Microsoft zet hardware voor gegevensbescherming in Azure om klanten te helpen met vertrouwen gegevens te delen met geautoriseerde partijen binnen de cloudomgeving. Het bedrijf heeft deze week een reeks hardwarebeveiligingsaankondigingen gedaan tijdens de Ignite 2022-conferentie om het vertrouwelijke computeraanbod van Azure te benadrukken.
Vertrouwelijk computergebruik omvat het creëren van een Trusted Execution Environment (TEE), in wezen een zwarte doos om versleutelde gegevens te bewaren. In een proces dat attestation wordt genoemd, kunnen geautoriseerde partijen code in de doos plaatsen om de informatie te ontsleutelen en toegang te krijgen zonder de gegevens eerst uit de beveiligde ruimte te hoeven halen. De hardware-beveiligde enclave creëert een betrouwbare omgeving waarin gegevens fraudebestendig zijn, en de gegevens zijn zelfs niet toegankelijk voor mensen met fysieke toegang tot de server, een hypervisor of zelfs een applicatie.
"Het is echt het ultieme op het gebied van gegevensbescherming", zegt Mark Russinovich, Chief Technology Officer van Microsoft Azure, bij Ignite.
Aan boord met AMD's Epyc
Een aantal van Microsoft's nieuwe hardware beveiligingslagen profiteer van on-chip-functies die zijn opgenomen in Epyc - de serverprocessor van Advanced Micro Devices die op Azure is geïmplementeerd.
Een dergelijke functie is SEV-SNP, die AI-gegevens versleutelt in een CPU. Machine-learning-applicaties verplaatsen gegevens continu tussen een CPU, versnellers, geheugen en opslag. AMD's SEV-SNP zorgt voor: gegevensbeveiliging binnen de CPU-omgeving, terwijl de toegang tot die informatie wordt geblokkeerd terwijl deze door de uitvoeringscyclus gaat.
AMD's SEV-SNP-functie dicht een kritieke kloof, zodat gegevens op alle lagen veilig zijn terwijl ze zich in de hardware bevinden of zich verplaatsen. Andere chipfabrikanten hebben zich grotendeels gericht op het versleutelen van gegevens tijdens opslag en onderweg op communicatienetwerken, maar AMD's functies beveiligen gegevens terwijl ze in de CPU worden verwerkt.
Dat biedt meerdere voordelen en bedrijven kunnen bedrijfseigen data combineren met datasets van derden die zich in andere beveiligde enclaves op Azure bevinden. De SEV-SNP-functies maken gebruik van attest om ervoor te zorgen dat binnenkomende gegevens in de exacte vorm van een vertrouwende partij en kan worden vertrouwd.
"Dit maakt netto nieuwe scenario's en vertrouwelijk computergebruik mogelijk die voorheen niet mogelijk waren", zei Amar Gowda, principal productmanager bij Microsoft Azure, tijdens een Ignite-webcast.
Banken kunnen bijvoorbeeld vertrouwelijke gegevens delen zonder bang te hoeven zijn dat iemand ze steelt. De SEV-SNP-functie brengt versleutelde bankgegevens naar de beveiligde enclave van derden, waar ze zich kunnen vermengen met datasets uit andere bronnen.
“Vanwege deze attestatie en geheugenbescherming en integriteitsbescherming, kunt u er zeker van zijn dat de gegevens de grenzen niet in verkeerde handen achterlaten. Het gaat erom hoe je nieuwe aanbiedingen bovenop dit platform mogelijk maakt”, aldus Gowda.
Hardwarebeveiliging op virtuele machines
Microsoft heeft ook extra beveiliging toegevoegd voor cloud-native workloads, en de niet-exporteerbare coderingssleutels die worden gegenereerd met SEV-SNP zijn een logische oplossing voor enclaves waar gegevens tijdelijk zijn en niet worden bewaard, James Sanders, hoofdanalist voor cloud, infrastructuur en kwantum bij CCS Insight, zegt in een gesprek met Dark Reading.
"Voor Azure Virtual Desktop voegt SEV-SNP een extra beveiligingslaag toe voor gebruiksscenario's voor virtuele desktops, waaronder bring-your-own-device-werkplekken, werken op afstand en grafisch-intensieve toepassingen", zegt Sanders.
Sommige workloads zijn niet naar de cloud verplaatst vanwege regelgeving en nalevingsbeperkingen die verband houden met gegevensprivacy en -beveiliging. De hardwarebeveiligingslagen stellen bedrijven in staat om dergelijke workloads te migreren zonder hun beveiligingshouding in gevaar te brengen, zei Run Cai, een hoofdprogrammamanager bij Microsoft, tijdens de conferentie.
Microsoft heeft ook aangekondigd dat de virtuele Azure-desktop met vertrouwelijke VM in openbare preview was, die Windows 11-attest op vertrouwelijke VM's zal kunnen uitvoeren.
“U kunt beveiligde toegang op afstand gebruiken met Windows Hallo en ook veilige toegang tot Microsoft Office 365-applicaties binnen vertrouwelijke VM's”, aldus Cai.
Microsoft heeft eerder dit jaar geploeterd met het gebruik van AMD's SEV-SNP in VM's voor algemene doeleinden, wat een goed begin was, zegt Sanders van CCS Insight.
De adoptie van SEV-SNP is ook een belangrijke validatie voor AMD bij datacenter- en cloudklanten, aangezien eerdere inspanningen voor vertrouwelijk computergebruik afhankelijk waren van gedeeltelijk beveiligde enclaves in plaats van het hele hostsysteem te beschermen.
"Dit was niet eenvoudig te configureren en Microsoft liet het aan partners over om beveiligingsoplossingen te bieden die gebruik maakten van in-silicium beveiligingsfuncties", zegt Sanders.
Russinovich van Microsoft zei dat Azure-services voor het beheer van hardware en de implementatie van code voor vertrouwelijk computergebruik eraan komen. Veel van die beheerde services zullen gebaseerd zijn op Confidential Consortium Framework, een door Microsoft ontwikkelde open source-omgeving voor vertrouwelijk computergebruik.
"Managed service is in preview-vorm ... we hebben klanten die de banden erop trappen", zei Russinovich.
