تضع Microsoft الأجهزة المسؤولة عن حماية البيانات في Azure لمساعدة العملاء على الشعور بالثقة بشأن مشاركة البيانات مع الأطراف المعتمدة داخل بيئة السحابة. أصدرت الشركة سلسلة من إعلانات أمان الأجهزة في مؤتمرها Ignite 2022 هذا الأسبوع لتسليط الضوء على عروض الحوسبة السرية من Azure.
الحوسبة السرية يتضمن إنشاء بيئة تنفيذ موثوقة (TEE) ، وهي في الأساس صندوق أسود للاحتفاظ بالبيانات المشفرة. في عملية تسمى التصديق ، يمكن للأطراف المخولة وضع رمز داخل الصندوق لفك تشفير المعلومات والوصول إليها دون الحاجة أولاً إلى نقل البيانات خارج المساحة المحمية. يُنشئ الغلاف المحمي بالأجهزة بيئة جديرة بالثقة تكون فيها البيانات غير قابلة للتزوير ، ولا يمكن الوصول إلى البيانات حتى لأولئك الذين لديهم وصول فعلي إلى الخادم أو برنامج Hypervisor أو حتى أحد التطبيقات.
قال مارك روسينوفيتش ، كبير مسؤولي التكنولوجيا في Microsoft Azure ، في Ignite: "إنها حقًا أفضل ما في حماية البيانات".
على متن الطائرة مع AMD's Epyc
العديد من مايكروسوفت الجديدة طبقات أمان الأجهزة استفد من الميزات الموجودة على الشريحة المضمنة في Epyc - معالج الخادم من Advanced Micro Devices المنتشرة على Azure.
إحدى هذه الميزات هي SEV-SNP ، والتي تقوم بتشفير بيانات AI عندما تكون في وحدة المعالجة المركزية. تنقل تطبيقات التعلم الآلي البيانات بشكل مستمر بين وحدة المعالجة المركزية والمسرعات والذاكرة والتخزين. يضمن SEV-SNP من AMD أمن البيانات داخل بيئة وحدة المعالجة المركزية، أثناء منع الوصول إلى تلك المعلومات أثناء مرورها خلال دورة التنفيذ.
تغلق ميزة SEV-SNP من AMD فجوة حرجة بحيث تكون البيانات آمنة في جميع الطبقات أثناء الإقامة أو التحرك في الجهاز. ركز صانعو الرقائق الآخرون بشكل كبير على تشفير البيانات أثناء التخزين والعبور على شبكات الاتصال ، لكن ميزات AMD آمنة للبيانات أثناء معالجتها في وحدة المعالجة المركزية.
يوفر ذلك مزايا متعددة ، وستكون الشركات قادرة على مزج بيانات الملكية مع مجموعات بيانات الطرف الثالث الموجودة في جيوب آمنة أخرى على Azure. تستخدم ميزات SEV-SNP المصادقة لضمان أن البيانات الواردة في شكلها الدقيق من ملف الطرف المعول ويمكن الوثوق بها.
قال Amar Gowda ، مدير المنتج الرئيسي في Microsoft Azure ، خلال البث الشبكي لـ Ignite: "هذا يتيح السيناريوهات الجديدة الصافية والحوسبة السرية التي لم تكن ممكنة من قبل".
على سبيل المثال ، ستكون البنوك قادرة على مشاركة البيانات السرية دون الخوف من سرقة أي شخص. ستجلب ميزة SEV-SNP البيانات المصرفية المشفرة إلى الجيب الآمن التابع لجهة خارجية حيث يمكن أن تختلط مع مجموعات البيانات من مصادر أخرى.
"بسبب هذه الشهادة وحماية الذاكرة وحماية سلامتها ، يمكنك أن تطمئن إلى أن البيانات لا تترك الحدود في الأيدي الخطأ. إن الأمر برمته يتعلق بكيفية تمكين العروض الجديدة فوق هذه المنصة ، "قال جودا.
أمن الأجهزة على الأجهزة الافتراضية
أضافت Microsoft أيضًا أمانًا إضافيًا لأحمال العمل السحابية الأصلية ، ومفاتيح التشفير غير القابلة للتصدير التي تم إنشاؤها باستخدام SEV-SNP هي مناسبة منطقية للمناطق التي تكون فيها البيانات عابرة ولا يتم الاحتفاظ بها ، جيمس ساندرز ، المحلل الرئيسي للسحابة والبنية التحتية والكمية في CCS Insight ، يقول في محادثة مع Dark Reading.
يقول ساندرز: "بالنسبة إلى Azure Virtual Desktop ، تضيف SEV-SNP طبقة إضافية من الأمان لحالات استخدام سطح المكتب الافتراضي ، بما في ذلك إحضار أماكن العمل الخاصة بجهازك ، والعمل عن بُعد ، والتطبيقات التي تتطلب رسومات مكثفة".
لم تنتقل بعض أعباء العمل إلى السحابة بسبب قيود التنظيم والامتثال المرتبطة بخصوصية البيانات وأمانها. قال Run Cai ، مدير البرامج الرئيسي في Microsoft ، خلال المؤتمر ، إن طبقات أمان الأجهزة ستسمح للشركات بترحيل أعباء العمل هذه دون المساس بوضعها الأمني.
أعلنت Microsoft أيضًا أن سطح المكتب الافتراضي Azure مع VM السري كان في المعاينة العامة ، والذي سيكون قادرًا على تشغيل شهادة Windows 11 على VMs السرية.
"يمكنك استخدام الوصول الآمن عن بعد مع ويندوز مرحبا وأيضًا الوصول الآمن إلى تطبيقات Microsoft Office 365 داخل أجهزة افتراضية سرية ".
تعمل Microsoft على استخدام SEV-SNP من AMD في الأجهزة الظاهرية للأغراض العامة منذ وقت سابق من هذا العام ، والتي كانت بداية جيدة ، كما يقول ساندرز من CCS Insight.
يعد اعتماد SEV-SNP أمرًا مهمًا للتحقق من صحة AMD بين مركز البيانات وعملاء السحابة ، حيث اعتمدت الجهود السابقة في الحوسبة السرية على الجيوب الآمنة الجزئية بدلاً من حماية النظام المضيف بأكمله.
يقول ساندرز: "لم يكن تكوين هذا أمرًا سهلاً ، وتركت Microsoft الأمر للشركاء لتوفير حلول الأمان التي تعزز ميزات الأمان في السيليكون".
قال روسينوفيتش من Microsoft إن خدمات Azure لإدارة الأجهزة ونشر التعليمات البرمجية للحوسبة السرية قادمة. ستستند العديد من هذه الخدمات المدارة إلى Confidential Consortium Framework ، وهي بيئة مفتوحة المصدر طورتها Microsoft للحوسبة السرية.
قال روسينوفيتش: "الخدمة المدارة في شكل معاينة ... لدينا عملاء يركلون الإطارات عليها".
