مایکروسافت سختافزاری را مسئول حفاظت از دادهها در Azure قرار میدهد تا به مشتریان کمک کند نسبت به اشتراکگذاری دادهها با اشخاص مجاز در محیط ابری اطمینان داشته باشند. این شرکت در کنفرانس Ignite 2022 این هفته مجموعه ای از اعلامیه های امنیتی سخت افزاری را برای برجسته کردن پیشنهادات محاسباتی محرمانه Azure ارائه کرد.
محاسبه محرمانه شامل ایجاد یک محیط اجرای مورد اعتماد (TEE) است، که اساسا یک جعبه سیاه برای نگهداری داده های رمزگذاری شده است. در فرآیندی به نام تصدیق، اشخاص مجاز می توانند کدی را در داخل جعبه قرار دهند تا رمزگشایی و دسترسی به اطلاعات بدون نیاز به انتقال داده ها به خارج از فضای محافظت شده باشد. محفظه محافظت شده با سخت افزار یک محیط قابل اعتماد ایجاد می کند که در آن داده ها ضد دستکاری هستند و داده ها حتی برای کسانی که دسترسی فیزیکی به سرور، هایپروایزر یا حتی یک برنامه کاربردی دارند، قابل دسترسی نیست.
مارک روسینوویچ، مدیر ارشد فناوری Microsoft Azure، در Ignite گفت: «این واقعاً به نوعی در حفاظت از دادهها بسیار عالی است.
همراه با AMD's Epyc
چندین مورد جدید مایکروسافت لایه های امنیتی سخت افزاری از ویژگیهای روی تراشه موجود در Epyc استفاده کنید - پردازنده سرور از دستگاههای میکرو پیشرفته مستقر در Azure.
یکی از این ویژگیها SEV-SNP است که دادههای هوش مصنوعی را هنگامی که در یک CPU هستند رمزگذاری میکند. برنامه های یادگیری ماشینی داده ها را به طور پیوسته بین CPU، شتاب دهنده ها، حافظه و حافظه جابجا می کنند. SEV-SNP AMD تضمین می کند امنیت داده ها در محیط CPU، در حالی که دسترسی به آن اطلاعات را در طول چرخه اجرا قفل می کند.
ویژگی SEV-SNP AMD یک شکاف مهم را میبندد تا دادهها در تمام لایهها در هنگام اقامت یا حرکت در سختافزار ایمن باشند. سایر سازندگان تراشه تا حد زیادی بر روی رمزگذاری داده ها در هنگام ذخیره سازی و انتقال در شبکه های ارتباطی تمرکز کرده اند، اما AMD دارای داده های امن در حین پردازش در CPU است.
این مزایای متعددی را ارائه میکند و شرکتها میتوانند دادههای اختصاصی را با مجموعه دادههای شخص ثالث ساکن در سایر محصورات امن در Azure ترکیب کنند. ویژگیهای SEV-SNP از گواهی استفاده میکنند تا اطمینان حاصل شود که دادههای ورودی به شکل دقیق آن از a است حزب اتکا و قابل اعتماد است.
Amar Gowda، مدیر محصول مایکروسافت Azure، در جریان پخش وب Ignite گفت: "این سناریوهای جدید و محاسبات محرمانه را امکان پذیر می کند که قبلاً امکان پذیر نبود."
برای مثال، بانکها میتوانند دادههای محرمانه را بدون ترس از سرقت آنها به اشتراک بگذارند. ویژگی SEV-SNP دادههای بانکی رمزگذاریشده را به بخش امن شخص ثالث میآورد، جایی که میتواند با مجموعه دادههای منابع دیگر ترکیب شود.
"به دلیل این گواهی و حفاظت از حافظه و حفاظت از یکپارچگی، می توانید مطمئن باشید که داده ها مرزها را در دستان اشتباه قرار نمی دهند. کل موضوع به این است که چگونه میتوانید پیشنهادات جدید را در بالای این پلتفرم فعال کنید.» گودا گفت.
امنیت سخت افزار در ماشین های مجازی
جیمز سندرز، تحلیلگر اصلی ابر، زیرساخت و کوانتومی، مایکروسافت همچنین امنیت بیشتری را برای بارهای کاری بومی ابری اضافه کرده است، و کلیدهای رمزگذاری غیرقابل صادرات تولید شده با استفاده از SEV-SNP برای مناطقی که داده ها گذرا هستند و حفظ نمی شوند، مناسب هستند. CCS Insight در گفتگو با Dark Reading می گوید.
سندرز میگوید: «برای دسکتاپ مجازی Azure، SEV-SNP یک لایه امنیتی اضافی برای موارد استفاده از دسکتاپ مجازی، از جمله مکانهای کاری، کار از راه دور، و برنامههای گرافیکی فشرده، اضافه میکند.
برخی از بارهای کاری به دلیل محدودیت های مقررات و انطباق مرتبط با حریم خصوصی و امنیت داده ها به ابر منتقل نشده اند. Run Cai، مدیر برنامه اصلی مایکروسافت در این کنفرانس گفت که لایههای امنیتی سختافزار به شرکتها این امکان را میدهد که چنین بارهای کاری را بدون به خطر انداختن وضعیت امنیتی خود منتقل کنند.
مایکروسافت همچنین اعلام کرد که دسکتاپ مجازی Azure با VM محرمانه در پیشنمایش عمومی قرار دارد که میتواند تأییدیه ویندوز 11 را روی ماشینهای مجازی محرمانه اجرا کند.
"شما می توانید از دسترسی از راه دور امن با استفاده کنید ویندوز سلام و همچنین دسترسی ایمن به برنامه های مایکروسافت آفیس 365 در ماشین های مجازی محرمانه.
سندرز از CCS Insight می گوید که مایکروسافت از اوایل سال جاری با استفاده از SEV-SNP AMD در ماشین های مجازی همه منظوره تلاش کرده است که شروع خوبی بود.
پذیرش SEV-SNP همچنین اعتبار مهمی برای AMD در میان مشتریان مرکز داده و ابر است، زیرا تلاشهای قبلی در محاسبات محرمانه به جای محافظت از کل سیستم میزبان، به بخشهای امن جزئی متکی بود.
سندرز میگوید: «پیکربندی این کار ساده نبود و مایکروسافت آن را به شرکای خود واگذار کرد تا راهحلهای امنیتی را که از ویژگیهای امنیتی درون سیلیکونی بهره میبرد، ارائه دهند.
Russinovich از مایکروسافت گفت که خدمات Azure برای مدیریت سخت افزار و استقرار کد برای محاسبات محرمانه در راه است. بسیاری از این سرویس های مدیریت شده بر اساس چارچوب کنسرسیوم محرمانه، که یک محیط منبع باز توسعه یافته توسط مایکروسافت برای محاسبات محرمانه است، خواهد بود.
Russinovich گفت: "سرویس مدیریت شده در فرم پیش نمایش است ... ما مشتریانی داریم که لاستیک ها را روی آن می زنند."