מיקרוסופט שמה את החומרה האחראית על הגנת הנתונים ב-Azure כדי לעזור ללקוחות להרגיש בטוחים לגבי שיתוף הנתונים עם גורמים מורשים בסביבת הענן. החברה פרסמה השבוע סדרה של הודעות אבטחת חומרה בכנס Ignite 2022 שלה כדי להדגיש את הצעות המחשוב הסודיות של Azure.
מחשוב חסוי כולל יצירת סביבת ביצוע מהימנה (TEE), בעצם קופסה שחורה לאחסון נתונים מוצפנים. בתהליך שנקרא אישור, גורמים מורשים יכולים למקם קוד בתוך הקופסה כדי לפענח ולגשת למידע מבלי צורך תחילה להעביר את הנתונים מהמרחב המוגן. המובלעת המוגנת בחומרה יוצרת סביבה אמינה שבה הנתונים מוגנים מפני חבלה, והנתונים אינם נגישים אפילו לאלה שיש להם גישה פיזית לשרת, ל-hypervisor או אפילו לאפליקציה.
"זה באמת סוג של האולטימטיבי בהגנה על נתונים", אמר מארק רוסינוביץ', סמנכ"ל הטכנולוגיה של Microsoft Azure ב-Ignite.
על הסיפון עם Epyc של AMD
כמה מהחדשים של מיקרוסופט שכבות אבטחת חומרה נצל את היתרונות של תכונות על-שבב הכלולות ב-Epyc - מעבד השרת מ-Advanced Micro Devices הפרוס ב-Azure.
תכונה אחת כזו היא SEV-SNP, שמצפינת נתוני AI במעבד. יישומי למידת מכונה מעבירים נתונים ברציפות בין מעבד, מאיצים, זיכרון ואחסון. SEV-SNP של AMD מבטיח אבטחת מידע בתוך סביבת המעבד, תוך נעילת גישה למידע זה בזמן שהוא עובר את מחזור הביצוע.
תכונת SEV-SNP של AMD סוגרת פער קריטי כך שהנתונים מאובטחים בכל השכבות בזמן שהות או תנועה בחומרה. יצרניות שבבים אחרות התמקדו במידה רבה בהצפנת נתונים בזמן אחסון ומעבר ברשתות תקשורת, אבל AMD מציגה נתונים מאובטחים תוך כדי עיבוד במעבד.
זה מציע יתרונות מרובים, וחברות יוכלו לערבב נתונים קנייניים עם מערכי נתונים של צד שלישי השוכנים במובלעות מאובטחות אחרות ב-Azure. תכונות SEV-SNP משתמשות בהצהרה כדי להבטיח שהנתונים הנכנסים יהיו בצורתם המדויקת מא צד מסתמך וניתן לסמוך עליו.
"זה מאפשר תרחישים חדשים נטו ומחשוב סודי שלא היה אפשרי קודם לכן", אמר עמר גודה, מנהל מוצר ראשי ב-Microsoft Azure, במהלך שידור אינטרנט של Ignite.
לדוגמה, בנקים יוכלו לשתף נתונים סודיים מבלי לחשוש שמישהו יגנוב אותם. תכונת SEV-SNP תביא נתוני בנק מוצפנים לתוך המובלעת המאובטחת של צד שלישי, שם היא תוכל להתערבב עם מערכי נתונים ממקורות אחרים.
"בגלל האישור הזה והגנת הזיכרון והגנת השלמות, אתה יכול להיות סמוך ובטוח שהנתונים לא משאירים את הגבולות בידיים הלא נכונות. כל העניין הוא איך אתה מאפשר הצעות חדשות על גבי הפלטפורמה הזו", אמר Gowda.
אבטחת חומרה במכונות וירטואליות
מיקרוסופט גם הוסיפה אבטחה נוספת לעומסי עבודה מקוריים בענן, ומפתחות ההצפנה שאינם ניתנים לייצוא שנוצרו באמצעות SEV-SNP מתאימים לוגית למובלעות שבהן הנתונים זמניים ואינם נשמרים, ג'יימס סנדרס, אנליסט ראשי בענן, תשתיות וקוונטי ב- CCS Insight, אומר בשיחה עם Dark Reading.
"עבור Azure Virtual Desktop, SEV-SNP מוסיף שכבת אבטחה נוספת עבור מקרי שימוש בשולחן עבודה וירטואלי, כולל מקומות עבודה של הבאת מכשיר משלך, עבודה מרחוק ויישומים עתירי גרפיקה", אומר סנדרס.
עומסי עבודה מסוימים לא עברו לענן בגלל מגבלות רגולציה ותאימות הקשורות לפרטיות ואבטחת נתונים. שכבות אבטחת החומרה יאפשרו לחברות להעביר עומסי עבודה כאלה מבלי לפגוע בעמדת האבטחה שלהן, אמר Run Cai, מנהל תוכניות ראשי במיקרוסופט, במהלך הכנס.
מיקרוסופט גם הודיעה כי שולחן העבודה הווירטואלי של Azure עם VM סודי נמצא בתצוגה מקדימה ציבורית, אשר יוכל להריץ אישור Windows 11 על מחשבי VM חסויים.
"אתה יכול להשתמש בגישה מאובטחת מרחוק עם Windows שלום וגם גישה מאובטחת ליישומי Microsoft Office 365 בתוך מחשבי VM חסויים", אמר קאי.
מיקרוסופט התעסקה בשימוש ב-SEV-SNP של AMD ב-VMs למטרות כלליות מתחילת השנה, וזו הייתה התחלה טובה, אומר Sanders של CCS Insight.
אימוץ SEV-SNP הוא גם אימות חשוב עבור AMD בקרב לקוחות מרכז נתונים וענן, שכן מאמצים קודמים במחשוב סודי הסתמכו על מובלעות מאובטחות חלקיות במקום הגנה על המערכת המארחת כולה.
"זה לא היה פשוט להגדיר, ומיקרוסופט השאירה את זה לשותפים לספק פתרונות אבטחה הממנפים תכונות אבטחה בסיליקון", אומר סנדרס.
Russinovich של מיקרוסופט אמר כי מגיעים שירותי Azure לניהול חומרה ופריסה של קוד למחשוב סודי. רבים מאותם שירותים מנוהלים יתבססו על Confidential Consortium Framework, שהיא סביבת קוד פתוח שפותחה על ידי מיקרוסופט עבור מחשוב סודי.
"השירות המנוהל הוא בצורת תצוגה מקדימה... יש לנו לקוחות שעושים עליו את הצמיגים", אמר רוסינוביץ'.
