Microsoft menempatkan perangkat keras yang bertanggung jawab atas perlindungan data di Azure untuk membantu pelanggan merasa percaya diri dalam berbagi data dengan pihak yang berwenang dalam lingkungan cloud. Perusahaan membuat serangkaian pengumuman keamanan perangkat keras pada konferensi Ignite 2022 minggu ini untuk menyoroti penawaran komputasi rahasia Azure.
Komputasi rahasia melibatkan pembuatan Lingkungan Eksekusi Tepercaya (TEE), pada dasarnya kotak hitam untuk menyimpan data terenkripsi. Dalam proses yang disebut pengesahan, pihak yang berwenang dapat menempatkan kode di dalam kotak untuk mendekripsi dan mengakses informasi tanpa terlebih dahulu harus memindahkan data keluar dari ruang yang dilindungi. Enklave yang dilindungi perangkat keras menciptakan lingkungan tepercaya di mana data tidak dapat diubah, dan data tidak dapat diakses bahkan oleh mereka yang memiliki akses fisik ke server, hypervisor, atau bahkan aplikasi.
“Ini benar-benar jenis perlindungan data terbaik,” kata Mark Russinovich, chief technology officer Microsoft Azure, di Ignite.
Di Papan Dengan AMD's Epyc
Beberapa dari Microsoft baru lapisan keamanan perangkat keras manfaatkan fitur on-chip yang disertakan dalam Epyc — prosesor server dari Perangkat Mikro Lanjutan yang digunakan di Azure.
Salah satu fitur tersebut adalah SEV-SNP, yang mengenkripsi data AI saat berada di CPU. Aplikasi pembelajaran mesin memindahkan data secara terus menerus antara CPU, akselerator, memori, dan penyimpanan. SEV-SNP AMD memastikan keamanan data di dalam lingkungan CPU, sambil mengunci akses ke informasi tersebut saat melewati siklus eksekusi.
Fitur SEV-SNP AMD menutup celah kritis sehingga data aman di semua lapisan saat berada atau bergerak di perangkat keras. Pembuat chip lainnya sebagian besar berfokus pada enkripsi data saat dalam penyimpanan dan transit di jaringan komunikasi, tetapi fitur AMD mengamankan data saat diproses di CPU.
Itu menawarkan banyak manfaat, dan perusahaan akan dapat menggabungkan data kepemilikan dengan kumpulan data pihak ketiga yang berada di enklave aman lainnya di Azure. Fitur SEV-SNP menggunakan pengesahan untuk memastikan data yang masuk dalam bentuk yang tepat dari a pihak yang mengandalkan dan dapat dipercaya.
“Ini memungkinkan skenario baru bersih dan komputasi rahasia yang tidak mungkin dilakukan sebelumnya,” kata Amar Gowda, manajer produk utama di Microsoft Azure, selama webcast Ignite.
Misalnya, bank akan dapat berbagi data rahasia tanpa takut ada yang mencurinya. Fitur SEV-SNP akan membawa data bank terenkripsi ke dalam enklave pihak ketiga yang aman di mana ia dapat berbaur dengan kumpulan data dari sumber lain.
“Karena pengesahan dan perlindungan memori dan perlindungan integritas ini, Anda dapat yakin bahwa data tidak meninggalkan batas di tangan yang salah. Semuanya adalah tentang bagaimana Anda mengaktifkan penawaran baru di atas platform ini, ”kata Gowda.
Keamanan Perangkat Keras pada Mesin Virtual
Microsoft juga menambahkan keamanan tambahan untuk beban kerja cloud-native, dan kunci enkripsi non-ekspor yang dihasilkan menggunakan SEV-SNP cocok secara logis untuk enklave tempat data bersifat sementara dan tidak disimpan, James Sanders, analis utama untuk cloud, infrastruktur, dan kuantum di CCS Insight, kata dalam percakapan dengan Dark Reading.
“Untuk Azure Virtual Desktop, SEV-SNP menambahkan lapisan keamanan tambahan untuk kasus penggunaan desktop virtual, termasuk tempat kerja dengan perangkat Anda sendiri, pekerjaan jarak jauh, dan aplikasi intensif grafis,” kata Sanders.
Beberapa beban kerja belum dipindahkan ke cloud karena regulasi dan batasan kepatuhan yang terkait dengan privasi dan keamanan data. Lapisan keamanan perangkat keras akan memungkinkan perusahaan untuk memindahkan beban kerja tersebut tanpa mengorbankan postur keamanan mereka, Run Cai, manajer program utama di Microsoft, mengatakan selama konferensi.
Microsoft juga mengumumkan bahwa desktop virtual Azure dengan VM rahasia berada dalam pratinjau publik, yang akan dapat menjalankan pengesahan Windows 11 pada VM rahasia.
“Anda dapat menggunakan akses jarak jauh yang aman dengan Windows Hello dan juga mengamankan akses ke aplikasi Microsoft Office 365 dalam VM rahasia,” kata Cai.
Microsoft telah mencoba-coba penggunaan SEV-SNP AMD di VM tujuan umum dari awal tahun ini, yang merupakan awal yang baik, kata Sanders dari CCS Insight.
Adopsi SEV-SNP juga merupakan validasi penting untuk AMD di antara pusat data dan pelanggan cloud, karena upaya sebelumnya pada komputasi rahasia mengandalkan sebagian kantong aman daripada melindungi seluruh sistem host.
“Ini tidak mudah untuk dikonfigurasi, dan Microsoft menyerahkannya kepada mitra untuk memberikan solusi keamanan yang memanfaatkan fitur keamanan in-silicon,” kata Sanders.
Russinovich dari Microsoft mengatakan bahwa layanan Azure untuk mengelola perangkat keras dan penyebaran kode untuk komputasi rahasia akan datang. Banyak dari layanan terkelola tersebut akan didasarkan pada Confidential Consortium Framework, yang merupakan lingkungan sumber terbuka yang dikembangkan Microsoft untuk komputasi rahasia.
"Layanan terkelola dalam bentuk pratinjau ... kami memiliki pelanggan yang menendang ban di atasnya," kata Russinovich.
