密運算

保護雲端中目前所使用的資料及程式碼。

  • 在資料使用期間,保護資料遠離惡意程式碼與內部威脅
  • 在資料的整個存留期均保有控制權
  • 保護及驗證程式碼在雲端中的完整性
  • 確保雲端平台提供者看不到資料和程式碼

透過機密運算讓資料安全性更上一層樓

為增強雲端安全性預做準備。了解我們的機密雲端願景,我們希望讓 Microsoft 脫離 Azure 的信任運算基礎。

什麼是機密運算?

安全性是加速採用雲端運算的重要推力,但在您將極為敏感的 IP 與資料案例移到雲端時,這也是主要考量。

機密運算是透過在硬體式信任執行環境 (TEE) 中單獨進行運算,來保護使用中的資料。傳統上,資料加密會在待用和傳輸階段進行,機密運算則是可以在處理資料時,提供保護。TEE 會透過保護硬體一部分的處理器與記憶體,來提供受保護的容器。您可以在受保護的環境中執行軟體,以防止有人從 TEE 外部檢視或修改您程式碼和資料的部分內容。

Intel

"Customers are demanding the capability to reduce the attack surface and help protect sensitive data in the cloud by encrypting data in use. Our collaboration with Microsoft brings enterprise-ready confidential computing solutions to market, and enables customers to take greater advantage of the benefits of cloud and multi-party compute paradigms using Intel® SGX technology."

Intel 資料中心安全性與系統架構部門副總裁 Anil Rao

機密運算的核心元件

Azure 運用跨及硬體、軟體與服務的創新,讓機密運算成真。

硬體與計算

部署及管理具備 TEE 功能的計算執行個體

在完全虛擬化的雲端式環境中,使用 Azure 上新的 DCsv2 系列虛擬機器來建置,並搭載最新一代的 Intel Xeon 處理器與 [Intel] SGX 技術。該 VM 可讓您執行與建置應用程式,以在程式碼與資料的使用過程中,提供保護。

開發

對建立記憶體保護區的標準抽象層進行開發

運用保護區的建立與管理、系統基元、執行階段支援及密碼編譯程式庫支援。Open Enclave SDK (OE SDK) 專案在建立記憶體保護區的抽象層提供一致的 API 介面,從而支援多種記憶體保護區類型之間的可攜性,及架構的彈性。針對不同的保護區類型建置可攜式 C/C++ 應用程式。深入了解如何在 Azure 機密運算 VM 上使用 OE SDK 進行開發。

證明

驗證 TEE 的身分識別,及其中執行的程式碼

驗證程式碼身分識別,以判斷是否要釋出祕密。證明服務讓驗證變得相當簡單,而且具備高可用性。

研究

取得來自 Microsoft Research 的見解,以加強記憶體保護區程式碼

了解關於機密運算新應用的研究、用於加強 TEE 應用的技術,及防止有人未經授權從 TEE 外部存取的秘訣。

閱讀更多關於 Azure 機密運算的內容。

探索 Azure Marketplace 中提供的機密運算解決方案