Microsoft setzt Hardware in Azure ein, die für den Datenschutz verantwortlich ist, damit Kunden sich sicher fühlen können, Daten mit autorisierten Parteien innerhalb der Cloud-Umgebung zu teilen. Das Unternehmen hat diese Woche auf seiner Ignite 2022-Konferenz eine Reihe von Ankündigungen zur Hardwaresicherheit gemacht, um die Angebote von Azure für vertrauliche Datenverarbeitung hervorzuheben.
Vertrauliches Rechnen beinhaltet die Erstellung einer Trusted Execution Environment (TEE), im Wesentlichen eine Blackbox zum Speichern verschlüsselter Daten. In einem als Beglaubigung bezeichneten Prozess können autorisierte Parteien einen Code in die Box einfügen, um die Informationen zu entschlüsseln und darauf zuzugreifen, ohne die Daten zuerst aus dem geschützten Bereich entfernen zu müssen. Die hardwaregeschützte Enklave schafft eine vertrauenswürdige Umgebung, in der Daten manipulationssicher sind und die Daten nicht einmal für Personen mit physischem Zugriff auf den Server, einen Hypervisor oder sogar eine Anwendung zugänglich sind.
„Es ist wirklich der ultimative Datenschutz“, sagte Mark Russinovich, Chief Technology Officer von Microsoft Azure, auf der Ignite.
An Bord von AMDs Epyc
Mehrere von Microsofts neuen Hardware-Sicherheitsschichten Profitieren Sie von den in Epyc enthaltenen On-Chip-Funktionen – dem Serverprozessor von Advanced Micro Devices, der auf Azure bereitgestellt wird.
Eine solche Funktion ist SEV-SNP, das KI-Daten in einer CPU verschlüsselt. Anwendungen für maschinelles Lernen verschieben Daten kontinuierlich zwischen einer CPU, Beschleunigern, Arbeitsspeicher und Speicher. AMDs SEV-SNP sorgt dafür Datensicherheit innerhalb der CPU-Umgebung, während der Zugriff auf diese Informationen gesperrt wird, während sie den Ausführungszyklus durchlaufen.
Die SEV-SNP-Funktion von AMD schließt eine kritische Lücke, sodass Daten auf allen Ebenen sicher sind, während sie sich in der Hardware befinden oder bewegen. Andere Chiphersteller haben sich weitgehend auf die Verschlüsselung von Daten während der Speicherung und Übertragung in Kommunikationsnetzwerken konzentriert, aber die Funktionen von AMD sichern Daten, während sie in der CPU verarbeitet werden.
Das bietet mehrere Vorteile, und Unternehmen können proprietäre Daten mit Datensätzen von Drittanbietern mischen, die sich in anderen sicheren Enklaven auf Azure befinden. Die SEV-SNP-Funktionen verwenden eine Bestätigung, um sicherzustellen, dass eingehende Daten in ihrer exakten Form von a vertrauende Partei und kann vertrauenswürdig sein.
„Dies ermöglicht völlig neue Szenarien und vertrauliche Datenverarbeitung, die vorher nicht möglich waren“, sagte Amar Gowda, Hauptproduktmanager bei Microsoft Azure, während eines Ignite-Webcasts.
Beispielsweise können Banken vertrauliche Daten austauschen, ohne befürchten zu müssen, dass jemand sie stiehlt. Die SEV-SNP-Funktion bringt verschlüsselte Bankdaten in die sichere Enklave von Drittanbietern, wo sie sich mit Datensätzen aus anderen Quellen vermischen könnten.
„Aufgrund dieser Attestierung und des Speicher- und Integritätsschutzes können Sie sicher sein, dass die Daten die Grenzen nicht in die falschen Hände verlassen. Das Ganze dreht sich darum, wie Sie neue Angebote auf dieser Plattform ermöglichen“, sagte Gowda.
Hardwaresicherheit auf virtuellen Maschinen
Microsoft hat auch zusätzliche Sicherheit für Cloud-native Workloads hinzugefügt, und die nicht exportierbaren Verschlüsselungsschlüssel, die mit SEV-SNP generiert werden, sind eine logische Ergänzung für Enklaven, in denen Daten vorübergehend sind und nicht gespeichert werden, James Sanders, Principal Analyst für Cloud, Infrastruktur und Quanten bei CCS Insight, sagt in einem Gespräch mit Dark Reading.
„Für Azure Virtual Desktop fügt SEV-SNP eine zusätzliche Sicherheitsebene für Anwendungsfälle virtueller Desktops hinzu, darunter Bring-Your-Own-Device-Arbeitsplätze, Remote-Arbeit und grafikintensive Anwendungen“, sagt Sanders.
Einige Workloads wurden aufgrund von Vorschriften und Compliance-Einschränkungen im Zusammenhang mit Datenschutz und -sicherheit nicht in die Cloud verschoben. Die Hardware-Sicherheitsschichten werden es Unternehmen ermöglichen, solche Workloads zu migrieren, ohne ihre Sicherheitslage zu gefährden, sagte Run Cai, ein leitender Programmmanager bei Microsoft, während der Konferenz.
Microsoft kündigte außerdem an, dass sich der virtuelle Azure-Desktop mit vertraulicher VM in der öffentlichen Vorschau befindet, wodurch die Windows 11-Bestätigung auf vertraulichen VMs ausgeführt werden kann.
„Sie können einen sicheren Fernzugriff mit verwenden Windows Hallo und auch den sicheren Zugriff auf Microsoft Office 365-Anwendungen innerhalb vertraulicher VMs“, sagte Cai.
Microsoft hat sich seit Anfang dieses Jahres mit der Verwendung von AMDs SEV-SNP in Allzweck-VMs beschäftigt, was ein guter Anfang war, sagt Sanders von CCS Insight.
Die Einführung von SEV-SNP ist für AMD auch eine wichtige Bestätigung für Rechenzentrums- und Cloud-Kunden, da frühere Bemühungen um vertrauliches Computing auf teilweise sicheren Enklaven beruhten, anstatt das gesamte Hostsystem zu schützen.
„Dies war nicht einfach zu konfigurieren, und Microsoft überließ es seinen Partnern, Sicherheitslösungen bereitzustellen, die In-Silicon-Sicherheitsfunktionen nutzen“, sagt Sanders.
Russinovich von Microsoft sagte, dass Azure-Dienste zur Verwaltung von Hardware und Bereitstellung von Code für vertrauliche Datenverarbeitung kommen werden. Viele dieser Managed Services basieren auf dem Confidential Consortium Framework, einer von Microsoft entwickelten Open-Source-Umgebung für Confidential Computing.
„Managed Service befindet sich in der Vorschauform … wir haben Kunden, die darauf die Reifen treten“, sagte Russinovich.
