Microsoft sta affidando l'hardware alla protezione dei dati in Azure per aiutare i clienti a sentirsi sicuri nella condivisione dei dati con le parti autorizzate all'interno dell'ambiente cloud. La società ha fatto una serie di annunci sulla sicurezza hardware durante la conferenza Ignite 2022 di questa settimana per mettere in evidenza le offerte di elaborazione riservate di Azure.
Informatica riservata implica la creazione di un Trusted Execution Environment (TEE), essenzialmente una scatola nera per contenere dati crittografati. In un processo chiamato attestazione, le parti autorizzate possono inserire il codice all'interno della scatola per decrittografare e accedere alle informazioni senza dover prima spostare i dati fuori dallo spazio protetto. L'enclave protetta dall'hardware crea un ambiente affidabile in cui i dati sono a prova di manomissione e i dati non sono accessibili nemmeno a coloro che hanno accesso fisico al server, a un hypervisor o persino a un'applicazione.
"È davvero il massimo in termini di protezione dei dati", ha affermato Mark Russinovich, Chief Technology Officer di Microsoft Azure, presso Ignite.
A bordo con Epyc di AMD
Molte delle novità di Microsoft livelli di sicurezza hardware sfruttare le funzionalità su chip incluse in Epyc, il processore server di Advanced Micro Devices distribuito in Azure.
Una di queste funzionalità è SEV-SNP, che crittografa i dati AI quando è in una CPU. Le applicazioni di apprendimento automatico spostano continuamente i dati tra CPU, acceleratori, memoria e storage. Il SEV-SNP di AMD assicura sicurezza dei dati all'interno dell'ambiente CPU, bloccando l'accesso a tali informazioni durante il ciclo di esecuzione.
La funzione SEV-SNP di AMD colma una lacuna critica in modo che i dati siano protetti a tutti i livelli mentre risiedono o si spostano nell'hardware. Altri produttori di chip si sono concentrati in gran parte sulla crittografia dei dati durante l'archiviazione e in transito sulle reti di comunicazione, ma le funzionalità di AMD proteggono i dati durante l'elaborazione nella CPU.
Ciò offre molteplici vantaggi e le aziende potranno combinare dati proprietari con set di dati di terze parti che risiedono in altre enclavi sicure su Azure. Le funzionalità SEV-SNP utilizzano l'attestazione per garantire che i dati in entrata siano nella loro forma esatta da a parte affidata e ci si può fidare.
"Ciò sta consentendo nuovi scenari netti e un'elaborazione riservata che non era possibile prima", ha affermato Amar Gowda, principale product manager di Microsoft Azure, durante un webcast di Ignite.
Ad esempio, le banche potranno condividere dati riservati senza il timore che qualcuno li rubi. La funzione SEV-SNP porterà i dati bancari crittografati nell'enclave sicura di terze parti dove potrebbero mescolarsi con set di dati provenienti da altre fonti.
“Grazie a questa attestazione e alla protezione della memoria e dell'integrità, puoi essere certo che i dati non lasceranno i confini nelle mani sbagliate. L'intera questione riguarda come abilitare nuove offerte su questa piattaforma", ha affermato Gowda.
Sicurezza hardware su macchine virtuali
Microsoft ha anche aggiunto ulteriore sicurezza per i carichi di lavoro nativi del cloud e le chiavi di crittografia non esportabili generate utilizzando SEV-SNP sono una soluzione logica per le enclavi in cui i dati sono temporanei e non vengono conservati, James Sanders, analista principale per cloud, infrastruttura e quantum at CCS Insight, dice in una conversazione con Dark Reading.
"Per Desktop virtuale di Azure, SEV-SNP aggiunge un ulteriore livello di sicurezza per i casi d'uso del desktop virtuale, inclusi i luoghi di lavoro porta il tuo dispositivo, il lavoro remoto e le applicazioni ad alta intensità grafica", afferma Sanders.
Alcuni carichi di lavoro non sono stati spostati nel cloud a causa di limitazioni di regolamentazione e conformità legate alla privacy e alla sicurezza dei dati. I livelli di sicurezza hardware consentiranno alle aziende di migrare tali carichi di lavoro senza compromettere la loro posizione di sicurezza, ha affermato durante la conferenza Run Cai, uno dei principali program manager di Microsoft.
Microsoft ha anche annunciato che il desktop virtuale di Azure con VM riservata era in anteprima pubblica, che sarà in grado di eseguire l'attestazione di Windows 11 su VM riservate.
“Puoi usare l'accesso remoto sicuro con Windows Hello e anche proteggere l'accesso alle applicazioni di Microsoft Office 365 all'interno di macchine virtuali riservate", ha affermato Cai.
Microsoft si è dilettata con l'uso del SEV-SNP di AMD in VM per uso generico dall'inizio di quest'anno, il che è stato un buon inizio, afferma Sanders di CCS Insight.
L'adozione di SEV-SNP è anche un'importante convalida per AMD tra i clienti di data center e cloud, poiché i precedenti sforzi per l'elaborazione riservata si basavano su enclavi sicure parziali piuttosto che sulla protezione dell'intero sistema host.
"Non era semplice da configurare e Microsoft ha lasciato ai partner il compito di fornire soluzioni di sicurezza che sfruttassero le funzionalità di sicurezza in silicio", afferma Sanders.
Russinovich di Microsoft ha affermato che stanno arrivando i servizi di Azure per la gestione dell'hardware e la distribuzione del codice per l'informatica riservata. Molti di questi servizi gestiti saranno basati su Confidential Consortium Framework, un ambiente open source sviluppato da Microsoft per l'elaborazione riservata.
"Il servizio gestito è in forma di anteprima... abbiamo clienti che lo stanno prendendo a calci", ha detto Russinovich.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
