Microsoft는 고객이 클라우드 환경 내에서 승인된 당사자와 데이터를 공유하는 데 자신감을 가질 수 있도록 Azure에서 데이터 보호를 담당하는 하드웨어를 배치하고 있습니다. 이 회사는 이번 주 Ignite 2022 컨퍼런스에서 일련의 하드웨어 보안 발표를 통해 Azure의 기밀 컴퓨팅 제품을 강조했습니다.
기밀 컴퓨팅 기본적으로 암호화된 데이터를 보관하는 블랙박스인 TEE(신뢰할 수 있는 실행 환경)를 만드는 작업이 포함됩니다. 증명이라고 하는 프로세스에서 승인된 당사자는 먼저 데이터를 보호된 공간 밖으로 이동할 필요 없이 정보를 해독하고 액세스하기 위해 상자 안에 코드를 배치할 수 있습니다. 하드웨어로 보호되는 엔클레이브는 데이터가 변조되지 않고 서버, 하이퍼바이저 또는 애플리케이션에 물리적으로 액세스할 수 있는 사람도 데이터에 액세스할 수 없는 신뢰할 수 있는 환경을 만듭니다.
마이크로소프트 애저의 최고 기술 책임자인 마크 루시노비치(Mark Russinovich)는 이그나이트(Ignite)에서 “정말 궁극의 데이터 보호다.
AMD의 Epyc와 함께 온보드
Microsoft의 여러 새로운 하드웨어 보안 계층 Azure에 배포된 Advanced Micro Devices의 서버 프로세서인 Epyc에 포함된 온칩 기능을 활용하세요.
이러한 기능 중 하나는 CPU에 있을 때 AI 데이터를 암호화하는 SEV-SNP입니다. 머신 러닝 애플리케이션은 CPU, 가속기, 메모리 및 스토리지 간에 지속적으로 데이터를 이동합니다. AMD의 SEV-SNP는 CPU 환경 내부의 데이터 보안, 실행 주기를 거치면서 해당 정보에 대한 액세스를 잠급니다.
AMD의 SEV-SNP 기능은 중요한 간격을 좁혀 하드웨어에 상주하거나 이동하는 동안 모든 계층에서 데이터를 안전하게 보호합니다. 다른 칩 제조사들은 통신망에서 저장 및 전송 중에 데이터를 암호화하는 데 크게 중점을 두었지만 AMD의 기능은 CPU에서 처리되는 동안 데이터를 보호합니다.
이는 여러 이점을 제공하며 기업은 Azure의 다른 보안 구역에 있는 타사 데이터 세트와 독점 데이터를 혼합할 수 있습니다. SEV-SNP 기능은 증명을 사용하여 들어오는 데이터가 신뢰 당사자 그리고 신뢰할 수 있습니다.
Ignite 웹캐스트에서 Microsoft Azure의 수석 제품 관리자인 Amar Gowda는 "이는 이전에는 불가능했던 새로운 순 시나리오와 기밀 컴퓨팅을 가능하게 합니다."라고 말했습니다.
예를 들어 은행은 기밀 데이터를 도난당할 염려 없이 공유할 수 있습니다. SEV-SNP 기능은 암호화된 은행 데이터를 다른 소스의 데이터 세트와 섞일 수 있는 안전한 제XNUMX자 영역으로 가져옵니다.
“이 증명, 메모리 보호 및 무결성 보호 덕분에 데이터가 잘못된 사람의 손에 넘어가지 않도록 안심할 수 있습니다. 모든 것은 이 플랫폼에서 새로운 제품을 어떻게 활성화할 것인가에 관한 것입니다.”라고 Gowda는 말했습니다.
가상 머신의 하드웨어 보안
Microsoft는 또한 클라우드 네이티브 워크로드에 대한 추가 보안을 추가했으며 SEV-SNP를 사용하여 생성된 내보낼 수 없는 암호화 키는 데이터가 일시적이고 유지되지 않는 엔클레이브에 논리적으로 적합합니다. CCS Insight는 Dark Reading과의 대화에서 말합니다.
Sanders는 "Azure Virtual Desktop의 경우 SEV-SNP는 BYOD(Bring-Your-Own-Device) 작업 공간, 원격 작업 및 그래픽 집약적인 애플리케이션을 포함하여 가상 데스크톱 사용 사례를 위한 추가 보안 계층을 추가합니다."라고 말합니다.
일부 워크로드는 데이터 개인 정보 보호 및 보안과 관련된 규정 및 규정 준수 제한으로 인해 클라우드로 이전되지 않았습니다. Microsoft의 수석 프로그램 관리자인 Run Cai는 컨퍼런스에서 하드웨어 보안 계층을 통해 기업은 보안 태세를 손상시키지 않고 이러한 워크로드를 마이그레이션할 수 있다고 말했습니다.
Microsoft는 또한 기밀 VM이 있는 Azure 가상 데스크톱이 공개 미리 보기로 제공되어 기밀 VM에서 Windows 11 증명을 실행할 수 있다고 발표했습니다.
"보안 원격 액세스를 사용할 수 있습니다. Windows Hello 또한 기밀 VM 내에서 Microsoft Office 365 애플리케이션에 안전하게 액세스할 수 있습니다.”라고 Cai가 말했습니다.
마이크로소프트는 올해 초부터 범용 VM에 AMD의 SEV-SNP를 사용하기 시작했는데 좋은 출발이었다고 CCS Insight의 Sanders는 말합니다.
SEV-SNP의 채택은 데이터 센터와 클라우드 고객 사이에서 AMD에 대한 중요한 검증이기도 합니다. 기밀 컴퓨팅에 대한 이전의 노력은 전체 호스트 시스템을 보호하는 대신 부분적인 보안 영역에 의존했기 때문입니다.
Sanders는 "이는 구성하기가 쉽지 않았기 때문에 Microsoft는 인실리콘 보안 기능을 활용하는 보안 솔루션을 제공하기 위해 파트너에게 맡겼습니다."라고 말합니다.
Microsoft의 Russinovich는 하드웨어를 관리하는 Azure 서비스와 기밀 컴퓨팅을 위한 코드 배포가 제공될 것이라고 말했습니다. 이러한 관리 서비스 중 다수는 기밀 컴퓨팅을 위해 Microsoft에서 개발한 오픈 소스 환경인 Confidential Consortium Framework를 기반으로 합니다.
Russinovich는 "관리 서비스는 미리보기 형식으로 제공됩니다. ... 우리는 타이어를 걷어차는 고객을 보유하고 있습니다."라고 말했습니다.
