Casos de uso

  • Artigo

Usando tecnologias de computação confidenciais, você pode proteger seu ambiente virtualizado a partir do host, do hipervisor, do administrador do host e até mesmo do seu próprio administrador de VM. Dependendo do seu modelo de ameaça, oferecemos várias tecnologias que permitem:

  • Impedir o acesso não autorizado: execute dados confidenciais na nuvem. Confie que o Azure fornece a melhor proteção de dados possível, com pouca ou nenhuma alteração em relação ao que é feito hoje.

  • Cumpra a conformidade regulamentar: migre para a nuvem e mantenha o controle total dos dados para satisfazer as regulamentações governamentais para proteger informações pessoais e proteger o IP organizacional.

  • Garanta uma colaboração segura e não confiável: resolva problemas em escala de trabalho em todo o setor vasculhando dados entre organizações, até mesmo concorrentes, para desbloquear análises de dados amplas e insights mais profundos.

  • Isole o processamento: ofereça uma nova onda de produtos que eliminam a responsabilidade sobre dados privados com processamento cego. Os dados do utilizador nem sequer podem ser recuperados pelo fornecedor de serviços.

Cenários

A computação confidencial pode ser aplicada a vários cenários para proteger dados em setores regulamentados, como governo, serviços financeiros e institutos de saúde. Por exemplo, impedir o acesso a dados sensíveis ajuda a proteger a identidade digital dos cidadãos de todas as partes envolvidas, incluindo o fornecedor de serviços de computação em nuvem que os armazena. Os mesmos dados sensíveis podem conter dados biométricos que são utilizados para encontrar e remover imagens conhecidas de exploração infantil, prevenir o tráfico de seres humanos e ajudar nas investigações forenses digitais.

Captura de ecrã de casos de utilização para computação confidencial do Azure, incluindo cenários governamentais, de serviços financeiros e de cuidados de saúde.

Este artigo fornece uma visão geral de vários cenários comuns. As recomendações neste artigo servem como um ponto de partida à medida que você desenvolve seu aplicativo usando estruturas e serviços de computação confidenciais.

Depois de ler este artigo, você será capaz de responder às seguintes perguntas:

  • Quais são alguns cenários para a computação confidencial do Azure?
  • Quais são os benefícios de usar a computação confidencial do Azure para cenários de várias partes, privacidade aprimorada de dados do cliente e redes blockchain?

Computação segura de várias partes

As transações comerciais e a colaboração em projetos exigem o compartilhamento de informações entre várias partes. Muitas vezes, os dados que estão a ser partilhados são confidenciais. Os dados podem ser informações pessoais, registos financeiros, registos médicos, dados privados do cidadão, etc. Organizações públicas e privadas exigem que seus dados sejam protegidos contra acesso não autorizado. Às vezes, essas organizações querem até mesmo proteger os dados de operadores ou engenheiros de infraestrutura de computação, arquitetos de segurança, consultores de negócios e cientistas de dados.

Por exemplo, o uso de aprendizado de máquina para serviços de saúde cresceu enormemente à medida que obtivemos acesso a conjuntos de dados e imagens maiores de pacientes capturados por dispositivos médicos. O diagnóstico de doenças e o desenvolvimento de medicamentos beneficiam de múltiplas fontes de dados. Hospitais e institutos de saúde podem colaborar compartilhando seus registros médicos de pacientes com um ambiente de execução confiável centralizado (TEE). Os serviços de aprendizado de máquina executados no TEE agregam e analisam dados. Essa análise de dados agregados pode fornecer maior precisão de previsão devido a modelos de treinamento em conjuntos de dados consolidados. Com a computação confidencial, os hospitais podem minimizar os riscos de comprometer a privacidade de seus pacientes.

A computação confidencial do Azure permite processar dados de várias fontes sem expor os dados de entrada a outras partes. Esse tipo de computação segura permite cenários como combate à lavagem de dinheiro, deteção de fraudes e análise segura de dados de saúde.

Várias fontes podem carregar seus dados para um enclave em uma máquina virtual. Uma parte diz ao enclave para realizar o cálculo ou processamento dos dados. Nenhuma das partes (nem mesmo a que executa a análise) pode ver os dados de outra parte que foram carregados no enclave.

Na computação segura de várias partes, os dados criptografados vão para o enclave. O enclave descriptografa os dados usando uma chave, realiza análises, obtém um resultado e envia de volta um resultado criptografado que uma parte pode descriptografar com a chave designada.

Luta contra o branqueamento de capitais

Neste exemplo de computação multipartidária segura, vários bancos partilham dados entre si sem expor dados pessoais dos seus clientes. Os bancos executam análises acordadas sobre o conjunto combinado de dados sensíveis. A análise do conjunto de dados agregados pode detetar o movimento de dinheiro por um utilizador entre vários bancos, sem que os bancos acedam aos dados uns dos outros.

Por meio da computação confidencial, essas instituições financeiras podem aumentar as taxas de deteção de fraudes, lidar com cenários de lavagem de dinheiro, reduzir falsos positivos e continuar aprendendo com conjuntos de dados maiores.

Gráfico de compartilhamento de dados multipartidos para bancos, mostrando a movimentação de dados que a computação confidencial permite.

Desenvolvimento de medicamentos na área da saúde

As unidades de saúde parceiras contribuem com conjuntos de dados de saúde privados para treinar um modelo de ML. Cada instalação só pode ver o seu próprio conjunto de dados. Nenhuma outra instalação, ou mesmo o provedor de nuvem, pode ver os dados ou o modelo de treinamento. Todas as instalações se beneficiam do uso do modelo treinado. Ao criar o modelo com mais dados, o modelo tornou-se mais preciso. Cada instalação que contribuiu para o treinamento do modelo pode usá-lo e receber resultados úteis.

Diagrama de cenários confidenciais de cuidados de saúde, mostrando atestado entre cenários.

Proteger a privacidade com IoT e soluções de construção inteligente

Muitos países/regiões têm leis de privacidade rigorosas sobre a recolha e utilização de dados sobre a presença e movimentos das pessoas no interior dos edifícios. Isso pode incluir dados que são diretamente dados pessoalmente identificáveis de CCTV ou verificações de crachás de segurança. Ou, indiretamente identificável, onde diferentes conjuntos de dados do sensor podem ser considerados pessoalmente identificáveis quando agrupados.

A privacidade precisa ser equilibrada com o custo e as necessidades ambientais, onde as organizações estão interessadas em entender a ocupação/movimento para fornecer o uso mais eficiente de energia para aquecer e iluminar um edifício.

Determinar quais áreas do setor imobiliário corporativo estão subocupadas ou sobreocupadas por funcionários de departamentos individuais normalmente requer o processamento de alguns dados pessoalmente identificáveis, juntamente com menos dados individuais, como sensores de temperatura e luz.

Neste caso de uso, o objetivo principal é permitir que a análise de dados de ocupação e sensores de temperatura sejam processados juntamente com sensores de rastreamento de movimento CCTV e dados de deslizamento de crachá para entender o uso sem expor os dados brutos agregados a ninguém.

A computação confidencial é usada aqui colocando o aplicativo de análise (neste exemplo em execução em instâncias de contêiner confidencial) dentro de um ambiente de execução confiável onde os dados em uso são protegidos por criptografia.

Os conjuntos de dados agregados de muitos tipos de sensor e feed de dados são gerenciados em um banco de dados SQL Always Encrypted with Enclaves do Azure, isso protege as consultas em uso criptografando-as na memória. Isso impede que um administrador de servidor possa acessar o conjunto de dados agregados enquanto ele está sendo consultado e analisado.

Diversos sensores alimentando uma solução de análise dentro de um ambiente de execução confiável. Os operadores não têm acesso aos dados em uso dentro do TEE.

Geralmente aplicável a FSI e cuidados de saúde onde existem requisitos legais ou regulamentares que limitam onde certas cargas de trabalho podem ser processadas e armazenadas em repouso.

Neste caso de uso, usamos uma combinação de tecnologias de Computação Confidencial do Azure com a Política do Azure, os NSGs (Grupos de Segurança de Rede) e o Acesso Condicional do Microsoft Entra para garantir que as seguintes metas de proteção sejam atendidas para o 'lift & shift' de um aplicativo existente:

  • O aplicativo é protegido do operador de nuvem enquanto estiver em uso usando computação confidencial
  • Os recursos do aplicativo só podem ser implantados na região do Azure da Europa Ocidental
  • Os consumidores do aplicativo que se autentica com protocolos de autenticação modernos podem ser mapeados para a região soberana da qual estão se conectando e o acesso negado, a menos que estejam em uma região permitida.
  • O acesso usando protocolos administrativos (RDP, SSH etc.) é limitado ao acesso do serviço Azure Bastion integrado ao Privileged Identity Management (PIM). A política PIM requer uma Política de Acesso Condicional que valida de qual região soberana o administrador está acessando.
  • Todos os serviços registram ações no Azure Monitor.

Diagrama mostrando cargas de trabalho protegidas pela Computação Confidencial do Azure e complementadas com a configuração do Azure, incluindo a Política do Azure e o Acesso Condicional.

Fabricação – Proteção IP

As organizações de fabricação protegem a PI em torno de seus processos e tecnologias de fabricação, muitas vezes a fabricação é terceirizada para terceiros que lidam com os processos físicos de produção, que podem ser considerados ambientes "hostis" onde há ameaças ativas para roubar essa PI.

Neste exemplo, a Tailspin Toys está a desenvolver uma nova linha de brinquedos, as dimensões específicas e os designs inovadores dos seus brinquedos são propriedade da empresa e querem mantê-los seguros, ao mesmo tempo que são flexíveis em relação à empresa que escolhem para produzir fisicamente os seus protótipos.

A Contoso, uma empresa de impressão e testes 3D de alta qualidade, fornece os sistemas que imprimem fisicamente protótipos em grande escala e os executam através dos testes de segurança necessários para as aprovações de segurança.

A Contoso implanta aplicativos e dados em contêineres gerenciados pelo cliente no locatário da Contoso, que usa seu maquinário de impressão 3D por meio de uma API do tipo IoT.

A Contoso usa a telemetria dos sistemas físicos de fabricação para direcionar seus sistemas de faturamento, programação e pedidos de materiais, enquanto a Tailspin Toys usa a telemetria de seu pacote de aplicativos para determinar o sucesso com que seus brinquedos podem ser fabricados e as taxas de defeitos.

Os operadores da Contoso podem carregar o pacote de aplicativos Tailspin Toys no locatário da Contoso usando as imagens de contêiner fornecidas pela Internet.

A política de configuração da Tailspin Toys exige a implantação em hardware habilitado para Computação Confidencial para que todos os servidores e bancos de dados de aplicativos Tailspin sejam protegidos enquanto estiverem em uso dos administradores da Contoso, mesmo que estejam em execução no locatário da Contoso.

Se, por exemplo, um administrador não autorizado da Contoso tentar mover os contêineres fornecidos pela Tailspin Toys para hardware de computação x86 geral que não é capaz de fornecer um Ambiente de Execução Confiável, isso pode significar exposição potencial de IP confidencial.

Nesse caso, o mecanismo de política de Instância de Contêiner do Azure se recusaria a liberar as chaves de descriptografia ou iniciar contêineres se a chamada de atestado revelar que os requisitos de política não podem ser atendidos, garantindo que o IP do Tailspin Toys esteja protegido em uso e em repouso.

O próprio aplicativo Tailspin Toys é codificado para fazer periodicamente uma chamada para o serviço de certificação e relatar os resultados para a Tailspin Toys pela Internet para garantir que haja um batimento cardíaco contínuo do status de segurança.

O serviço de atestado retorna detalhes assinados criptograficamente do hardware que dá suporte ao locatário da Contoso para validar que a carga de trabalho está sendo executada dentro de um enclave confidencial conforme o esperado, se o atestado está fora do controle dos administradores da Contoso e se baseia na raiz de confiança de hardware fornecida pela Computação Confidencial.

Diagrama mostrando um provedor de serviços executando um conjunto de controle industrial de um fabricante de brinquedos dentro de um Ambiente de Execução Confiável (TEE).

Privacidade de dados do cliente aprimorada

Apesar do nível de segurança fornecido pelo Microsoft Azure estar rapidamente se tornando um dos principais impulsionadores para a adoção da computação em nuvem, os clientes confiam em seu provedor em diferentes graus. O cliente pede:

  • Hardware, software e TCBs operacionais (bases de computação confiáveis) mínimos para cargas de trabalho confidenciais.
  • Aplicação técnica, em vez de apenas políticas e processos de negócios.
  • Transparência sobre as garantias, riscos residuais e mitigações que obtêm.

A computação confidencial vai nessa direção, permitindo aos clientes controle incremental sobre o TCB usado para executar suas cargas de trabalho na nuvem. A computação confidencial do Azure permite que os clientes definam com precisão todo o hardware e software que têm acesso às suas cargas de trabalho (dados e código) e fornece os mecanismos técnicos para aplicar essa garantia de forma verificável. Em suma, os clientes mantêm o controlo total sobre os seus segredos.

Soberania dos dados

Em agências governamentais e públicas, a computação confidencial do Azure é uma solução para aumentar o grau de confiança em relação à capacidade de proteger a soberania de dados na nuvem pública. Além disso, graças à crescente adoção de recursos de computação confidenciais em serviços PaaS no Azure, um maior grau de confiança pode ser alcançado com um impacto reduzido na capacidade de inovação fornecida pelos serviços de nuvem pública. Esta combinação de proteção da soberania de dados com um impacto reduzido na capacidade de inovação torna a computação confidencial do Azure uma resposta muito eficaz às necessidades de soberania e transformação digital dos serviços governamentais.

Cadeia de confiança reduzida

O enorme investimento e a inovação revolucionária na computação confidencial permitiram retirar o prestador de serviços de computação em nuvem da cadeia fiduciária a um nível sem precedentes. A computação confidencial do Azure oferece o mais alto nível de soberania disponível no mercado atualmente. Isso permite que clientes e governos atendam às suas necessidades de soberania hoje e ainda aproveitem a inovação amanhã.

A computação confidencial pode expandir o número de cargas de trabalho qualificadas para implantação de nuvem pública. Isso pode resultar em uma rápida adoção de serviços públicos para migrações e novas cargas de trabalho, melhorando rapidamente a postura de segurança dos clientes e permitindo rapidamente cenários inovadores.

Cenários BYOK (Bring Your Own Key)

A adoção de módulos seguros de hardware (HSM) permite a transferência segura de chaves e certificados para um armazenamento em nuvem protegido - Azure Key Vault Managed HSM - sem permitir que o provedor de serviços de nuvem acesse essas informações confidenciais. Os segredos que estão sendo transferidos nunca existem fora de um HSM em formato de texto sem formatação, permitindo cenários de soberania de chaves e certificados que são gerados e gerenciados pelo cliente, mas ainda usando um armazenamento seguro baseado em nuvem.

Blockchain seguro

Uma rede blockchain é uma rede descentralizada de nós. Esses nós são executados e mantidos por operadores ou validadores que desejam garantir a integridade e chegar a um consenso sobre o estado da rede. Os próprios nós são réplicas de livros contábeis e são usados para rastrear transações de blockchain. Cada nó tem uma cópia integral do histórico de transações, garantindo a integridade e a disponibilidade numa rede distribuída.

As tecnologias de blockchain criadas com base na computação confidencial podem utilizar a privacidade baseada em hardware para permitir a confidencialidade dos dados e computações seguras. Em alguns casos, todo o livro razão é criptografado para proteger o acesso aos dados. Às vezes, a transação em si pode ocorrer dentro de um módulo de computação dentro do enclave dentro do nó.