Ofertas do Azure
Máquinas virtuais e contêineres
O Azure fornece o suporte mais amplo para tecnologias protegidas, como AMD SEV-SNP, Intel TDX e Intel SGX. Todas as tecnologias atendem à nossa definição de computação confidencial, ajudando as organizações a impedir o acesso não autorizado ou a modificação de código e dados durante o uso.
VMs confidenciais usando AMD SEV-SNP. O DCasv5 e o ECasv5 permitem o lift-and-shift de cargas de trabalho existentes e ajudam a proteger dados do operador de nuvem com confidencialidade no nível da VM.
VMs confidenciais usando o Intel TDX. O DCesv5 e o ECesv5 permitem o lift-and-shift de cargas de trabalho existentes e ajudam a proteger dados do operador de nuvem com confidencialidade no nível da VM.
VMs com enclaves de aplicativo usando o Intel SGX. DCsv2, DCsv3 e DCdsv3 permitem que as organizações criem enclaves de hardware. Esses enclaves seguros ajudam a proteger contra operadores de nuvem e seus próprios administradores de VM.
Contêineres com reconhecimento de enclave de aplicativos em execução no AKS (Serviço de Kubernetes do Azure). Os nós de computação confidencial no AKS usam Intel SGX para criar ambientes de enclave isolados nos nós entre cada aplicativo de contêiner.
Serviços confidenciais
O Azure oferece vários recursos de PaaS, SaaS e VM que suportam ou são baseados em computação confidencial, incluindo:
O HSM Gerenciado do Azure Key Vault é um serviço de nuvem em conformidade com os padrões de um único locatário, altamente disponível e totalmente gerenciado que permite proteger chaves criptográficas para seus aplicativos de nuvem usando Módulos de Segurança de Hardware validados FIPS 140-2 Nível 3.
Always Encrypted com enclaves seguros no SQL do Azure. A confidencialidade de dados confidenciais tem proteção contra malware e usuários não autorizados com altos privilégios, executando consultas SQL diretamente de dentro de um TEE.
O Azure Databricks ajuda você a trazer mais segurança e maior confidencialidade para o Databricks Lakehouse usando VMs confidenciais.
A Área de Trabalho Virtual do Azure garante que a área de trabalho virtual de um usuário seja criptografada na memória, protegida em uso e apoiada pela raiz de hardware de confiança.
Atestado do Microsoft Azure, um serviço de atestado remoto para validar a confiabilidade de vários TEEs (Ambientes de Execução Confiáveis) e verificar a integridade dos binários em execução dentro dos TEEs.
Gerenciamento de Identidade de Hardware Confiável, um serviço que lida com o gerenciamento de cache de certificados de todos os TEEs que residem no Azure e fornece as informações de TCB (base computacional confiável) para impor uma linha de base mínima para soluções de atestado.
Razão Confidencial do Azure. A ACL (Razão Confidencial do Azure) é um registro à prova de adulteração para armazenar dados confidenciais para manutenção e auditoria de registros ou para transparência de dados em cenários multipartidários. Ela oferece garantias de gravação única, com muitas leituras, que torna os dados não apagáveis e não modificáveis. O serviço é criado com base no Confidential Consortium Framework do Microsoft Research.
Ofertas complementares
O Azure IoT Edge dá suporte a aplicativos confidenciais que são executados nos enclaves seguros em um dispositivo IoT (Internet das Coisas). Os dispositivos IoT geralmente são expostos a adulterações e falsificação, porque são fisicamente acessíveis por atores ruins. Os dispositivos IoT Edge confidenciais adicionam confiança e integridade na borda, protegendo o acesso aos dados capturados e armazenados dentro do próprio dispositivo antes de transmiti-los para a nuvem.
Inferência Confidencial ONNX Runtime, um servidor de inferência Machine Learning (ML) que restringe a parte de hospedagem do ML de acessar a solicitação de inferência e sua resposta correspondente.
A Inicialização Confiável está disponível em todas as VMs de Geração 2 que trazem recursos de segurança protegidos – inicialização segura, módulo de plataforma virtual confiável e monitoramento de integridade de inicialização – que protegem contra kits de inicialização, rootkits e malware em nível de kernel.