Zaufane środowisko wykonawcze (TEE)

  • Artykuł

Co to jest TEE?

Zaufane środowisko wykonawcze (TEE) to segregowany obszar pamięci i procesora CPU, który jest chroniony przed resztą procesora CPU przy użyciu szyfrowania, wszystkie dane w TEE nie mogą być odczytywane ani modyfikowane przez żaden kod poza tym środowiskiem. Dane można manipulować wewnątrz środowiska TEE za pomocą odpowiednio autoryzowanego kodu.

Kod wykonywany wewnątrz teE jest przetwarzany w postaci jasnej, ale jest widoczny tylko w postaci zaszyfrowanej, gdy wszystko poza próbuje uzyskać do niego dostęp. Ta ochrona jest zarządzana przez procesor zabezpieczeń platformy osadzony wewnątrz procesora CPU.

Image showing the Trusted Compute Base (TCB) concept mapped to Intel SGX and AMD SEV-SNP Trusted Execution Environments

Poufne przetwarzanie na platformie Azure oferuje dwie oferty: jedną dla obciążeń opartych na enklawie i jedną dla obciążeń typu lift and shift.

Oferta oparta na enklawie używa rozszerzeń Intel Software Guard (SGX) do utworzenia regionu chronionej pamięci o nazwie Encrypted Protected Cache (EPC) na maszynie wirtualnej. Dzięki temu klienci mogą uruchamiać wrażliwe obciążenia z silnymi gwarancjami ochrony danych i prywatności. Przetwarzanie poufne platformy Azure uruchomiło pierwszą ofertę opartą na enklawie w 2020 roku.

Oferta lift and shift używa technologii AMD SEV-SNP (GA) lub Intel TDX (wersja zapoznawcza) do szyfrowania całej pamięci maszyny wirtualnej. Dzięki temu klienci mogą migrować istniejące obciążenia do poufnych zasobów obliczeniowych platformy Azure bez żadnych zmian w kodzie ani obniżenia wydajności.

Wiele z tych podstawowych technologii jest używanych do dostarczania poufnych usług IaaS i PaaS na platformie Azure, co ułatwia klientom wdrażanie poufnych obliczeń w swoich rozwiązaniach.

Nowe projekty procesorów GPU obsługują również funkcję TEE i mogą być bezpiecznie połączone z rozwiązaniami TEE procesora CPU, takimi jak poufne maszyny wirtualne, takie jak oferta FIRMY NVIDIA obecnie w wersji zapoznawczej w celu zapewnienia wiarygodnej sztucznej inteligencji.

Szczegóły techniczne dotyczące sposobu implementacji środowiska TEE na różnych urządzeniach platformy Azure są dostępne w następujący sposób:

Poufne maszyny wirtualne AMD SEV-SNP (https://www.amd.com/en/developer/sev.html)

Maszyny wirtualne z obsługą intel SGX (https://www.intel.com/content/www/us/en/architecture-and-technology/software-guard-extensions.html)

Maszyny wirtualne Intel TDX (https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html)

Sprzęt FIRMY NVIDIA (https://www.nvidia.com/en-gb/data-center/h100/)