Microsoft は、Azure のデータ保護を担当するハードウェアを配置して、顧客がクラウド環境内で承認された関係者とデータを共有することに自信を持てるようにします。 同社は、今週開催された Ignite 2022 カンファレンスで一連のハードウェア セキュリティに関する発表を行い、Azure のコンフィデンシャル コンピューティング サービスを強調しました。
機密コンピューティング 基本的に暗号化されたデータを保持するためのブラックボックスである Trusted Execution Environment (TEE) を作成する必要があります。 証明と呼ばれるプロセスでは、許可された関係者はボックス内にコードを配置して、保護されたスペースからデータを移動することなく、情報を解読してアクセスできます。 ハードウェアで保護されたエンクレーブは、データの改ざんが防止され、サーバー、ハイパーバイザー、さらにはアプリケーションに物理的にアクセスできるユーザーでさえ、データにアクセスできない信頼できる環境を作成します。
Microsoft Azure の最高技術責任者である Mark Russinovich 氏は、Ignite で次のように述べています。
AMDのEpycに搭載
Microsoft の新しい ハードウェア セキュリティ層 Azure にデプロイされた Advanced Micro Devices のサーバー プロセッサである Epyc に含まれるオンチップ機能を利用します。
そのような機能の XNUMX つが SEV-SNP で、CPU 内で AI データを暗号化します。 機械学習アプリケーションは、CPU、アクセラレータ、メモリ、およびストレージの間でデータを継続的に移動します。 AMD の SEV-SNP により、 CPU環境内のデータセキュリティ、実行サイクルを通過する際にその情報へのアクセスをロックオフします。
AMD の SEV-SNP 機能は重大なギャップを埋め、データがハードウェアに常駐または移動している間、すべてのレイヤーで安全を確保します。 他のチップメーカーは、ストレージ中や通信ネットワーク上での転送中にデータを暗号化することに重点を置いてきましたが、AMD の機能は、CPU で処理されている間もデータを保護します。
これには複数の利点があり、企業は独自のデータを、Azure 上の他の安全なエンクレーブにあるサード パーティのデータセットと混在させることができます。 SEV-SNP 機能は、認証を使用して、受信データが元の正確な形式であることを確認します。 依拠当事者 信頼できます。
Microsoft Azure のプリンシパル プロダクト マネージャーである Amar Gowda は、Ignite の Web キャストで次のように述べています。
たとえば、銀行は機密データを誰かに盗まれる心配なく共有できるようになります。 SEV-SNP 機能は、暗号化された銀行データを安全なサードパーティのエンクレーブに取り込み、そこで他のソースからのデータセットと混ざり合う可能性があります。
「この認証とメモリ保護と整合性保護により、データが悪意のある人の手に渡ることはありません。安心してください。 すべては、このプラットフォーム上で新しい製品をどのように有効にするかということです」と Gowda 氏は述べています。
仮想マシンのハードウェア セキュリティ
Microsoft はまた、クラウド ネイティブ ワークロードに追加のセキュリティを追加しました。SEV-SNP を使用して生成されたエクスポート不可能な暗号化キーは、データが一時的で保持されないエンクレーブに論理的に適合します。 CCS Insight は、Dark Reading との会話で次のように述べています。
「Azure Virtual Desktop の場合、SEV-SNP は、個人所有デバイスのワークプレイス、リモート ワーク、グラフィックスを多用するアプリケーションなど、仮想デスクトップのユース ケースに追加のセキュリティ レイヤーを追加します」と Sanders 氏は言います。
一部のワークロードは、データのプライバシーとセキュリティに関連する規制とコンプライアンスの制限により、クラウドに移行していません。 ハードウェア セキュリティ層により、企業はセキュリティ体制を損なうことなくそのようなワークロードを移行できるようになる、と Microsoft のプリンシパル プログラム マネージャーである Run Cai 氏はカンファレンスで述べました。
Microsoft は、Confidential VM を備えた Azure 仮想デスクトップがパブリック プレビュー段階にあることも発表しました。これにより、Confidential VM で Windows 11 構成証明を実行できるようになります。
「安全なリモートアクセスを使用できます Windows Hello また、機密 VM 内の Microsoft Office 365 アプリケーションへのアクセスを保護します」と Cai 氏は述べています。
Microsoft は、今年初めから汎用 VM で AMD の SEV-SNP を使用することに手を出していましたが、これは良いスタートでした、と CCS Insight の Sanders 氏は言います。
SEV-SNP の採用は、データセンターおよびクラウドの顧客の間で AMD にとって重要な検証でもあります。これまでのコンフィデンシャル コンピューティングの取り組みは、ホスト システム全体を保護するのではなく、部分的に安全なエンクレーブに依存していたためです。
「これは簡単に構成できるものではありませんでした。Microsoft は、シリコン内のセキュリティ機能を活用したセキュリティ ソリューションを提供することをパートナーに任せました」と Sanders 氏は言います。
Microsoft の Russinovich 氏は、コンフィデンシャル コンピューティング用のハードウェアとコードの展開を管理する Azure サービスが登場すると述べました。 これらのマネージド サービスの多くは、Microsoft が開発したコンフィデンシャル コンピューティング用のオープン ソース環境である Confidential Consortium Framework に基づいています。
Russinovich 氏は、次のように述べています。
