A Microsoft hardvert helyez az adatvédelemért az Azure-ban, hogy az ügyfelek magabiztosan oszthassák meg az adatokat a felhőkörnyezeten belüli jogosult felekkel. A vállalat egy sor hardverbiztonsági bejelentést tett az Ignite 2022 konferenciáján ezen a héten, hogy kiemelje az Azure bizalmas számítástechnikai kínálatát.
Bizalmas számítástechnika Ez magában foglalja a Trusted Execution Environment (TEE) létrehozását, amely lényegében egy fekete doboz a titkosított adatok tárolására. A tanúsításnak nevezett folyamat során a felhatalmazott felek kódot helyezhetnek el a dobozban, hogy visszafejtsék és hozzáférjenek az információkhoz anélkül, hogy először ki kellene helyezniük az adatokat a védett területről. A hardver által védett enklávé megbízható környezetet hoz létre, amelyben az adatok hamisításmentesek, és az adatokhoz még azok sem férhetnek hozzá, akik fizikailag hozzáférnek a szerverhez, hipervizorhoz vagy akár alkalmazáshoz.
„Ez valóban a legjobb adatvédelem” – mondta Mark Russinovich, a Microsoft Azure technológiai igazgatója az Ignite-nál.
Az AMD Epyc fedélzetén
A Microsoft számos újdonsága hardver biztonsági rétegek kihasználja az Epyc – az Azure-ban telepített Advanced Micro Devices kiszolgálóprocesszora – chipen található funkcióit.
Az egyik ilyen funkció a SEV-SNP, amely titkosítja az AI-adatokat a CPU-ban. A gépi tanulási alkalmazások folyamatosan mozgatják az adatokat a CPU, a gyorsítók, a memória és a tároló között. Az AMD SEV-SNP biztosítja adatbiztonság a CPU környezetben, miközben letiltja az ehhez az információhoz való hozzáférést, miközben az átmegy a végrehajtási cikluson.
Az AMD SEV-SNP funkciója bezár egy kritikus rést, így az adatok minden rétegben biztonságban vannak, miközben a hardverben tartózkodnak vagy mozognak. Más chipgyártók nagyrészt az adatok titkosítására összpontosítottak tárolás közben és kommunikációs hálózatokon való továbbítása során, de az AMD jellemzői a CPU-ban történő feldolgozás során is biztonságos adatkezelésre.
Ez többféle előnnyel jár, és a vállalatok keverhetik a védett adatokat az Azure más biztonságos enklávéiban található, harmadik féltől származó adatkészletekkel. A SEV-SNP funkciói tanúsítványt használnak annak biztosítására, hogy a bejövő adatok pontos formájukban legyenek a támaszkodó fél és meg lehet bízni.
„Ez új forgatókönyveket tesz lehetővé, és olyan bizalmas számítástechnikát tesz lehetővé, amely korábban nem volt lehetséges” – mondta Amar Gowda, a Microsoft Azure fő termékmenedzsere az Ignite webcast során.
Például a bankok bizalmas adatokat oszthatnak meg anélkül, hogy attól félnének, hogy valaki ellopja azokat. A SEV-SNP funkció titkosított banki adatokat visz a harmadik fél biztonságos enklávéjába, ahol keveredhet más forrásokból származó adatkészletekkel.
„Ennek a tanúsítványnak, a memória- és integritásvédelemnek köszönhetően biztos lehet benne, hogy az adatok nem hagyják el a határokat rossz kezekbe. Az egész arról szól, hogyan lehet új ajánlatokat engedélyezni ezen a platformon” – mondta Gowda.
Hardveres biztonság a virtuális gépeken
A Microsoft emellett további biztonságot adott a felhőben natív munkaterhelésekhez, és a SEV-SNP segítségével generált, nem exportálható titkosítási kulcsok logikusan illeszkednek azokhoz az enklávékhoz, ahol az adatok átmenetiek és nem maradnak meg. James Sanders, a felhő, az infrastruktúra és a kvantum elemzője CCS Insight, mondja a Dark Readinggel folytatott beszélgetés során.
„Az Azure Virtual Desktop esetében a SEV-SNP további biztonsági réteget ad a virtuális asztali felhasználási esetekhez, ideértve a saját eszközzel való munkahelyeket, a távoli munkát és a grafikaigényes alkalmazásokat” – mondja Sanders.
Egyes munkaterhelések nem kerültek át a felhőbe az adatvédelemmel és -biztonsággal kapcsolatos szabályozási és megfelelőségi korlátozások miatt. A hardveres biztonsági rétegek lehetővé teszik a vállalatok számára, hogy áttelepítsék az ilyen terheléseket anélkül, hogy veszélyeztetnék biztonsági helyzetüket – mondta Run Cai, a Microsoft egyik fő programvezetője a konferencia során.
A Microsoft azt is bejelentette, hogy a bizalmas virtuális géppel rendelkező Azure virtuális asztal nyilvános előnézetben van, amely képes lesz a Windows 11 tanúsítvány futtatására bizalmas virtuális gépeken.
„Biztonságos távoli hozzáférést használhat a következővel Windows Hello és biztonságos hozzáférést biztosít a Microsoft Office 365-alkalmazásokhoz a bizalmas virtuális gépeken” – mondta Cai.
A Microsoft már az év eleje óta foglalkozik az AMD SEV-SNP használatával az általános célú virtuális gépekben, ami jó kezdet volt, mondja a CCS Insight Sanders.
A SEV-SNP átvétele az AMD számára is fontos érvényesítést jelent az adatközpont- és felhőügyfelek körében, mivel a bizalmas számítástechnika korábbi erőfeszítései a részleges biztonságos enklávékon alapultak, nem pedig a teljes gazdagéprendszer védelmében.
„Ezt nem volt egyszerű konfigurálni, és a Microsoft a partnerekre bízta a szilíciumba ágyazott biztonsági funkciókat kihasználó biztonsági megoldások nyújtását” – mondja Sanders.
A Microsoft Russinovics elmondta, hogy jönnek az Azure-szolgáltatások a hardverkezelésre és a titkos számítástechnikai kódok telepítésére. A felügyelt szolgáltatások közül sok a Confidential Consortium Framework-en fog alapulni, amely a Microsoft által fejlesztett nyílt forráskódú környezet a bizalmas számítástechnika számára.
„A felügyelt szolgáltatás előnézeti formában van… olyan ügyfeleink vannak, akik felrúgják az abroncsokat” – mondta Russinovich.
