Предложения Azure

Виртуальные машины и контейнеры

Azure обеспечивает самую широкую поддержку защищенных технологий, таких как AMD SEV-SNP, Intel TDX и Intel SGX. Все технологии соответствуют определению конфиденциальных вычислений, помогая организациям предотвратить несанкционированный доступ или изменение кода и данных во время использования.

  • Конфиденциальные виртуальные машины с помощью AMD SEV-SNP. DCasv5 и ECasv5 обеспечивают перенос существующих рабочих нагрузок и обеспечивают защиту данных от оператора облака с помощью конфиденциальности на уровне виртуальной машины.

  • Конфиденциальные виртуальные машины с помощью Intel TDX. DCesv5 и ECesv5 обеспечивают перенос существующих рабочих нагрузок и обеспечивают защиту данных от оператора облака с помощью конфиденциальности на уровне виртуальной машины.

  • Виртуальные машины с анклавами приложений с помощью Intel SGX. DCsv2, DCsv3 и DCdsv3 позволяют организациям создавать аппаратные анклава. Эти безопасные анклавы помогают защитить от облачных операторов и собственных администраторов виртуальных машин.

  • Контейнеры с поддержкой анклавов приложений, работающие на Служба Azure Kubernetes (AKS). Узлы конфиденциальных вычислений на AKS используют Intel SGX для создания изолированных сред анклавов в узлах между каждым приложением-контейнером.

Схема различных SKU виртуальных машин с поддержкой конфиденциальных вычислений, служб контейнеров и данных.

Конфиденциальные службы

Azure предлагает различные возможности PaaS, SaaS и виртуальных машин, поддерживающие или основанные на конфиденциальных вычислениях, в том числе:

  • Управляемое устройство HSM в Azure Key Vault — это соответствующая стандартам и полностью управляемая высокодоступная облачная служба для одного клиента. С ее помощью можно защищать криптографические ключи для облачных приложений, используя аппаратные модули безопасности (HSM), отвечающие стандартам FIPS 140-2 уровня 3.

  • Always Encrypted с безопасными анклавами в SQL Azure. Конфиденциальность конфиденциальных данных защищается от вредоносных программ и несанкционированных пользователей с высоким уровнем привилегий путем выполнения SQL-запросов непосредственно в TEE.

  • Azure Databricks помогает повысить безопасность и повысить конфиденциальность в Databricks Lakehouse с помощью конфиденциальных виртуальных машин.

  • Виртуальный рабочий стол Azure гарантирует, что виртуальный рабочий стол пользователя шифруется в памяти, защищен в использовании и поддерживается аппаратным корнем доверия.

  • Аттестация Microsoft Azure— служба удаленной аттестации для проверки надежности нескольких доверенных сред выполнения (TEE) и проверки целостности двоичных файлов, работающих в TEE.

  • Управление доверенными аппаратными удостоверениями— служба, которая обрабатывает управление кэшем сертификатов для всех TEEs, находящихся в Azure, и предоставляет сведения о доверенной вычислительной базе (TCB), чтобы обеспечить минимальный базовый план для решений аттестации.

  • Конфиденциальный реестр Azure. Список управления доступом (ACL) — это защищенный от несанкционированного доступа регистр для хранения конфиденциальных данных, предназначенных для учета и аудита, а также для прозрачности данных в сценариях с несколькими участниками. Он допускает однократную запись и многократное чтение (Write-Once-Read-Many), что делает данные неизменяемыми и нестираемыми. Эта служба основана на инфраструктуре консорциума конфиденциальных вычислений Microsoft Research.

Дополнительные предложения

  • Azure IoT Edge поддерживает конфиденциальные приложения, которые работают в безопасных анклавах на устройствах Интернета вещей (IoT). Устройства Интернета вещей часто подвергаются взлому и подделке, потому что они физически доступны злоумышленникам. Конфиденциальные устройства IoT Edge повышают доверие и целостность на границе, защищая доступ к данным, которые собираются и хранятся внутри самого устройства, перед потоковой передачей их в облако.

  • Среда выполнения ONNX для конфиденциального вывода, сервер логических выводов машинного обучения (ML), который запрещает субъекту размещения ML доступ как к запросу на логический вывод, так и к его соответствующему ответу.

  • Доверенный запуск доступен на всех виртуальных машинах 2-го поколения, которые включают в себя защищенные функции безопасности — безопасную загрузку, доверенный платформенный модуль и мониторинг целостности загрузки — которые защищают от загрузочных комплектов, руткитов и вредоносных программ на уровне ядра.

Новые возможности конфиденциальных вычислений Azure

Следующие шаги