Microsoft sætter hardware til ansvar for databeskyttelse i Azure for at hjælpe kunder med at føle sig trygge ved at dele data med autoriserede parter i cloudmiljøet. Virksomheden fremsatte en række hardwaresikkerhedsmeddelelser på sin Ignite 2022-konference i denne uge for at fremhæve Azures fortrolige computertilbud.
Fortrolig computing involverer oprettelse af et Trusted Execution Environment (TEE), i det væsentlige en sort boks til at opbevare krypterede data. I en proces kaldet attestation kan autoriserede parter placere kode inde i boksen for at dekryptere og få adgang til oplysningerne uden først at skulle flytte dataene ud af det beskyttede rum. Den hardwarebeskyttede enklave skaber et pålideligt miljø, hvor data er manipulationssikre, og dataene er ikke tilgængelige for selv dem med fysisk adgang til serveren, en hypervisor eller endda en applikation.
"Det er virkelig noget af det ultimative inden for databeskyttelse," sagde Mark Russinovich, Microsoft Azures teknologichef, hos Ignite.
Ombord med AMD's Epyc
Flere af Microsofts nye hardwaresikkerhedslag drag fordel af on-chip funktioner inkluderet i Epyc - serverprocessoren fra Advanced Micro Devices implementeret på Azure.
En sådan funktion er SEV-SNP, som krypterer AI-data i en CPU. Maskinlæringsapplikationer flytter data kontinuerligt mellem en CPU, acceleratorer, hukommelse og lager. AMD's SEV-SNP sikrer datasikkerhed inde i CPU-miljøet, mens den låser adgangen til disse oplysninger, mens den går gennem udførelsescyklussen.
AMD's SEV-SNP-funktion lukker et kritisk hul, så data er sikre på alle lag, mens de opholder sig eller bevæger sig i hardwaren. Andre chipproducenter har stort set fokuseret på at kryptere data, mens de er lagret og under transport på kommunikationsnetværk, men AMD's har sikre data, mens de behandles i CPU'en.
Det giver flere fordele, og virksomheder vil være i stand til at blande proprietære data med tredjepartsdatasæt, der ligger i andre sikre enklaver på Azure. SEV-SNP-funktionerne bruger attestation til at sikre, at indgående data er i sin nøjagtige form fra en stolende part og kan stole på.
"Dette muliggør nye netscenarier og fortrolig databehandling, som ikke var mulig før," sagde Amar Gowda, hovedproduktchef hos Microsoft Azure, under en Ignite-webcast.
For eksempel vil banker være i stand til at dele fortrolige data uden frygt for, at nogen stjæler dem. SEV-SNP-funktionen vil bringe krypterede bankdata ind i den sikre tredjeparts enklave, hvor de kan blande sig med datasæt fra andre kilder.
"På grund af denne attestation og hukommelsesbeskyttelse og integritetsbeskyttelse kan du være sikker på, at dataene ikke efterlader grænserne i de forkerte hænder. Det hele handler om, hvordan du aktiverer nye tilbud oven på denne platform,” sagde Gowda.
Hardwaresikkerhed på virtuelle maskiner
Microsoft tilføjede også yderligere sikkerhed for cloud-native arbejdsbelastninger, og de ikke-eksporterbare krypteringsnøgler, der er genereret ved hjælp af SEV-SNP, passer logisk til enklaver, hvor data er forbigående og ikke opbevares, siger James Sanders, hovedanalytiker for cloud, infrastruktur og kvante hos CCS Insight, siger i en samtale med Dark Reading.
"Til Azure Virtual Desktop tilføjer SEV-SNP et ekstra lag af sikkerhed til virtuelle desktop-brugssager, herunder medbring-din-egen-enhed-arbejdspladser, fjernarbejde og grafikintensive applikationer," siger Sanders.
Nogle arbejdsbelastninger er ikke flyttet til skyen på grund af regulerings- og overholdelsesbegrænsninger knyttet til databeskyttelse og sikkerhed. Hardwaresikkerhedslagene vil give virksomheder mulighed for at migrere sådanne arbejdsbelastninger uden at kompromittere deres sikkerhedsposition, sagde Run Cai, en hovedprogramleder hos Microsoft, under konferencen.
Microsoft annoncerede også, at det virtuelle Azure-skrivebord med fortrolig VM var i offentlig forhåndsvisning, som vil være i stand til at køre Windows 11-attestering på fortrolige VM'er.
"Du kan bruge sikker fjernadgang med Windows Hej og også sikker adgang til Microsoft Office 365-applikationer i fortrolige VM'er," sagde Cai.
Microsoft har beskæftiget sig med brugen af AMD's SEV-SNP i generelle VM'er fra tidligere på året, hvilket var en god start, siger Sanders fra CCS Insight.
Vedtagelse af SEV-SNP er også vigtig validering for AMD blandt datacenter- og cloudkunder, da tidligere bestræbelser på fortrolig databehandling var baseret på delvise sikre enklaver i stedet for at beskytte hele værtssystemet.
"Dette var ikke ligetil at konfigurere, og Microsoft overlod det til partnere at levere sikkerhedsløsninger, der udnyttede in-silicium sikkerhedsfunktioner," siger Sanders.
Microsofts Russinovich sagde, at Azure-tjenester til at administrere hardware og implementering af kode til fortrolig databehandling er på vej. Mange af disse administrerede tjenester vil være baseret på Confidential Consortium Framework, som er et Microsoft-udviklet open source-miljø til fortrolig databehandling.
"Managed service er i preview-form ... vi har kunder, der sparker dækkene på den," sagde Russinovich.
