Microsoft está poniendo el hardware a cargo de la protección de datos en Azure para ayudar a los clientes a sentirse seguros al compartir datos con partes autorizadas dentro del entorno de la nube. La compañía hizo una serie de anuncios de seguridad de hardware en su conferencia Ignite 2022 esta semana para destacar las ofertas informáticas confidenciales de Azure.
Computación confidencial implica la creación de un entorno de ejecución de confianza (TEE), esencialmente una caja negra para almacenar datos cifrados. En un proceso llamado atestación, las partes autorizadas pueden colocar un código dentro de la caja para descifrar y acceder a la información sin tener que sacar primero los datos del espacio protegido. El enclave protegido por hardware crea un entorno confiable en el que los datos son a prueba de manipulaciones, y los datos no son accesibles ni siquiera para aquellos con acceso físico al servidor, un hipervisor o incluso una aplicación.
“Es realmente lo último en protección de datos”, dijo Mark Russinovich, director de tecnología de Microsoft Azure, en Ignite.
A bordo con Epyc de AMD
Varios de los nuevos de Microsoft capas de seguridad de hardware aproveche las características en chip incluidas en Epyc, el procesador de servidor de Advanced Micro Devices implementado en Azure.
Una de esas características es SEV-SNP, que cifra los datos de IA cuando se encuentran en una CPU. Las aplicaciones de aprendizaje automático mueven datos continuamente entre una CPU, aceleradores, memoria y almacenamiento. SEV-SNP de AMD asegura seguridad de datos dentro del entorno de la CPU, mientras bloquea el acceso a esa información a medida que pasa por el ciclo de ejecución.
La función SEV-SNP de AMD cierra una brecha crítica para que los datos estén seguros en todas las capas mientras residen o se mueven en el hardware. Otros fabricantes de chips se han centrado en gran medida en cifrar los datos mientras están almacenados y en tránsito en las redes de comunicación, pero las funciones de AMD protegen los datos mientras se procesan en la CPU.
Eso ofrece múltiples beneficios y las empresas podrán combinar datos propietarios con conjuntos de datos de terceros que residen en otros enclaves seguros en Azure. Las características de SEV-SNP usan atestación para garantizar que los datos entrantes estén en su forma exacta desde un fiesta de confianza y se puede confiar.
“Esto está habilitando escenarios nuevos en la red y computación confidencial que antes no era posible”, dijo Amar Gowda, gerente principal de productos en Microsoft Azure, durante un webcast de Ignite.
Por ejemplo, los bancos podrán compartir datos confidenciales sin temor a que nadie los robe. La función SEV-SNP traerá datos bancarios encriptados al enclave seguro de terceros donde podría mezclarse con conjuntos de datos de otras fuentes.
“Debido a esta atestación y protección de la memoria y protección de la integridad, puede estar seguro de que los datos no dejan los límites en las manos equivocadas. Todo se trata de cómo habilitar nuevas ofertas en la parte superior de esta plataforma”, dijo Gowda.
Seguridad de hardware en máquinas virtuales
Microsoft también agregó seguridad adicional para las cargas de trabajo nativas de la nube, y las claves de cifrado no exportables generadas con SEV-SNP son un ajuste lógico para enclaves donde los datos son transitorios y no se retienen, James Sanders, analista principal de nube, infraestructura y cuántica en CCS Insight, dice en una conversación con Dark Reading.
“Para Azure Virtual Desktop, SEV-SNP agrega una capa adicional de seguridad para los casos de uso de escritorio virtual, incluidos los lugares de trabajo con dispositivo propio, el trabajo remoto y las aplicaciones con uso intensivo de gráficos”, dice Sanders.
Algunas cargas de trabajo no se han trasladado a la nube debido a las limitaciones de cumplimiento y normativas relacionadas con la privacidad y la seguridad de los datos. Las capas de seguridad del hardware permitirán a las empresas migrar tales cargas de trabajo sin comprometer su postura de seguridad, dijo Run Cai, gerente principal de programas de Microsoft, durante la conferencia.
Microsoft también anunció que el escritorio virtual de Azure con VM confidencial estaba en versión preliminar pública, que podrá ejecutar la atestación de Windows 11 en VM confidenciales.
“Puede utilizar el acceso remoto seguro con Windows Hello y también acceso seguro a las aplicaciones de Microsoft Office 365 dentro de máquinas virtuales confidenciales”, dijo Cai.
Microsoft ha estado incursionando en el uso de SEV-SNP de AMD en máquinas virtuales de propósito general desde principios de este año, lo que fue un buen comienzo, dice Sanders de CCS Insight.
La adopción de SEV-SNP también es una validación importante para AMD entre los clientes del centro de datos y la nube, ya que los esfuerzos anteriores en la informática confidencial se basaron en enclaves seguros parciales en lugar de proteger todo el sistema host.
“Esto no fue sencillo de configurar, y Microsoft dejó que los socios proporcionaran soluciones de seguridad que aprovecharan las funciones de seguridad en el silicio”, dice Sanders.
Russinovich de Microsoft dijo que están por llegar los servicios de Azure para administrar el hardware y la implementación de código para la computación confidencial. Muchos de esos servicios gestionados se basarán en Confidential Consortium Framework, que es un entorno de código abierto desarrollado por Microsoft para la informática confidencial.
“El servicio administrado está en forma de vista previa... tenemos clientes que están entusiasmados”, dijo Russinovich.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
