Microsoft place le matériel en charge de la protection des données dans Azure pour aider les clients à se sentir en confiance quant au partage de données avec des parties autorisées dans l'environnement cloud. La société a fait une série d'annonces sur la sécurité matérielle lors de sa conférence Ignite 2022 cette semaine pour mettre en évidence les offres informatiques confidentielles d'Azure.
Informatique confidentielle implique la création d'un environnement d'exécution de confiance (TEE), essentiellement une boîte noire pour contenir des données cryptées. Dans un processus appelé attestation, les parties autorisées peuvent placer du code à l'intérieur de la boîte pour déchiffrer et accéder aux informations sans avoir à déplacer les données hors de l'espace protégé. L'enclave protégée par le matériel crée un environnement fiable dans lequel les données sont inviolables et les données ne sont pas accessibles même à ceux qui ont un accès physique au serveur, à un hyperviseur ou même à une application.
"C'est vraiment le nec plus ultra en matière de protection des données", a déclaré Mark Russinovich, directeur de la technologie de Microsoft Azure, à Ignite.
À bord avec Epyc d'AMD
Plusieurs des nouveautés de Microsoft couches de sécurité matérielles tirez parti des fonctionnalités sur puce incluses dans Epyc, le processeur de serveur d'Advanced Micro Devices déployé sur Azure.
L'une de ces fonctionnalités est SEV-SNP, qui crypte les données AI lorsqu'elles se trouvent dans un processeur. Les applications d'apprentissage automatique déplacent les données en continu entre un processeur, des accélérateurs, de la mémoire et du stockage. Le SEV-SNP d'AMD garantit sécurité des données dans l'environnement CPU, tout en verrouillant l'accès à ces informations tout au long du cycle d'exécution.
La fonction SEV-SNP d'AMD comble une lacune critique afin que les données soient sécurisées à toutes les couches lorsqu'elles résident ou se déplacent dans le matériel. D'autres fabricants de puces se sont largement concentrés sur le cryptage des données pendant leur stockage et leur transit sur les réseaux de communication, mais les fonctionnalités d'AMD sécurisent les données lors de leur traitement dans le processeur.
Cela offre de multiples avantages et les entreprises pourront mélanger des données propriétaires avec des ensembles de données tiers résidant dans d'autres enclaves sécurisées sur Azure. Les fonctionnalités SEV-SNP utilisent l'attestation pour s'assurer que les données entrantes sont dans leur forme exacte à partir d'un partie de confiance et on peut faire confiance.
"Cela permet de nouveaux scénarios nets et une informatique confidentielle qui n'étaient pas possibles auparavant", a déclaré Amar Gowda, chef de produit principal chez Microsoft Azure, lors d'un webcast Ignite.
Par exemple, les banques pourront partager des données confidentielles sans craindre que quelqu'un ne les vole. La fonctionnalité SEV-SNP apportera des données bancaires cryptées dans l'enclave tierce sécurisée où elles pourraient se mêler à des ensembles de données provenant d'autres sources.
«Grâce à cette attestation, à la protection de la mémoire et à la protection de l'intégrité, vous pouvez être assuré que les données ne quittent pas les frontières entre de mauvaises mains. Le tout est de savoir comment activer de nouvelles offres sur cette plate-forme », a déclaré Gowda.
Sécurité matérielle sur les machines virtuelles
Microsoft a également ajouté une sécurité supplémentaire pour les charges de travail natives du cloud, et les clés de chiffrement non exportables générées à l'aide de SEV-SNP sont un ajustement logique pour les enclaves où les données sont transitoires et non conservées, James Sanders, analyste principal pour le cloud, l'infrastructure et le quantum chez CCS Insight, dit dans une conversation avec Dark Reading.
"Pour Azure Virtual Desktop, SEV-SNP ajoute une couche de sécurité supplémentaire pour les cas d'utilisation de bureau virtuel, y compris les lieux de travail avec votre propre appareil, le travail à distance et les applications gourmandes en ressources graphiques", déclare Sanders.
Certaines charges de travail n'ont pas migré vers le cloud en raison de limitations réglementaires et de conformité liées à la confidentialité et à la sécurité des données. Les couches de sécurité matérielles permettront aux entreprises de migrer ces charges de travail sans compromettre leur posture de sécurité, a déclaré Run Cai, responsable principal du programme chez Microsoft, lors de la conférence.
Microsoft a également annoncé que le bureau virtuel Azure avec VM confidentielle était en préversion publique, qui pourra exécuter l'attestation Windows 11 sur des VM confidentielles.
"Vous pouvez utiliser un accès à distance sécurisé avec Windows Bonjour et également un accès sécurisé aux applications Microsoft Office 365 au sein de machines virtuelles confidentielles », a déclaré Cai.
Microsoft s'est essayé à l'utilisation du SEV-SNP d'AMD dans les machines virtuelles à usage général depuis le début de l'année, ce qui était un bon début, selon Sanders de CCS Insight.
L'adoption de SEV-SNP est également une validation importante pour AMD parmi les clients des centres de données et du cloud, car les efforts précédents en matière d'informatique confidentielle reposaient sur des enclaves sécurisées partielles plutôt que sur la protection de l'ensemble du système hôte.
"Ce n'était pas simple à configurer, et Microsoft a laissé le soin à ses partenaires de fournir des solutions de sécurité qui exploitaient les fonctionnalités de sécurité en silicium", déclare Sanders.
Russinovich de Microsoft a déclaré que les services Azure pour gérer le matériel et le déploiement de code pour l'informatique confidentielle sont à venir. Bon nombre de ces services gérés seront basés sur Confidential Consortium Framework, qui est un environnement open source développé par Microsoft pour l'informatique confidentielle.
"Le service géré est en avant-première… nous avons des clients qui en ont marre", a déclaré Russinovich.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
