Η Microsoft προστατεύει τα Azure Enclaves με προφυλακτήρες υλικού

Η Microsoft τοποθετεί το υλικό υπεύθυνο για την προστασία δεδομένων στο Azure για να βοηθήσει τους πελάτες να αισθάνονται σίγουροι για την κοινή χρήση δεδομένων με εξουσιοδοτημένα μέρη εντός του περιβάλλοντος cloud. Η εταιρεία έκανε μια σειρά από ανακοινώσεις ασφάλειας υλικού στο συνέδριο Ignite 2022 αυτή την εβδομάδα για να τονίσει τις εμπιστευτικές υπολογιστικές προσφορές της Azure.

Εμπιστευτικός υπολογισμός περιλαμβάνει τη δημιουργία ενός Trusted Execution Environment (TEE), ουσιαστικά ενός μαύρου κουτιού για τη διατήρηση κρυπτογραφημένων δεδομένων. Σε μια διαδικασία που ονομάζεται βεβαίωση, τα εξουσιοδοτημένα μέρη μπορούν να τοποθετήσουν κωδικό μέσα στο κουτί για να αποκρυπτογραφήσουν και να έχουν πρόσβαση στις πληροφορίες χωρίς να χρειάζεται πρώτα να μετακινήσουν τα δεδομένα από τον προστατευμένο χώρο. Ο θύλακας που προστατεύεται από υλικό δημιουργεί ένα αξιόπιστο περιβάλλον στο οποίο τα δεδομένα δεν παραβιάζονται και τα δεδομένα δεν είναι προσβάσιμα ακόμη και σε εκείνους που έχουν φυσική πρόσβαση στον διακομιστή, έναν hypervisor ή ακόμα και σε μια εφαρμογή.

«Είναι πραγματικά το απόλυτο στην προστασία δεδομένων», δήλωσε στο Ignite ο Mark Russinovich, επικεφαλής τεχνολογίας της Microsoft Azure.

Εν πλω Με το Epyc της AMD

Αρκετά από τα νέα της Microsoft επίπεδα ασφάλειας υλικού επωφεληθείτε από τις λειτουργίες στο chip που περιλαμβάνονται στο Epyc — ο επεξεργαστής διακομιστή από τις Advanced Micro Devices που αναπτύσσονται στο Azure.

Ένα τέτοιο χαρακτηριστικό είναι το SEV-SNP, το οποίο κρυπτογραφεί δεδομένα AI όταν βρίσκεται σε μια CPU. Οι εφαρμογές μηχανικής μάθησης μετακινούν δεδομένα συνεχώς μεταξύ μιας CPU, των επιταχυντών, της μνήμης και της αποθήκευσης. Το SEV-SNP της AMD διασφαλίζει ασφάλεια δεδομένων μέσα στο περιβάλλον της CPU, ενώ κλειδώνει την πρόσβαση σε αυτές τις πληροφορίες καθώς περνάει από τον κύκλο εκτέλεσης.

Η δυνατότητα SEV-SNP της AMD κλείνει ένα κρίσιμο κενό, ώστε τα δεδομένα να είναι ασφαλή σε όλα τα επίπεδα ενώ βρίσκονται ή μετακινούνται στο υλικό. Άλλοι κατασκευαστές τσιπ έχουν επικεντρωθεί σε μεγάλο βαθμό στην κρυπτογράφηση δεδομένων κατά την αποθήκευση και τη μεταφορά σε δίκτυα επικοινωνίας, αλλά η AMD διαθέτει ασφαλή δεδομένα κατά την επεξεργασία τους στην CPU.

Αυτό προσφέρει πολλαπλά οφέλη και οι εταιρείες θα μπορούν να συνδυάζουν ιδιόκτητα δεδομένα με σύνολα δεδομένων τρίτων που βρίσκονται σε άλλους ασφαλείς θύλακες στο Azure. Οι δυνατότητες SEV-SNP χρησιμοποιούν βεβαίωση για να διασφαλίσουν ότι τα εισερχόμενα δεδομένα είναι στην ακριβή τους μορφή από α στηριζόμενο κόμμα και μπορεί να είναι αξιόπιστη.

"Αυτό επιτρέπει καθαρά νέα σενάρια και εμπιστευτικούς υπολογισμούς που δεν ήταν δυνατοί πριν", δήλωσε ο Amar Gowda, κύριος διευθυντής προϊόντων στο Microsoft Azure, κατά τη διάρκεια μιας διαδικτυακής μετάδοσης του Ignite.

Για παράδειγμα, οι τράπεζες θα μπορούν να μοιράζονται εμπιστευτικά δεδομένα χωρίς να φοβούνται ότι κάποιος θα τα κλέψει. Η δυνατότητα SEV-SNP θα φέρει κρυπτογραφημένα τραπεζικά δεδομένα στον ασφαλή θύλακα τρίτων όπου θα μπορούσε να αναμειχθεί με σύνολα δεδομένων από άλλες πηγές.

«Λόγω αυτής της βεβαίωσης και της προστασίας της μνήμης και της προστασίας της ακεραιότητας, μπορείτε να είστε σίγουροι ότι τα δεδομένα δεν αφήνουν τα όρια σε λάθος χέρια. Το όλο θέμα είναι πώς μπορείτε να ενεργοποιήσετε νέες προσφορές πάνω από αυτήν την πλατφόρμα», είπε ο Gowda.

Ασφάλεια υλικού σε εικονικές μηχανές

Η Microsoft πρόσθεσε επίσης πρόσθετη ασφάλεια για εγγενείς φόρτους εργασίας στο cloud και τα μη εξαγώγιμα κλειδιά κρυπτογράφησης που δημιουργούνται με χρήση SEV-SNP είναι λογικά κατάλληλα για θύλακες όπου τα δεδομένα είναι παροδικά και δεν διατηρούνται, James Sanders, κύριος αναλυτής για το cloud, την υποδομή και το quantum στο Το CCS Insight, λέει σε μια συνομιλία με το Dark Reading.

«Για την εικονική επιφάνεια εργασίας Azure, το SEV-SNP προσθέτει ένα πρόσθετο επίπεδο ασφάλειας για περιπτώσεις χρήσης εικονικής επιφάνειας εργασίας, συμπεριλαμβανομένων χώρων εργασίας με τη δική σας συσκευή, απομακρυσμένης εργασίας και εφαρμογών με ένταση γραφικών», λέει ο Sanders.

Ορισμένοι φόρτοι εργασίας δεν έχουν μετακινηθεί στο cloud λόγω κανονισμών και περιορισμών συμμόρφωσης που συνδέονται με το απόρρητο και την ασφάλεια των δεδομένων. Τα επίπεδα ασφαλείας υλικού θα επιτρέψουν στις εταιρείες να μεταφέρουν τέτοιους φόρτους εργασίας χωρίς να διακυβεύεται η στάση ασφαλείας τους, δήλωσε ο Run Cai, κύριος διευθυντής προγραμμάτων στη Microsoft, κατά τη διάρκεια της διάσκεψης.

Η Microsoft ανακοίνωσε επίσης ότι η εικονική επιφάνεια εργασίας Azure με εμπιστευτική εικονική μηχανή ήταν σε δημόσια προεπισκόπηση, η οποία θα μπορεί να εκτελεί βεβαίωση των Windows 11 σε εμπιστευτικά VM.

«Μπορείτε να χρησιμοποιήσετε ασφαλή απομακρυσμένη πρόσβαση με Windows Γεια σας και επίσης ασφαλής πρόσβαση σε εφαρμογές του Microsoft Office 365 μέσα σε εμπιστευτικά VMs», είπε ο Cai.

Η Microsoft ασχολείται με τη χρήση του SEV-SNP της AMD σε VM γενικής χρήσης από τις αρχές του έτους, κάτι που ήταν μια καλή αρχή, λέει ο Sanders της CCS Insight.

Η υιοθέτηση του SEV-SNP είναι επίσης σημαντική επικύρωση για την AMD μεταξύ των πελατών του κέντρου δεδομένων και του cloud, καθώς οι προηγούμενες προσπάθειες για εμπιστευτικό υπολογισμό βασίζονταν σε μερικώς ασφαλείς θύλακες αντί στην προστασία ολόκληρου του συστήματος υποδοχής.

«Αυτό δεν ήταν εύκολο να ρυθμιστεί και η Microsoft άφησε τους συνεργάτες να παρέχουν λύσεις ασφαλείας που αξιοποιούν χαρακτηριστικά ασφαλείας σε πυρίτιο», λέει ο Sanders.

Ο Russinovich της Microsoft είπε ότι έρχονται υπηρεσίες Azure για τη διαχείριση του υλικού και την ανάπτυξη κώδικα για εμπιστευτικούς υπολογισμούς. Πολλές από αυτές τις διαχειριζόμενες υπηρεσίες θα βασίζονται στο Confidential Consortium Framework, το οποίο είναι ένα περιβάλλον ανοιχτού κώδικα που αναπτύχθηκε από τη Microsoft για εμπιστευτικούς υπολογισμούς.

«Η διαχειριζόμενη υπηρεσία είναι σε μορφή προεπισκόπησης… έχουμε πελάτες που την κουμπώνουν τα λάστιχα», είπε ο Russinovich.